Comprendre la détection et la réponse au niveau des terminaux

EDR – Signification et définition

La technologie de détection et de réponse au niveau des terminaux (EDR) fait référence à une catégorie d'outils qui surveillent en permanence les informations relatives aux menaces sur les postes de travail et les autres terminaux. L'objectif de l'EDR est de détecter les violations de la sécurité en temps réel et d'élaborer une réponse rapide aux menaces. La technologie de détection et de réponse au niveau des terminaux – parfois appelée détection et réponse aux menaces au niveau des terminaux (ETDR) – décrit les capacités d'un ensemble d'outils, dont les détails peuvent varier en fonction de la mise en œuvre.

Le terme a été inventé par Gartner en 2013 pour mettre en avant ce qui était alors considéré comme une nouvelle catégorie de logiciels de cybersécurité.

Comment l'EDR fonctionne-t-elle ?

L'EDR se concentre sur les terminaux, qui peuvent correspondre à n'importe quel système informatique dans un réseau, comme les postes de travail ou les serveurs des utilisateurs finaux. Les solutions de sécurité EDR offrent une visibilité en temps réel ainsi qu'une détection et une réponse proactives. Elles y parviennent grâce à diverses méthodes, dont les suivantes :

Collecte de données à partir des terminaux :

Les données sont générées au niveau des terminaux, notamment les communications, l'exécution des processus et les connexions des utilisateurs. Ces données sont rendues anonymes.

Envoi des données à la plateforme de EDR :

Les données rendues anonymes sont ensuite envoyées de tous les terminaux à un emplacement central, qui est généralement une plateforme EDR basée sur le cloud. Celle-ci peut également fonctionner sur site ou sous la forme de cloud hybride, selon les besoins de chaque organisation.

Analyse des données :

La solution utilise l'apprentissage machine pour analyser les données et effectuer une analyse comportementale. Les informations sont utilisées pour établir une base de référence de l'activité normale afin de pouvoir identifier les anomalies qui représentent une activité suspecte. Certaines solutions EDR incluent une Threat Intelligence afin de fournir un contexte à l'aide d'exemples concrets de cyberattaques. La technologie compare l'activité du réseau et des terminaux avec ces exemples pour détecter les attaques.

Signalement des activités suspectes et réponse à celles-ci :

La solution signale les activités suspectes et envoie des alertes aux équipes de sécurité ainsi qu'aux parties prenantes concernées. Elle déclenche également des réponses automatisées en fonction de déclencheurs prédéterminés. Par exemple, la réponse peut consister à isoler temporairement un terminal pour empêcher un logiciel malveillant de se propager sur le réseau. 

Conservation des données pour une utilisation ultérieure :

Les solutions EDR préservent les données pour soutenir les enquêtes futures et la recherche proactive des menaces. Les analystes et les outils utilisent ces données pour enquêter sur des attaques prolongées existantes ou des attaques non détectées auparavant.

L'utilisation de l'EDR est de plus en plus répandue, en partie à cause de l'augmentation du nombre de terminaux connectés aux réseaux et en partie à cause de la complexification des cyberattaques qui se concentrent souvent sur les terminaux, qui constituent des cibles plus faciles pour infiltrer un réseau.

Que rechercher dans une solution EDR ?

Les fonctionnalités de l'EDR varient d'un fournisseur à l'autre. Avant de choisir une solution EDR pour votre entreprise, il est donc important d'enquêter sur les capacités de tout système proposé et sur la façon dont il peut s'intégrer à vos capacités de sécurité globales existantes. La solution EDR idéale est celle qui offre le plus haut niveau de protection tout en exigeant le moins d'efforts et d'investissements possible. Elle apporte une valeur ajoutée à votre équipe de sécurité sans pour autant épuiser ses ressources. Voici les principales caractéristiques auxquelles il convient de prêter attention :

Visibilité des terminaux :

La visibilité de tous vos terminaux vous permet de visualiser les menaces en temps réel afin de les arrêter immédiatement.

Base de données de menaces :Une solution EDR efficace exige que des données importantes soient collectées à partir des terminaux et qu'elles soient enrichies par le contexte afin que l'analyse puisse identifier les signes d'une attaque.

Protection comportementale :

L'EDR fait appel à des approches comportementales qui recherchent des indicateurs d'attaque (IOA) et avertissent les parties concernées des activités suspectes avant qu'une violation ne se produise.

Aperçu et renseignements :

Les solutions EDR qui intègrent une Threat Intelligence peuvent fournir un contexte, comme des informations sur l'attaquant présumé ou d'autres détails relatifs à l'attaque.

Réponse rapide :

L'EDR qui facilite une réponse rapide aux incidents peut empêcher une attaque avant qu'elle ne devienne une violation, ce qui permet à votre organisation de continuer à fonctionner normalement.

