Pourquoi passer à l’EDR ?

mySOC & Security-as-a-Service
Pourquoi passer à l’EDR ?
Dopé par l’explosion de la menace cyber et le recours massif au télétravail ces derniers mois, les outils Endpoint Detection & Response (EDR) ont la cote. Ces logiciels de sécurité servent en effet à protéger les terminaux reliés au système d’information (SI). Mais en quoi diffèrent-ils de nos antivirus classiques  ?
 
 

Se protéger dans l’incertitude

Dans le contexte de l’épidémie de Covid-19 et de ses différents confinements, le télétravail a explosé et avec lui, le cyber risque. Les signalements de ransomwares en particulier ont augmenté de 255 % en 2020 selon l’ANSSI.  Or, nos antivirus classiques, dont le fonctionnement repose sur la reconnaissance de signatures connues, ne sont pas adaptés pour faire face à cette menace polymorphe et en perpétuelle évolution. De plus, les antivirus examinent des fichiers pour y débusquer les malwares mais quid de ceux qui se cacheraient en script ou directement en mémoire ? 
De son côté, l’EDR procède à une analyse comportementale du endpoint, c’est-à-dire de tout ce qui a trait à l'activité des postes de travail, des serveurs et des mobiles ou tablettes. Cette opération le rend plus puissant et efficace pour détecter des menaces changeantes ou encore inconnues.
 
« Contrairement aux antivirus, les solutions EDR permettent aussi de nous guider dans la phase de résolution puisqu’elles disposent de fonctions de réaction en cas d’incident : isolation de poste, blocage, arrêter un processus, etc. » Eric Arnoult, Responsable SOC, Advens
 
Enfin, l’EDR propose des fonctionnalités avancées d’investigation, ce qui en fait un outil très apprécié des équipes SOC.
 
 

Passer d’une détection centrée sur l’équipement à une détection centrée sur l’attaque

On l’a vu, l’EDR agit en complément de l’antivirus classique car son approche comportementale et l’utilisation d’intelligence artificielle permettent la détection de menaces inconnues ou fortement évolutives comme les ransomwares. Cette technologie contribue également à une meilleure visibilité en matière de sécurité informatique. Il suffit d’installer l’agent sur chaque endpoint, parfois de façon automatique grâce à un outil de déploiement, pour qu’il vienne alimenter le SOC et les analystes cybersécurité. Vous disposez ainsi d’informations capitales sur les agissements de l’attaquant.
 
L’EDR renforce enfin votre capacité de réaction : grâce à sa rapidité de réponse et de déploiement rapide, vous êtes à même de limiter l’impact d’une attaque en cours. C’est ainsi que de nombreuses offensives Emotet ont pu être bloquées fin 2020, avant que le virus ne déclenche un cryptolocker qui aurait fait encore plus de dégâts.
 
 

Comment choisir sa solution d’EDR ?

Avant même de sélectionner une solution parmi l’offre EDR existante, il est important de bien prendre en compte les limites de cette technologie. La première concerne le serveur d’analyse sur lequel l’EDR remonte les données issues des endpoints : si celui-ci est indisponible, les alertes ne sont plus générées. Ensuite, il faut évaluer les impacts éventuels de la solution sur les performances. Pour les solutions intégrant des fonctions d'AV/NGAV, activer simultanément la base de signatures sur tous les assets peut avoir des impacts, comme par exemple saturer le réseau ou, dans le secteur Santé par exemple, ralentir un serveur de fichiers d'imagerie médicale. Enfin, la définition des politiques est particulièrement sensible sur ce type de projets puisqu’elle va permettre de réduire le taux de faux positifs et d’éviter de détecter comme malveillant des applicatifs Métier tout à fait légitimes !
 
Pour faire le bon choix parmi les nombreuses solutions d’EDR disponibles, voici les critères auxquels prêter attention en fonction de vos besoins : 
  • Capacités de détection et de remédiation ; Capacités d’intégration dans un SOC; Couverture du référentiel MITRE ATT&CK;
  • Complétude de la couverture du parc (IT, OT, mobiles); Industrialisation du déploiement;
  • Fonctionnement en mode déconnecté; déploiement on-premise/cloud/hybride; Nature et localisation de l’hébergement des données;
  • Ergonomie du reporting et de la console d’administration; Capacité d'analyse et fonctionnalités de threat hunting;
  • Ouverture (API); Capacité à proposer du XDR; Volonté de disposer d’un seul agent EPP et EDR.
Dans tous les cas, il faut impérativement évaluer la capacité d’intégration de votre future solution d’EDR dans vos processus de sécurité opérationnelle.
 
L’EDR est donc devenu un incontournable de la protection des endpoints, mais l’outil seul ne suffit pas. Une compréhension fine des besoins, des périmètres à protéger et des usages attendus est nécessaire pour tirer le meilleur parti de cette technologie au quotidien. C’est pourquoi il peut être intéressant de vous faire accompagner avec une solution d’EDR managé.
 
 
Benjamin Leroux, Innovation & Marketing, Advens