EDR
Les noms choisis pour les produits et les services, en plus de leurs différentes fonctions et caractéristiques, est une tâche assez difficile dans le domaine de la sécurité de l’information. Pourquoi ? La complexité…
La cybersécurité n’est pas un objet unidimensionnel, contrairement à un bateau par exemple. On trouve des bateaux de différentes tailles mais, en dehors de ça, un bateau reste un bateau. Ce n’est pas le cas en sécurité de l’information. Comment tout un système moderne de cybersécurité peut avoir un nom simple, accrocheur (si possible) et facile à comprendre ? Comment faire la différence entre un système de sécurité et un autre ? Il est souvent difficile d’expliquer ces différences dans un long paragraphe, alors comment le faire lorsqu’il s’agit du nom d’un produit ou d’un service ? Comme je l’ai dit, c’est assez difficile.
C’est peut-être pour cette raison que les solutions de Kaspersky sont souvent associées à l’idée d’ » antivirus « . Pourtant, la détection et la neutralisation des programmes malveillants à partir d’une base de données d’antivirus n’est actuellement qu’une de nos diverses technologies de sécurité. En un quart de siècle nous en avons ajoutées plein d’autres. De nos jours, le mot antivirus est une métaphore : il est connu, compris et pratique (même s’il n’est pas vraiment exact ou actuel).
Que sommes-nous censés faire si nous devons parler d’une protection complexe et multifonctionnelle conçue pour l’infrastructure informatique d’une entreprise ? C’est à ce moment-là que divers mots étranges apparaissent. Il y a ensuite toutes les abréviations qui en découlent, dont les idées originales doivent être simplifiées (à partir de ces mots bizarres) alors qu’elles amènent parfois plus de confusion ! Le nombre de termes et de sigles augmente chaque année, et il est de plus en plus… difficile de tous les mémoriser. Je vais essayer de décortiquer tout ce charabia tous ces noms, termes, descriptions et abréviations complexes mais nécessaires. Mon objectif est le même que celui des abréviations : clarifier les choses.
Nous passons de EPP à XDR
Revenons-en à notre bateau ; enfin, antivirus.
De nos jours, Endpoint Protection ou Endpoint Security est le nom le plus précis pour désigner cette catégorie de produits. Après tout, comme je l’ai dit auparavant, les terminaux ne sont pas seulement protégés par un antivirus mais par tout en ensemble de mesures de sécurité. Ces diverses technologies pour terminaux utilisent parfois un autre nom qui inclut le mot » plateforme « . Ce choix semble plus pertinent et plus précis en termes de description, mais surtout plus tendance puisque cette solution s’abrège de cette façon : EPP (Endpoint Protection Platform, ou Plateforme de protection des terminaux).
La plateforme de protection des terminaux est, par nature, un concept qui remonte aux années 90. Elle est encore nécessaire mais d’autres méthodes doivent être adoptées pour protéger efficacement les infrastructures distribuées. Les données doivent être recueillies et analysées à partir de tout le réseau afin de détecter les incidents singuliers mais aussi toutes les chaînes d’attaque qui ne se limitent pas à un seul terminal. Tout le réseau doit réagir aux menaces, pas seulement un ordinateur.
Dix ans plus tard, au début des années 2000, une nouvelle classe de produits connue comme SIEM (Security Information and Event management, ou Systèmes de gestion des événements et des informations de sécurité) fait son apparition. Il s’agit d’un outil qui recueille et analyse toute la télémétrie relative à la sécurité de l’information des différents appareils et applications. Elle ne sert pas que dans l’actualité : un bon SIEM peut effectuer une analyse rétrospective, en comparant les événements passés et en révélant les attaques qui durent pendant des mois voire des années.
À ce moment-là, donc au début des années 2000 pour ceux qui ne suivent pas, nous travaillons déjà avec tout le réseau. Mais il n’y a pas de » P » pour » Protection » dans SIEM. Ainsi, c’est l’EPP (la plateforme de protection des terminaux ; celui au fond de la classe, en retenue !) qui s’occupe de la protection. Pourtant, l’EPP ne voit pas les événements réseau. Par exemple, cette solution peut facilement passer à côté d’une APT (menace persistante avancée).
Ainsi, début 2010, une nouvelle abréviation a complété ce vide et pouvait assurer ces deux fonctionnalités de sécurité : EDR (Endpoint Detection and Response). D’une part, cette solution offre une surveillance centralisée de toute l’infrastructure informatique et permet, par exemple, de compiler toutes les traces d’attaques de tous les hôtes. D’autre part, le produit de type EDR utilise les méthodes de détection de l’EPP mais aussi des technologies plus avancées : une analyse de corrélation des événements, l’identification d’anomalies à partir de l’apprentissage automatique, l’analyse dynamique des objets suspects dans la sandbox, ainsi que des outils de chasse des menaces afin d’aider dans la recherche et dans la réponse.
Chez Kaspersky, lorsque nous créons notre propre solution EDR, nous devons lui apporter notre touche personnelle et c’est ce qui donne naissance à KEDR.
Jusqu’ici, tout va bien très bien. Mais… la perfection n’existe pas !
Nous voilà un peu plus tard, début 2020, avec un nouveau sigle qui devient très rapidement le nouveau terme à la mode en cybersécurité : XDR (eXtended Detection and Response, ou détection et réponse étendues). En résumé, c’est l’EDR avec des stéroïdes. Ce système analyse les données des terminaux (postes de travail) mais aussi d’autres sources, comme la passerelle de messagerie électronique et les ressources du Cloud. Ce comportement est parfaitement logique puisque les attaques qui touchent les infrastructures viennent de partout.
La solution XDR peut aussi être enrichie en termes d’expertise en obtenant plus de données des :
- Services d’analyse des menaces (ce que nous appelons TIP, ou Threat Intelligence Portal),
- Systèmes d’analyse du trafic du réseau (notreKATA),
- Systèmes de surveillance des événements de sécurité.
Ces données peuvent aussi être envoyées par des services tiers similaires.
Les capacités de réponse de la solution XDR sont avancées. De plus en plus d’actions sont automatisées, alors qu’avant elles étaient faites manuellement. Le système de sécurité peut désormais répondre aux événements selon les règles et les scénarios rusés établis par les experts.
Plateforme Kaspersky Anti-Targeted Attack avec des fonctionnalités XDR.
Plus compliqué ou plus simple ?
J’espère que vous avez maintenant compris que n’importe quelle solution EDR ou XDR inclut tout un ensemble de technologies beaucoup plus vastes et complexes. Pourtant, les fonctionnalités offertes par les solutions EDR ou XDR des différents fournisseurs peuvent grandement varier. Par exemple, chaque fournisseur détermine ce que leurs experts ajoutent aux solutions EDR/XDR, et dans quelle mesure ils le font, afin de mieux refléter et donc repousser les attaques modernes. Même si toutes les solutions s’appellent EDR ou XDR, elles sont loin d’être identiques.
Par exemple, en plus des fonctionnalités XDR mentionnées ci-dessus, notre plateforme Kaspersky XDR dispose également d’un module qui offre une formation interactive afin d’améliorer les connaissances des employés de l’entreprise cliente en cybersécurité. Je peux vous garantir qu’aucune autre solution XDR ne le fait ! C’est une très bonne raison pour trinquer, mais aussi pour nous vanter.
À vrai dire, les sceptiques pourraient ne pas être convaincus. Ils pourraient dire que si nous ajoutons simplement les mécanismes de protections pour les entreprises (évier et tout le reste), ce pourrait être trop ?! Un bourbier qui devient trop complexe, trop lourd, et trop difficile à comprendre et à maîtriser. » Qu’est-ce que ce sera ensuite ?! » pourraient-ils penser ; une nouvelle stratégie marketing qui parlera de YDR l’année prochaine puis ZDR l’année suivante ?!
Je sais où ils veulent en venir. Nous avons écouté nos clients. Au fil du temps, nous nous sommes rendu compte que lorsqu’il s’agit de la cybersécurité pour les entreprises, toutes non pas besoin de tout ça et de l’évier. En les écoutant nous avons constaté qu’elles ont souvent besoin d’un ensemble de base d’outils EDR ainsi que d’instructions claires et pratiques afin de savoir comment les utiliser correctement. C’est notamment le cas des petites et moyennes entreprises qui ont une équipe réduite de spécialistes en sécurité de l’information.
Qu’avons-nous fait pour répondre à ces besoins essentiels ? Nous avons mis au point une nouvelle version améliorée d’EDR, KEDR Optimum : » une détection avancée, des investigations simples et une réponse automatisée dans une seule solution facile à utiliser, pour protéger votre entreprise des menaces les plus récentes. » Par exemple, les nouvelles alertes incluent, en plus d’une description détaillée des événements et des menaces suspects, une section Guided Response. L’utilisateur y trouve des conseils étape par étape pour faire des recherches sur les menaces détectées et pour y répondre.
Conseils de Kaspersky Endpoint Detection and Response Optimum.
Ces conseils ont été élaborés à partir du travail effectué pendant des décennies par nos experts, et se présentent sous la forme de liens qui ouvrent une description détaillée des mesures de protection à adopter. Cette méthode améliore le temps de réaction et permet aux personnes qui se forment pour devenir des spécialistes en sécurité de l’information à développer leurs connaissances, notamment grâce à des pop-ups interactives :
Pop-up interactive de Kaspersky Endpoint Detection and Response Optimum.
De plus KEDR Optimum peut désormais garder un œil sur les spécialistes en sécurité de l’information qui pourraient accidentellement bloquer un objet critique du système. Après tout, un programme malveillant peut parfois s’exécuter en utilisant les fichiers légitimes du système d’exploitation, et le blocage de ces fichiers pourrait entraver les opérations de toute l’infrastructure informatique. Vous assurez vos arrières avec KEDR Optimum.
Enfin, je dois mentionner un dernier point à propos de KEDR Optimum. J’ai moi-même, M. K, rédigé cet article. Vous préférez lire quelque chose de plus impartial ? Je vous en prie ! Consultez les tests réalisés par divers laboratoires indépendants, dont IDC, Radicati et SE Lab, pour savoir ce qu’ils en pensent. Voilà, nous n’avons rien à cacher. Nous sommes 100 % transparents et équitables.
Conseils