Endpoint Detection and Response : tout ce qu’il vous faut savoir sur l’EDR

EDR

Les terminaux sont une cible privilégiée pour les pirates : ils sont omniprésents, vulnérables et difficiles à défendre. En 2017, par exemple, on rapporte que l’attaque WannaCry a affecté plus de 230 000 terminaux dans le monde.

Qu’est-ce que l’EDR (Endpoint Detection and Response) ?

Les plates-formes d’EDR sont des solutions qui surveillent les terminaux (les ordinateurs connectés au réseau et non le réseau lui-même) afin d’y détecter des activités suspectes. Baptisées ainsi en 2013 par Anton Chukavin, analyste chez Gartner, les solutions d’EDR se concentrent sur les appareils des utilisateurs finaux : ordinateurs portables, ordinateurs de bureau et appareils mobiles.

Les solutions d’EDR assurent une visibilité et une surveillance des activités suspectes, telles que les malwares et les cyberattaques, à l’œuvre sur les dispositifs de ces utilisateurs.

Pourquoi l’EDR est-il important ?

Chaque appareil se connectant à un réseau constitue un vecteur d’attaque potentiel, et chacune de ces connexions est un point d’entrée potentiel vers vos données. Avec la montée en puissance du BYOD (bring your own devices – apportez vos appareils personnels), les attaques mobiles et des techniques sophistiquées de piratage n’ont fait qu’augmenter les risques de voir vos données piratées.

Les solutions d’EDR contribuent à protéger ces points d’entrée dans votre réseau en surveillant vos terminaux pour y détecter les nombreuses menaces modernes qu’ignorent les logiciels antivirus.

Les solutions d’EDR peuvent contribuer à assurer une surveillance et une protection contre les APT (Advanced Persistent Threats), qui utilisent souvent des techniques de piratage sans malware et des failles de sécurité pour accéder à un réseau. Les anciens logiciels antivirus ne peuvent détecter un malware que lorsqu’ils trouvent une signature correspondante. Ils sont incapables de surveiller les activités d’un pirate pour déterminer qu’il a accès à un ordinateur.

La sécurité des terminaux n’est pas seulement un outil d’entreprise : il existe également aujourd’hui des versions d’EDR grand public. Parmi les différences concernant la sécurité des terminaux pour le grand public et les entreprises, on peut citer les points suivants :

  • Gestion à distance et stockage centralisé :
    • Les entreprises fournissent en général des options de gestion à distance permettant aux administrateurs de la sécurité de configurer les paramètres appropriés. Chaque terminal envoie des données d’audit à un dépôt central à des fins d’audit et d’analyse.
    • Les utilisateurs grand public n’ont pas besoin d’une telle administration centralisée.
  • Mises à jour automatiques vs distribution de correctifs :
    • Les entreprises doivent adhérer à des processus de gestion du changement, qui leur imposent de distribuer des correctifs à chaque étape.
    • En général, les utilisateurs grand public autorisent l’EDR à se mettre automatiquement à jour en fonction du calendrier de diffusion du fournisseur.

edr solutions map

9 éléments des solutions d’EDR

Les solutions d’EDR peuvent comporter une série de fonctionnalités, mais elles se caractérisent par un ensemble d’éléments fondamentaux :

  1. Alerte et reporting sur console : une console qui assure une visibilité de l’état de sécurité des terminaux de l’organisation.
  2. Réponse avancée EDR : fonctionnalités avancées d’analyse et de réponse des solutions d’EDR, comprenant l’automatisation ainsi que des données d’analyse détaillées en rapport avec les incidents de sécurité.
  3. Fonctionnalité EDR de base : la capacité à détecter et signaler les menaces de sécurité et les vulnérabilités sur le terminal
  4. Suite d’EPP (protection du terminal) : une fonctionnalité de base qui était disponible avec la précédente génération de logiciels de sécurité des terminaux et comprenant des fonctionnalités anti-malware, anti-phishing et anti-exploit
  5. Support géographique : capacité d’un fournisseur d’EDR à accompagner une entreprise internationale, car la sécurité des informations est essentielle à sa mission
  6. Services gérés : la capacité de l’EDR à fournir des données à un Service de sécurité gérée ou à un fournisseur de Détection et de Réponse gérées pour accroître les capacités de l’équipe en charge de la sécurité
  7. Prise en charge des systèmes d’exploitation : pour être efficace, un EDR doit prendre en charge tous les systèmes d’exploitation utilisés par votre organisation,
  8. Prévention : il ne suffit pas de détecter une menace, un EDR efficace doit également fournir des mesures préventives afin de contribuer à réduire le risque et permettre aux équipes d’agir.
  9. Intégration tierce-partie : une stratégie complète de sécurité des données exige souvent une intégration avec de nombreux produits : les EDR doivent proposer des API ou des fonctions d’intégration à d’autres solutions, afin de fournir une approche multi-couches de la sécurité plus complète.

Sécurité du terminal vs logiciel antivirus

Comme nous l’avons indiqué plus haut, l’anti-malware est toujours un composant essentiel des solutions d’EDR. Les anciennes générations de logiciels antivirus détectent les menaces à l’aide de signatures, dont ils doivent disposer à l’avance pour détecter les logiciels malveillants. Pour mieux protéger les utilisateurs, les solutions d’EDR de nouvelle génération intègrent une analyse prédictive et une détection avancée des menaces.

Parmi les autres fonctionnalités présentes dans les solutions d’EDR mais absentes des solutions AV traditionnelles, on peut citer :

  • Suppression des malwares en fonction de signatures concordantes et d’analyses
  • Protection antispyware
  • Pare-feu local
  • Systèmes d’alerte pour la détection et la prévention des intrusions
  • Contrôle des applications et gestion des utilisateurs
  • Contrôle des données, dont celles des appareils mobiles
  • Chiffrage complet du disque
  • Prévention des fuites de données
  • Listes blanches d’applications

Si les solutions d’EDR protègent les terminaux sur votre réseau, elles sont limitées au type d’activité qu’elles peuvent surveiller ainsi qu’au type de malwares ou de cyberattaques qu’elles peuvent détecter. Varonis est conçu pour protéger les données d’entreprise contre les attaques zero-day au-delà du terminal – replaçant la télémétrie du périmètre au centre des activités effectuées sur les fichiers et du comportement des utilisateurs, depuis vos dépôts de données centraux.

Certains comportements pouvant sembler normaux sur un terminal, comme la connexion d’un utilisateur avec un identifiant et un mot de passe valides, ne déclencheront pas nécessairement un signal d’alarme lorsque seul un EDR est utilisé. Mais cet événement de connexion peut s’avérer suspect s’il est détecté depuis plusieurs emplacements et dans un court laps de temps. Varonis DatAlert et Edge analysent l’activité sur les fichiers, les événements utilisateur et la télémétrie du périmètre afin d’identifier les comportements anormaux avec un contexte supplémentaire : ainsi, même une activité en apparence inoffensive est analysée dans son contexte afin d’élargir la perspective.

Voyez comment l’EDR et Varonis peuvent travailler de concert – cliquez ici pour une démonstration personnalisée et découvrez comment une stratégie de sécurité multi-couches peut fonctionner dans votre environnement.