Young woman using iPhone

Qu’est-ce que EDR? Une approche analytique de la sécurité des points finaux

Lucas Morel

La détection et la réponse des terminaux (EDR) permettent aux équipes de sécurité d’identifier et d’éliminer les menaces qui échappent aux logiciels antivirus traditionnels, offrant une visibilité et des capacités de réponse cruciales.

Les outils de sécurité de détection et de réponse (EDR) sur les points de terminaison surveillent les dispositifs matériels de l’utilisateur final sur un réseau pour une gamme d’activités et de comportements suspects, réagissant automatiquement pour bloquer les menaces perçues et enregistrer les données médico-légales pour une enquête plus approfondie. Le point de terminaison signifie généralement n’importe quel périphérique d’utilisateur final, d’un ordinateur portable vers un smartphone à des gadgets IoT.

Une plate-forme EDR combine une visibilité approfondie dans tout ce qui se passe sur un dispositif de terminaison – processus, modifications des DLL et paramètres de registre, de l’activité des fichiers et du réseau – avec l’agrégation de données et les capacités d’analyse qui permettent aux menaces d’être reconnues et contrées par des processus automatisés ou une intervention humaine.

La première reconnaissance de la catégorie de l’EDR est largement acceptée comme dans un article de blog de 2013 par l’analyste de Gartner, Anton Chuvakin, qui essayait de proposer un «nom générique pour les outils principalement axé sur la détection et l’enquête sur les activités suspectes (et les traces de ces autres problèmes sur les hôtes / points de terminaison.» Il a utilisé l’expression «détection et réponse des menaces d’évaluation», mais la détection et la réponse plus succinctes (bien que un peu moins précises) se sont efforcées.

Comment fonctionne EDR et pourquoi c’est important

Les systèmes EDR fonctionnent en enregistrant et en analysant l’activité qui se déroule sur les points de terminaison de tous types. De nombreuses offres EDR le font en installant des programmes d’agent sur les points de terminaison qu’ils protègent, qui renvoient la télémétrie à l’outil Central EDR pour l’analyse. Il existe également une classe de systèmes EDR sans agent qui collectent des données à partir d’outils de système d’exploitation intégrés sur les points de terminaison ainsi que les données réseau pertinentes; Ces systèmes sont plus faciles à déployer dans une organisation, mais ne peuvent souvent pas fournir les mêmes informations sous la couverture sur ce qui se passe sur les points de terminaison que l’EDR a agencé.

Quelle que soit la façon dont EDR obtient des informations sur le comportement des points finaux, il utilise ensuite l’analyse des données et AI / ML pour déterminer si cette activité est inhabituelle ou un signe d’une violation potentielle. Les systèmes EDR peuvent stimuler une alarme sur un tel comportement pour les équipes de sécurité et enregistrer des informations pour une analyse médico-légale ultérieure.

C’est la partie «détecter» de l’EDR. La partie «réponse» se compose d’étapes automatisées qui peuvent être prises pour bloquer les attaques en cours, notamment la fermeture des processus suspects, la suppression de fichiers qui ressemblent à des logiciels malveillants et l’isolement des points de terminaison qui semblent avoir été compromis du reste du réseau. Bien que l’intervention humaine soit généralement nécessaire pour vraiment éliminer les compromis, ces types de réponses rapides peuvent faire la différence entre un incident mineur et une catastrophe.

C’était l’accent mis sur le comportement des points finaux qui a rendu EDR important et innovant lors de son arrivée sur la scène. C’est la principale distinction entre EDR et son prédécesseur évolutif: le vénérable programme antivirus.

EDR vs Antivirus: Quelle est la différence?

Le logiciel antivirus a des objectifs similaires à l’EDR, en ce qu’il vise à empêcher les logiciels malveillants de s’installer et d’infecter les points de terminaison (généralement des PC utilisateur). La différence est que l’antivirus aperçoit une activité malveillante en essayant de le faire correspondre pour signaler des modèles connus d’exécution ou de comportement de code que la communauté de sécurité a enregistré et corrélé à des types d’attaques spécifiques.

La plupart des solutions EDR incluent également des capacités de détection basées sur la signature. Mais les limites sont évidentes: c’est une façon quelque peu rigide de rechercher des infractions qui échouent lorsqu’elles sont confrontées à des attaques nouvelles ou inhabituelles.

EDR utilise une analyse plus sophistiquée pour détecter un comportement inhabituel des utilisateurs ou du processus ou un accès aux données, puis des signalements ou éventuellement les bloque. Plus important encore, les systèmes EDR ont de nombreuses capacités pour détecter et combattre les attaques et les infections de logiciels malveillants après leur arrivée, tandis que les systèmes antivirus sont souvent inefficaces s’ils ne parviennent pas à attraper des logiciels malveillants à leur arrivée.

EDR vs détection et réponse étendue (XDR)

EDR n’est pas le seul logiciel de sécurité de détection et de réponse sur le marché. Tout comme EDR se concentre sur les points de terminaison, il existe également la détection et la réponse du réseau (NDR), qui fonctionne de manière similaire mais se concentre sur le trafic réseau. Et puis il y a une détection et une réponse prolongées (XDR), qui regroupent les capacités de détection et de réponse qui se concentrent sur plusieurs composants d’infrastructure, y compris les points de terminaison et les réseaux, ainsi que les e-mails, les environnements cloud et au-delà.

Lorsque nous disons «paquet», nous le voulons: les offres XDR ont tendance à être une collection gérée d’outils individuels axés sur différentes couches d’infrastructure, et la gamme de services facturés comme XDR peut être un peu déroutant. En fait, de nombreuses offres XDR ont commencé la vie en tant qu’outils EDR qui ont accumulé de nouvelles couches et fonctionnalités. Les systèmes de détection et de prévention des intrusions (IDSES / IPSES), qui, comme les antivirus, sont basés sur la signature, font partie des outils de sécurité traditionnels avalés dans des solutions NDR et XDR.

Caractéristiques clés et capacités des solutions EDR

Les solutions EDR mettent en œuvre les capacités suivantes:

  • Détection. Le «D» dans EDR jette les bases de tout ce que font les solutions EDR. Votre outil EDR mettra en œuvre une analyse de fichiers continue, vérifiant chaque fichier qui interagit avec votre point de terminaison pour vous assurer qu’il ne produit pas de comportement menaçant. EDR utilise également l’intelligence de menace agrégée pour repérer les modèles de comportement suggérant des modèles d’attaque émergents.
  • Endiguement. Après avoir détecté une activité suspecte, les outils EDR devraient immédiatement essayer de cautériser la plaie, soit en contenant un fichier suspect dans une zone de sable sur le point de terminaison, soit en coupant le critère de terminaison infecté ou les critères d’évaluation du reste du réseau.
  • Enquête. Une fois que le danger immédiat s’est écoulé, EDR devrait vous aider à déterminer comment il est apparu en premier lieu. EDR peut recueillir et analyser les données pour déterminer comment les intrus ont accédé à votre point de terminaison, et ils peuvent sable des fichiers malveillants pour les tests et la surveillance.
  • Élimination. Les connaissances acquises dans les étapes précédentes vous conduiront à un point où le problème peut être éliminé, soit automatiquement, soit par le personnel de sécurité travaillant avec les données que l’EDR a fourni. Cette élimination n’est possible que grâce à la visibilité dans les systèmes de point de terminaison et aux attaquants qu’offre EDR – une visibilité qui devrait être disponible à la fois en temps réel et sous la forme d’archives détaillées que les équipes de sécurité peuvent analyser pour comprendre ce qui se passe et l’empêcher de se reproduire.

Avantages de la mise en œuvre d’EDR

À ce stade, les avantages de la mise en œuvre de l’EDR doivent être clairs: sa capacité à détecter et à bloquer les attaques en cours et à repérer les attaquants se déplaçant latéralement et à les contenir aide à durcir la sécurité des entreprises.

Au-delà de cela, les capacités de collecte de renseignements d’EDR peuvent aider votre équipe de sécurité à comprendre comment les attaquants entrent dans votre infrastructure et comment ces attaques se déroulent. La visibilité et les preuves médico-légales qu’ils offrent peuvent vous aider à réduire les écoutilles pour l’avenir.

Défis dans l’adoption de l’EDR

EDR n’est pas un produit simple que vous pouvez simplement acheter, installer et activer: c’est une solution complexe qui doit être personnalisée pour votre environnement. EDR opère également dans un monde où vous avez probablement déjà des investissements importants dans une pile de sécurité, et l’intégrer, par exemple, vos outils de gestion de la sécurité et de gestion des événements (SIEM) peuvent s’avérer difficiles ou impossibles.

Cette complexité s’accompagne d’un coût – à la fois à l’avance pour payer une solution (ou récurrente si vous suivez la route EDR gérée) et dans les ressources du personnel requises pour profiter des capacités d’EDR. Bien que les outils EDR soient rigide d’automatisation, la réalité est que la grande partie des informations qu’ils génèrent doivent être chassées par le personnel de l’INFOSEC, et les petites ou moyennes sociétés pourraient ne pas avoir cette capacité. De plus, EDR génère un lot d’informations sous forme de données de télémétrie et d’alertes, et de configurer correctement les ressources pour ingérer et maintenir toutes ces données peut être un défi.

De plus, EDR n’est pas une panacée pour tous vos besoins de sécurité – les attaquants peuvent et échappent régulièrement aux défenses du système EDR, une tâche rendue plus facile avec des systèmes qui ne sont pas correctement configurés ou à jour.

Que rechercher dans une solution EDR

Si vous commencez votre recherche d’une suite d’outils EDR, voici ce que vous devriez rechercher.

  • Capacités de détection: Rappelez-vous, il n’y a pas d’Edr sans «D.» Vous voulez que EDR puisse observer des événements, les signaler et les répondre en temps quasi réel, et évoluer avec votre réseau.
  • Soutien à l’analyse et à l’enquête approfondies. Jetez un œil aux capacités de collecte et de traitement des données de Solutions potentielles qui permettront à vos équipes de sécurité de comprendre les menaces de sécurité potentielles et de prendre rapidement des mesures pour les remédier.
  • Capacités d’intégration. Veurs à feu, SIEM, SOAR, outils de réponse aux incidents – une bonne solution EDR utilisera des API ou d’autres crochets pour s’intégrer à tous et partager des données.
  • Gestion centralisée et tableaux de bord de données. Ceux-ci ne devraient pas nécessiter une formation approfondie et devraient afficher l’état actuel de tous les points de terminaison à travers l’entreprise.
  • Parité des caractéristiques sur plusieurs Os points de terminaison. Une solution EDR devrait se déployer sur tous vos points de terminaison, mais certaines offres manquent de prise en charge de tous les Big Five (Windows, MacOS, Linux, Android et iOS). Si vous devez prendre en charge les versions héritées d’un ou plusieurs OS, vous voudrez également enquêter.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker with malware code in computer screen. Cybersecurity, privacy or cyber attack. Programmer or fraud criminal writing virus software. Online firewall and privacy crime. Web data engineer.
Skitnet Malware: le nouveau favori des ransomwares
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
8 Ki-Sicherheitsrisiken, die Unternehmen übersehenn
You’ve already been targeted: Why patch management is mission-critical
Vous avez déjà été ciblé: pourquoi la gestion des patchs est critique de mission