Solution dans le cloud :

Une solution de détection et de réponse au niveau des terminaux basée sur le cloud ne génère aucun impact sur les terminaux, mais permet aux fonctions de recherche, d'analyse et d'enquête de se poursuivre de façon précise et en temps réel.

Les détails précis et les fonctionnalités d'un système EDR peuvent varier en fonction de sa mise en œuvre. Une mise en œuvre d'une solution EDR peut impliquer :

• un outil particulier conçu à cet effet ;
• un petit composant d'un outil de surveillance de la sécurité plus large ;
• un ensemble d'outils utilisés en combinaison les uns avec les autres.

Dans la mesure où les pirates informatiques font évoluer leurs techniques en permanence, les systèmes de protection traditionnels peuvent s'avérer insuffisants. Les experts en cybersécurité considèrent l'EDR comme une forme de protection contre les menaces avancées.

Pourquoi l'EDR est indispensable aux entreprises

La plupart des organisations sont exposées à un large éventail de cyberattaques. Il peut s'agir d'attaques simples et opportunistes, comme l'envoi par un pirate informatique d'une pièce jointe contenant un ransomware connu, ou d'attaques plus avancées dans lesquelles les pirates informatiques peuvent exploiter des failles ou des méthodes d'attaque connues et tenter de les dissimuler en utilisant des techniques d'évasion, comme l'exécution de programmes malveillants en mémoire.

Pour cette raison, la sécurité des terminaux est un aspect essentiel de la stratégie de cybersécurité d'une organisation. Si les défenses basées sur les réseaux permettent de bloquer une grande partie des cyberattaques, certaines passent à travers et d'autres (comme les programmes malveillants diffusés sur des supports amovibles) peuvent contourner entièrement ces défenses. Une solution de défense basée sur les terminaux permet à une organisation de mettre en œuvre une sécurité renforcée, et augmente ses chances de repérer ces menaces et d'y répondre.

Alors que les organisations du monde entier se tournent de plus en plus vers le travail à distance, l'importance d'une protection robuste des terminaux se fait de plus en plus sentir. Les employés travaillant à domicile peuvent ne pas être protégés contre les cybermenaces au même degré que les travailleurs sur site et sont susceptibles d'utiliser des appareils personnels ne disposant pas des dernières mises à jour et correctifs de sécurité. Les employés qui travaillent à distance peuvent être moins attentifs à la question de la cybersécurité que s'ils se trouvaient dans un cadre de travail traditionnel.

Par conséquent, les organisations et leurs employés sont exposés à des risques supplémentaires sur le plan de la cybersécurité. Une sécurité forte des terminaux est essentielle, car elle protège l'employé des menaces et peut empêcher des criminels d'utiliser l'ordinateur d'un travailleur distant pour attaquer le réseau de l'organisation.

Les mesures correctives à prendre en cas de violation peuvent être difficiles et coûteuses, et c'est peut-être la principale raison pour laquelle une solution EDR est si importante. Sans solution EDR en place, les entreprises peuvent passer des semaines à essayer de déterminer les mesures à prendre. Bien souvent, leur seule solution est de recréer les machines, ce qui peut être très perturbant, réduisant la productivité et entraînant des pertes financières.

L'EDR par rapport aux antivirus

L'EDR n'est pas un logiciel antivirus, bien qu'elle puisse présenter des fonctionnalités antivirus ou utiliser des données provenant d'un produit antivirus. Un logiciel antivirus est chargé de se prémunir contre les cybermenaces connues, tandis qu'un programme EDR identifie les nouveaux exploits au fur et à mesure de leur exécution et peut détecter les activités suspectes d'un pirate informatique pendant un incident actif. Cela dit, les logiciels EDR font partie de la dernière génération de produits de cybersécurité.

Pratiques exemplaires en matière d'EDR

Il existe plusieurs pratiques exemplaires à prendre en compte lors de la mise en œuvre de l'EDR dans votre organisation :

Ne négligez pas les utilisateurs

Les utilisateurs représentent l'un des plus grands risques pour tout système, car ils peuvent causer des dommages soit par une intention malveillante, soit par une erreur humaine. Informez vos utilisateurs sur les cybermenaces et les comportements à risque afin de les sensibiliser à la sécurité et de minimiser les risques liés à des pratiques telles que le phishing ou l'ingénierie sociale. Des formations régulières ou des scénarios de menaces simulées permettront de sensibiliser les utilisateurs aux problèmes de cybersécurité et d'accélérer le temps de réaction en cas d'incident.

Certains utilisateurs risquent de trouver des solutions de contournement si une solution EDR est intrusive pour l'expérience utilisateur. Par exemple, ils pourraient désactiver la fonctionnalité de défense en vue d'améliorer leur expérience. Cependant, si une solution s'adapte trop aux demandes des utilisateurs, les pirates informatiques peuvent la trouver facile à manipuler. Il peut être utile d'être aussi transparent que possible pour un utilisateur final, en veillant à ce qu'il comprenne pourquoi ces solutions sont mises en place. Lorsque des interactions avec les utilisateurs sont nécessaires, les communications doivent être claires et directes. Le système ne doit pas divulguer d'informations inutiles, comme des données personnelles ou des architectures IP.

Intégration avec d'autres outils

Les solutions EDR sont conçues pour protéger les terminaux, mais n'offrent pas une couverture de sécurité complète pour tous les éléments numériques de votre organisation. L'EDR doit faire partie de votre stratégie globale de sécurité de l'information, aux côtés d'autres outils, comme les antivirus, la gestion des correctifs, les pare-feu, le chiffrement et la protection DNS.

Utilisez la segmentation du réseau

Si certaines solutions EDR isolent les terminaux lors de la réponse aux menaces, elles ne remplacent pas la segmentation du réseau. Par exemple :

• Un réseau segmenté vous permet de limiter les terminaux à des services et à des stockages de données particuliers. Il peut ainsi réduire considérablement le risque de perte de données et le niveau de dommages qu'une attaque pourrait infliger.
• Les chemins de commutation Ethernet (ESP) peuvent fournir une protection supplémentaire du réseau. Les ESP permettent de masquer la structure du réseau, de sorte que les attaquants ne puissent pas se déplacer facilement entre les segments du réseau.

Prenez des mesures préventives

Vous ne devez jamais dépendre uniquement des réponses actives aux menaces, mais plutôt combiner réponse active et mesures préventives. En veillant à ce que les systèmes restent à jour et corrigés, avec des listes de dépendances et des protocoles complets, vous réduirez le nombre de menaces contre lesquelles vous devez vous prémunir.

Procédez à un audit régulier de vos systèmes pour vérifier que les outils et les protocoles sont toujours configurés et utilisés correctement. Testez les fonctionnalités des systèmes et des outils en effectuant régulièrement des modélisations des menaces ainsi que des tests de pénétration.

Dans l'idéal, votre organisation devrait disposer d'un plan complet de réponse aux incidents qui précise les responsabilités et les mesures à prendre en cas d'attaque. La mise en place d'un plan vous permettra d'améliorer votre temps de réponse aux incidents et vous fournira une structure pour analyser les données collectées après l'événement.

Utilisez les ressources disponibles

Si vous utilisez des outils tiers, servez-vous des ressources pédagogiques fournies par votre fournisseur de solution EDR. De nombreux fournisseurs proposent des formations ou des séminaires en ligne afin de tenir les clients au courant des dernières fonctionnalités et des pratiques exemplaires. Certaines entreprises proposent des cours de courte durée sur divers sujets liés à la sécurité pour un coût minime, voire nul.

Vous pouvez trouver des outils et des informations utiles sur les ressources communautaires et les centres de partage et d'analyse d'informations (ISAO). Parmi les organisations communautaires bien connues dont les sites Web contiennent des données et des informations utiles sur la cybersécurité, citons la National Vulnerability Database (NVD) et l'Open Web Application Security Project (OWASP).

L'EDR par rapport à la XDR

Les outils EDR traditionnels se concentrent uniquement sur les données relatives aux terminaux, offrant une visibilité sur les menaces suspectes. Les solutions EDR évoluent en même temps que les défis auxquels les équipes de sécurité sont confrontées, comme la surcharge d'événements, les outils à usage restreint, le manque d'intégration, le manque de compétences et le manque de temps.

La XDR, ou la détection et la réponse étendues, est une approche plus récente de la détection et de la réponse aux menaces au niveau des terminaux. Le « X » veut dire « extended » (étendu) et représente toute source de données, comme les données du réseau, du cloud, de tiers et de terminaux, compte tenu des limites de l'enquête sur les menaces dans des silos isolés. Les systèmes XDR utilisent une combinaison d'analyses, d'heuristiques et d'automatisation pour générer des informations à partir de ces sources, ce qui renforce la sécurité par rapport aux outils de sécurité cloisonnés. Il en résulte une simplification des enquêtes dans l'ensemble des opérations de sécurité, ce qui réduit le temps nécessaire à la découverte, aux enquêtes et à la réponse aux menaces.

Produits associés :

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business

Lecture complémentaire :

• Qu'est-ce que la sécurité des terminaux ?
• Comment le concept de confiance zéro façonne la cybersécurité à grande échelle
• Qu'est-ce que le vol de données et comment s'en prémunir ?
• Comment protéger votre vie privée en ligne à l'heure où les usages professionnels et personnels convergent