EDR
Lors que l’on parle de stratégie de sécurité informatique, les entreprises n’ont qu’une question à la bouche : quelles mesures sont suffisantes ? Longtemps, la sagesse populaire jugeait qu’une stratégie passive (protéger le périmètre réseau et les stations de travail) suffisait. Mais alors que de plus en plus d’entreprises sont victimes d’attaques avancées et ciblées, il est désormais clair que la protection demande de nouvelles méthodes comme l’EDR (Endpoint Detection and Response).
Pourquoi les stratégies passives ne suffisent pas
Les stratégies passives fonctionnent bien contre les menaces massives : les e-mails qui contiennent des chevaux de Troie, le phishing, les vulnérabilités bien connues, etc. En d’autres mots, ces stratégies sont efficaces quand les attaquants jettent un grand filet en espérant attraper et profiter de tous ceux qu’ils pourront arriver à piéger. Leurs activités sont illégales, mais elles ressemblent tout de même aux pratiques d’entreprise en recherchant un bon équilibre (dans ce cas, l’équilibre entre la complexité de l’attaque et son coût et le profit attendu).
Cependant, si votre entreprise devient une cible intéressante (et si c’est une entreprise, vous pouvez être sûre qu’elle suscite de l’intérêt), elle pourrait devenir une cible spécifique. Ceux qui visent les entreprises peuvent être intéressés par des choses totalement différentes comme des transactions financières, des secrets d’affaires, ou encore les données de vos clients. Leur objectif peut aussi tout simplement être un sabotage pour aider vos concurrents. Certains peuvent juste penser qu’il est rentable d’attaquer une société de votre domaine d’activité.
C’est là que les criminels investissent dans des attaques ciblées et complexes. Ils recherchent le logiciel que votre société utilise en cherchant des vulnérabilités encore inconnues sur le marché et en développant des exploits uniques. Ils peuvent chercher des moyens de vous atteindre par le biais de partenaires et de fournisseurs et acheter d’anciens employés. Ils peuvent trouver des employés mécontents et essayer d’organiser une attaque de l’intérieur. Dans ce cas, les criminels peuvent procéder sans aucun malware en se fiant exclusivement aux outils légitimes qu’une solution de sécurité traditionnelle ne verra pas comme des menaces.
Pourquoi un délai peut être dangereux
Il est possible que les systèmes passifs détectent une attaque ciblée ou une activité liée à celle-ci. Cependant, même s’ils le font, les systèmes ne détecteront la plupart du temps que l’incident lui-même et ne vous aideront pas à déterminer rapidement ce qui s’est réellement passé, quelles informations ont été affectées par l’incident, comment y mettre un terme et comment empêcher qu’il ne se reproduise.
Si votre société utilise des outils de sécurité d’endpoint traditionnels, les employés du service de sécurité ne seront pas toujours capables de répondre à une attaque à temps. Ils ont les mains liées pendant qu’ils attendent qu’un cyberincident ait lieu ; ce n’est qu’après qu’ils peuvent commencer une investigation. De plus, ils peuvent rater un incident prioritaire parmi les centaines de petits incidents qui font partie du quotidien des affaires.
Les analystes obtiennent généralement ces données bien plus tard. Ce n’est qu’après une enquête soigneuse qui comprend normalement du travail manuel fastidieux que l’incident sera signalé aux experts en réponse et récupération. Même dans les grandes entreprises avec des centres de réponse sérieux, les trois rôles (spécialiste en sécurité, analyste et expert de réponse) sont souvent tenus par la même personne.
Selon nos statistiques, il s’écoule en moyenne 214 jours entre l’entrée initiale dans le système et le moment où une grande entreprise détecte une menace complexe. Dans le meilleur des cas, le spécialiste en sécurité informatique réussit à identifier des traces d’une attaque à la dernière étape d’une chaîne d’abattage. Le plus souvent, il ne lui reste plus qu’à calculer les pertes et à s’occuper de la récupération des systèmes après les faits.
Comment minimiser les risques et optimiser la sécurité informatique
Une nouvelle approche adaptative est requise pour protéger la propriété intellectuelle, la réputation et d’autres atouts clés des organisations. Les stratégies de périmètre réseau et de protection de la station de travail doivent être ajustées et renforcées par des outils de recherche actifs et une enquête et une réponse unifiées en réponse aux menaces de cybersécurité.
Une stratégie de True Cybersecurity comprend souvent l’utilisation d’un concept de recherche actif connu comme la chasse de menaces. C’est une tâche plutôt difficile, mais l’utilisation d’outils spécialisés peut la simplifier considérablement. L’EDR ou endpoint detection and response fait partie de ces outils. Cela donne à l’équipe de sécurité informatique la capacité d’identifier des menaces sur des stations de travail rapidement en utilisant une interface unifiée et pour rassembler des informations automatiquement et neutraliser une attaque. Les systèmes EDR utilisent des informations de renseignement sur les menaces que de nombreuses sociétés acquièrent de différentes sources pour contrôler les processus dans leurs réseaux d’entreprise.
En théorie, la chasse des menaces peut avoir lieu sans EDR ; cependant, la chasse des menaces purement manuelle est significativement plus chère et moins efficace. Mais il y a plus encore : cela peut affecter négativement les processus d’entreprise dans la mesure où cela demande aux analystes d’interférer directement avec un grand nombre de stations de travail.
Dans l’essence, l’EDR donne aux experts du centre des opérations de sécurité la capacité à collecter rapidement toutes les informations dont ils ont besoin (automatiquement et manuellement), à prendre des décisions et à effacer tout fichier ou malware par le biais de l’interface de contrôle unifier, à placer des objets en quarantaine et à lancer des processus requis pour la récupération – tout cela sans que les utilisateurs ne remarquent rien parce qu’aucun accès physique à la station de travail n’est requis, pas plus qu’une interruption des opérations d’affaires.
Nous avons travaillé sur des solutions pour ces problèmes depuis un certain temps et avons lancé une version pilote de notre propre solution EDR. En savoir plus sur Kaspersky Endpoint Detection and Response.
Conseils