X marque la tache: la détection et la réponse prolongées (XDR) continuent d’évoluer, avec XDR-As-A-Service en augmentation, les développements de l’IA remodelant ce qui est possible et les mouvements des vendeurs en abondance.
Le marché étendu de détection et de réponse (XDR) connaît une croissance significative, tirée par l’escalade des menaces de cybersécurité et la nécessité pour les entreprises d’intégrer des technologies de sécurité disparates dans une seule plate-forme.
En intégrant des technologies telles que la détection et la réponse des points de terminaison (EDR), la détection et la réponse du réseau (NDR), les informations sur la sécurité et la gestion des événements (SIEM) et les informations sur les plates-formes XDR unifiées, les entreprises acquièrent la capacité de détecter et de répondre aux menaces plus rapidement et plus efficacement.
Les plates-formes XDR sont conçues pour fournir une détection, une enquête et une réponse unifiées de bout en bout dans toute l’infrastructure informatique d’une organisation. La technologie attire d’énormes volumes de données de sécurité à partir de plusieurs sources, notamment des points de terminaison, des serveurs, du trafic réseau, du cloud et des systèmes d’identité avant de corréler ces données.
La technologie consolide ensuite les alertes connexes sur les incidents, offrant aux analystes de la sécurité une vision unifiée des attaques potentielles. XDR offre également une réponse automatisée, comme la possibilité d’isoler les dispositifs potentiellement compromis.
Les estimations du marché varient, les informations de recherche commerciale prédisant le marché XDR bénéficiera d’un taux de croissance annuel composé de 14% pour atteindre 5 milliards de dollars d’ici 2033. Les estimations de recherche de Grand View Le marché augmentera de 20,7% chaque année pour dépasser 3,4 milliards de dollars d’ici 2030.
La consolidation du marché et l’intégration des technologies d’IA dans les plates-formes XDR conduisent également l’évolution du marché, selon les analystes de l’industrie et les fournisseurs de sécurité.
Le changement vers les plates-formes unifiées par rapport au meilleur
Le principal défi pour les entreprises est que les technologies XDR peuvent être coûteuses et complexes à mettre en œuvre par rapport aux plates-formes EDR héritées, mais ce désavantage peut être compensé par les avantages qui découlent de la consolidation des outils de sécurité.
Construire des piles de sécurité autour de solutions des meilleures race comme EDR, NDR, SIEM, etc., a créé une complexité pour les clients, en particulier les PME, qui n’ont pas de grands centres d’opérations de sécurité (SOC), dit Turner.
En revanche, certains fournisseurs soutiennent que les plates-formes XDR sont lourdes et appropriées uniquement pour répondre aux besoins des grandes entreprises.
«XDR a été initialement envisagé comme un moyen de simplifier la sécurité en consolidant la détection et la réponse entre les paramètres, les réseaux, les identités et les environnements cloud», soutient Nisarg Desai, directeur de la détection et de la réponse gérées Huntress. «Cependant, dans la pratique, il ajoute souvent plus de complexité que ce qu’il ne le supprime, en particulier pour les organisations sans centres d’opérations de sécurité entièrement en personnel.»
La plupart des solutions XDR sont «non gérées par défaut, nécessitent un réglage et une expertise importantes» et ont été largement conçues pour «les grandes entreprises qui ont déjà des personnes, des processus et des infrastructures internes en place pour les soutenir», affirme Desai.
Les tentatives de boulangement sur les services de détection et de réponse gérés (MDR) au-dessus de leurs plates-formes XDR existantes peuvent conduire à un «écosystème fracturé avec une mauvaise corrélation du signal, des temps de réponse lents et une augmentation des frais généraux opérationnels», explique Desai.
Xdr-as-a-service en augmentation
Un SOC entièrement doté est hors de portée pour de nombreuses organisations et c’est pourquoi la montée de XDR-As-A-Service reflète une demande croissante de capacités de sécurité gérées et évolutives.
«Avec des équipes étirées et une expansion des surfaces d’attaque, de nombreuses organisations se tournent vers les fournisseurs de confiance pour offrir une détection et une réponse 24h / 24», explique Santiago Pontiroli, chercheur principal en matière de sécurité chez le fournisseur de cybersécurité Acronis. «Ce modèle permet aux organisations de bénéficier de la visibilité intégrée des menaces et de la réponse aux incidents plus rapides sans les frais généraux de la construction et du maintien de l’infrastructure eux-mêmes.»
La demande de XDR-As-A-Service est en plein essor, tirée par deux facteurs principaux, selon le Turner de Context: de nombreuses PME ne peuvent pas se permettre de supporter leurs propres SOC, et les MSP et les MSSP recherchent des revenus récurrents et une prestation de services évolutifs.
«XDR-AS-A-SERVICE permet aux MSP de revendre les capacités de détection et de réponse gérées sans avoir besoin de construire la pile entière elles-mêmes», explique Turner. «Les distributeurs proposent de plus en plus des groupes XDR en tant que service via des marchés cloud, qui sont livrés avec des licences pré-intégrées et une facturation basée sur l’utilisation.»
L’IA et l’apprentissage automatique font leur marque – et ajoutent du bruit au marché
L’intelligence artificielle et l’apprentissage automatique jouent un rôle essentiel pour rendre les systèmes XDR plus évolutifs et efficaces.
«Ces technologies aident à identifier les modèles, à réduire les faux positifs et « De plus, les modèles ML peuvent apprendre des comportements sur plusieurs couches, comme le point de terminaison, le réseau et l’activité utilisateur, permettant la détection de menaces qui ne dépendent pas de signatures connues. »
Pontiroli ajoute: « L’IA est également de plus en plus utilisée pour enrichir les alertes avec le contexte et conduire des actions de réponse automatisées ou semi-automatisées, ce qui facilite les équipes de sécurité maigres de suivre les attaques sophistiquées. »
Les fournisseurs de cybersécurité en général investissent fortement dans les technologies de l’IA. Pour XDR en particulier, l’IA peut aider à des fonctions telles que le triage d’alerte, l’analyse comportementale et la détection d’anomalies, mais les points les plus fins de ce développement de produits sont souvent manqués par les acheteurs au milieu d’un blitz de marketing de produit de cybersécurité axé sur l’IA.
«Le principal défi que nous entendons des partenaires est dans la différenciation», explique Turner de Context. «Pratiquement tous les fournisseurs commercialisent désormais leur plateforme comme axée sur l’IA.»
L’activité de fusions et acquisitions continue de consolider le marché
Au cours des dernières années, le marché XDR a connu une consolidation importante par le biais de fusions et d’acquisitions, secouant l’ensemble compétitif.
«Les vendeurs EDR acquièrent des joueurs NDR ou SIEM pour construire leur propre vision XDR», explique Turner de Context. «Quelques exemples étant Sentinélone acquérant Attivo, CrowdStrike s’étendant dans l’identité, tandis que d’autres comme Palo Alto et Microsoft construisent de larges portefeuilles par intégration plutôt que d’acquisition.»
Turner ajoute: « Certains SIEM ou EDR traditionnels (vendeurs) se concurrennent maintenant après l’acquisition. »
Les vendeurs XDR importants incluent Crowdsstrike, Sophos, Sentineone, Trend Micro et autres.
Les partenariats et les architectures ouvertes comblent les lacunes
Malgré une activité accrue de fusions et acquisitions, peu – voire pas – des fournisseurs de sécurité ont la capacité de fournir un service complet, provoquant un développement parallèle sur le marché XDR: la croissance des partenariats
«Malgré les fusions et les acquisitions, il y a souvent des pièces manquantes que les fournisseurs XDR doivent apporter pour répondre aux exigences des acheteurs qui ont besoin d’une approche de la meilleure érige de leur portefeuille de sécurité», explique Mancini de Netscout. «Les partenariats sont un moyen essentiel de combler ces lacunes et demandes, permettant aux fournisseurs XDR de s’intégrer aux solutions de sécurité existantes et à permettre aux producteurs de données de saisir leurs informations sur les plates-formes XDR.»
Mancini a ajouté: «Cela garantit un écosystème collaboratif dans lequel les fournisseurs doivent prendre en charge les architectures ouvertes.»
L’approche XDR ouverte à travers le pays implique la construction d’utilisation de cadres open source – tels que Elasticsearch, Apache Kafka et Fluentd pour la collecte et le traitement des données – ou la conception de plateformes pour être neutres du fournisseur. L’approche permet l’intégration avec les outils de sécurité existants (SIEM, etc.) et la possibilité de construire une pile de sécurité modulaire avec l’inconvénient d’une complexité accrue par rapport aux plates-formes propriétaires.
XDR géré fait des vagues
Contrairement à XDR-AS-A-SERVICE, qui signifie généralement l’accès à une plate-forme XDR dans le cloud, le XDR géré va plus loin, offrant un service entièrement opéré, y compris une surveillance 24/7 et une automatisation accrue. Le modèle a augmenté ces derniers temps, selon les observateurs de l’industrie.
Le modèle XDR géré permet aux organisations d’améliorer considérablement leur capacité à détecter et à répondre aux menaces – y compris des attaques sophistiquées telles que la prise de contrôle des comptes et les ransomwares – sans avoir besoin de plusieurs solutions de sécurité ou investir dans un personnel spécialisé en cybersécurité.
«L’automatisation joue un rôle essentiel dans la détection et la réponse, mais c’est la présence d’un SOC mature dans les coulisses qui élève vraiment le XDR géré, garantissant que la détection des menaces reste exacte, les règles sont en permanence réglées et les incidents sont étudiés en profondeur», explique Yaz Bekkar, Consulting Solutions Architect pour XDR dans la région EMEA à Barracuda Networks. « L’automatisation sans surveillance humaine peut conduire à des angles morts. »
