OXA, le futur du XDR

Secu

OXA : vers un standard international d’architecture XDR

Par La rédaction, publié le 22 août 2023

Devenue arme essentielle dans la lutte contre les cybermenaces, le XDR soulève ses propres défis en l’absence de langage commun et de standard de formats d’échanges d’informations sur les menaces. Pour faire avancer l’uniformisation du XDR, le projet OXA, en créant un standard d’architecture international, ouvre la voie à une nouvelle ère de collaboration et d’efficacité dans le domaine de la cybersécurité.


Par David Bizeul – co-fondateur Sekoia.io


Pour assurer la détection et la réponse aux menaces sur l’ensemble de leurs flux cloudifiés, la technologie XDR (eXtended Detection & Response) s’impose peu à peu comme la référence dans l’arsenal des stratégies de cyberdéfense des entreprises et des administrations. Avec l’XDR, les organisations basculent d’un enjeu de détection des risques vers celui de la détection des menaces. Définitivement, cette technologie donne une capacité inégalée à détecter en temps réel des événements véritablement dangereux au sein de l’entreprise. Enrichie avec le bon renseignement, c’est aussi la fin ou quasi du cauchemar des faux positifs à répétition.

Pour autant, la dynamique du marché XDR cache des difficultés inhérentes à la compréhension des données et des événements en entrées et en sorties. Elle oblige les éditeurs, y compris les acteurs cœur du XDR, à déployer une énergie et des ressources folles dans la course à l’interopérabilité avec les autres opérateurs de cybersécurité. L’élaboration d’un standard d’architecture international propre à assurer un langage commun entre les différentes solutions doit aider à surmonter ces difficultés. Voici pourquoi et comment :

Des atouts de l’XDR à transcender

En France, grâce à des projets de type Open XDR, des éditeurs travaillent sur la standardisation et l’interopérabilité entre leurs solutions afin d’améliorer la détection et la protection des plus grands comptes. Cette capacité à fédérer, connecter et automatiser différentes solutions de cybersécurité autour d’une solution EDR pour un meilleur usage pour les utilisateurs est excellente. Ces éditeurs, pourtant parfois concurrents, ont en effet une réelle expertise à apporter que ce soit sur la protection de l’email, du réseau, du mobile, ou encore du poste de travail.

Cependant une question se pose : comment le faire avec toutes les solutions d’un point de vue agnostique ? Nous devons trouver des moyens de gagner encore en efficacité opérationnelle en palliant les limites des solutions actuelles, y compris XDR. Car même lui ne résout pas tout !


À LIRE AUSSI :

Open XDR Architecture, un standard pour gagner en efficacité collective

Au-delà du modèle vertueux de tout travail collaboratif, plusieurs enseignements nous entrainent irrésistiblement vers un standard ouvert international :

Pallier l’absence de langage commun pour articuler les différents connecteurs

Environnement SIEM ou XDR, peu importe, les produits ont toujours du mal à interagir ensemble et les éditeurs sont tous confrontés au même souci : chacun doit développer autant de connecteurs qu’il y a de solutions tierces de sécurité (EDR, NDR, protection cloud, gestion d’identité…) à porter sur sa propre solution en vue de recevoir, comprendre et interpréter les données qui en sont issues. Cela représente des centaines d’intégrations, des milliers d’heures de travail, pour chacun. Pire, les formats de données de chacun des acteurs évoluent sans cesse. C’est une course sans fin, chronophage et fatigante. Nous avons atteint les limites opérationnelles à gérer toujours plus de connecteurs !

Le projet OXA propose un modèle éprouvé pour rationaliser la connaissance et parler le même langage. Le consortium, qui rassemble Glimps, Harfanglab et Sekoia.io, s’attache à définir des formats pivot d’interprétation de langage qui sont compris à l’entrée, traités en sortie. Récompensé dans le cadre du plan France 2030 en étant lauréat du Grand Défi – Phase 2, OXA vise à proposer une architecture de type tour de contrôle opérationnelle : tout comme un aéroport communique avec différents avions de plusieurs compagnies et différentes langues, le but est de pouvoir, à terme et à l’échelle planétaire, rationaliser les formats de langues et fédérer la capacité à parler à tous les composants de sécurité connectés à un XDR.

Rationaliser la création des formats d’entrée

Plutôt que chacun traite tous les formats de tous les éditeurs, la définition de référentiels de langage dans OXA – ou formats pivots – permettra une fois pour toute à chaque éditeur, lequel connait le mieux ses outils et ses formats de données, de décider de la bonne traduction entre la donnée produite et comment elle doit être comprise et interprétée. De plus, cela évitera les biais observés quand des données sont mal renseignées ou comprises par les éditeurs SIEM et XDR.

Rationaliser les formats de sorties

De même, une solution centrale de détection & réponse doit savoir parler à tous types de composants et de profils technologiques en leur donnant des ordres génériques. Par exemple : pour transformer un ordre générique destiné à une solution EDR, la plateforme XDR propose un langage pivot compréhensible par tous, et l’éditeur fait correspondre des actions dans un langage compréhensible par un agent ou une API. Exemple : tuer un process malveillant pourrait faire appel au chemin API suivant : https://maconsoleEDR/API/machine number/kill/processID

Le XDR reste un terrain d’innovation fort, les sujets tels que l’enregistrement des composants, la dissémination de la connaissance ou l’automatisation du pilotage sont encore balbutiants et vont évoluer fortement dans les années à venir.

Pour aller encore plus loin sur le plan international, le projet OXA va justement proposer la mise à disposition d’un modèle de donnée ouvert qui permettra à toute structure d’interagir avec n’importe quel XDR et ce, de manière très simple. Cette initiative sera portée via Open Cyber Alliance dans le cadre de l’implémentation de standards OASIS.


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights