EDR
Lorsque les menaces informatiques ne menaçaient que certains départements d’une entreprise, les mesures de prévention et le bon sens pouvaient être une protection fiable. De nos jours, la tristement célèbre transformation numérique a complètement changé les processus opérationnels en introduisant des technologies de l’information presque partout. Par conséquent, de plus en plus de systèmes sont connectés aux réseaux de l’information ; de plus en plus de personnes les utilisent ; et ils introduisent de nouveaux services, des technologies et des outils numériques. Tous ces éléments exigent de nouvelles approches afin d’assurer la sécurité des informations.
Une solution de protection n’est désormais plus suffisante. Bien sûr, cela ne signifie pas que les mécanismes de protection soient inutiles. Ils sont encore parfaitement capables de gérer la grande majorité des menaces de masse. Cependant, plus votre entreprise est grande, plus les intrus qui en ont les moyens trouvent intéressant de préparer une attaque complexe et sophistiquée. Les techniques habituelles ne sont pas toujours efficaces contre de telles attaques.
En quoi réside la complexité de l’attaque ciblée ?
La principale différence entre les attaques ciblées et les attaques de masse réside dans la méticulosité de la démarche. Avant de passer à l’action, les pirates informatiques peuvent passer énormément de temps à collecter des informations et à analyser votre infrastructure. Ils sont patients. Être prêts à essayer d’implanter quelque chose dans votre réseau peut leur prendre plusieurs mois, et ce quelque chose peut ne pas être identifié uniquement comme une menace. Il ne s’agit pas forcément d’un code malveillant. Il peut s’agir d’un module de communication caché qui utilise des protocoles communs, et dans ce cas le système de surveillance sera incapable de le distinguer d’une application utilisateur légitime.
De tels modules s’activent au dernier moment, lorsque les acteurs de la menace ont besoin d’accéder au réseau, de commettre une opération malveillante ou de saboter un processus. Si vous disposez d’une solution de protection fiable, alors il est probable que le système réagisse à l’anomalie et empêche l’incident. Cependant, même dans ce cas, vous ne verrez que la partie visible de l’iceberg. Le travail principal des intrus restera invisible, surtout s’ils ont anticipé comment ils allaient nettoyer leurs traces. C’est aspect est fondamentalement inacceptable.
Pourquoi vous devez savoir comment les malfaiteurs agissent ?
Vous vous demandez peut-être quel est l’avantage pratique de savoir comment les intrus s’introduisent dans votre infrastructure, surtout si l’incident a été empêché. Il y a un avantage, et chaque incident doit être minutieusement étudié.
Tout d’abord, connaître la source du problème va vous permettre de ne pas tomber deux fois dans le même piège. Si vous laissez les choses telles quelles sont, en ne comptant que sur les mesures de protection, les pirates informatiques vont inévitablement utiliser à nouveau le même scénario d’attaque, mais ils auront amélioré, peut-être considérablement, leurs méthodes.
Ensuite, savoir comment les intrus ont réussi à entrer dans votre système va vous permettre de réagir sérieusement et, plus important, rapidement. La brèche peut ne pas être due à des vulnérabilités du programme ou du matériel informatique. Les pirates informatiques peuvent accéder à votre infrastructure à travers un employé, sciemment ou non. La menace peut aussi venir des réseaux de sous-traitants, ou du fournisseur d’accès à internet, qui ont accès à vos systèmes pour des raisons professionnelles.
Sans oublier que les pirates informatiques peuvent disposer d’autres implantations dans votre réseau, et que l’incident peut n’être qu’une partie de leur plan ou une technique de distraction.
Que pouvez-vous faire ?
Afin de protéger votre infrastructure des attaques ciblées et avancées, il faut que vous renforciez vos mécanismes de sécurité avec un système qui vous permettra d’examiner le passé. Les pirates informatiques peuvent effacer les informations et dissimuler leurs traces comme ils l’entendent, mais si vous disposez d’un système de détection et de réponse sur le point de terminaison (EDR), alors les enquêteurs peuvent facilement remonter à la source de l’incident. Ils peuvent le faire sans perturber de nouveau la continuité des processus de l’entreprise.
Pour y remédier nous vous proposons la plateforme Threat Management and Defense, une version qui associe notre solution, qui a fait ses preuves au fil du temps, Kaspersky Anti Targeted Attack, et une toute nouvelle solution Kaspersky Endpoint Detection and Response avec des services spécialisés. Ce logiciel vous laisse mettre en place une approche stratégique pour gérer les menaces informatiques.
Comme Kaspersky Anti Targeted Attack utilise des technologies dont l’efficacité a été prouvée et repose sur l’apprentissage automatique, ce logiciel vous permet de trouver les anomalies du trafic réseau, d’isoler les processus suspicieux et de chercher des corrélations entre les événements. Kaspersky Endpoint Detection and Response permet de rassembler et de visualiser les données critiques recueillies au cours de l’enquête d’incidents. Grâce à ses services, vous pouvez obtenir de l’aide à n’importe quel moment si vous rencontrez des incidents particulièrement difficiles, former votre personnel du centre de contrôles ou sensibiliser l’ensemble des employés de l’entreprise.
Pour en savoir plus sur notre plateforme Threat Management and Defense, veuillez-vous rendre sur la page du site qui y est consacrée.
Conseils