Dans le monde de la cybers¨¦curit¨¦, ce ne sont pas les acronymes qui manquent. Qu’il s’agisse de protocoles et de normes ou d’outils et de technologies, le march¨¦ est domin¨¦ par d’innombrables lettres majuscules.
R¨¦cemment, pour combattre le nombre toujours croissant d’attaques contre les organisations, de nombreux acronymes li¨¦s ¨¤ la s¨¦curit¨¦ pr¨¦sentent d¨¦sormais des acronymes tr¨¨s similaires, ¨¤ savoir ??D?? pour d¨¦tection et ??R?? pour r¨¦ponse. Cela a cr¨¦¨¦ une grande confusion chez les acheteurs qui ne connaissent pas ces termes. Voyons donc la diff¨¦rence entre ces offres de d¨¦tection et mesures d’intervention pour trouver celle qui vous convient.
Comprendre la d¨¦tection et les mesures d’intervention
Commen?ons par les bases?: les principales fonctionnalit¨¦s que ces offres ont en commun sont la d¨¦tection et les mesures d’intervention. Pour comprendre ces fonctionnalit¨¦s, nous devons nous pencher sur l’approche que de nombreux outils existants ont suivi lorsqu’ils ont ¨¦t¨¦ publi¨¦s.
Aux d¨¦buts du march¨¦ de la cybers¨¦curit¨¦, l’antivirus ¨¦tait le principal acteur et l’approche ¨¦tait tr¨¨s simple. Chaque fois qu’une menace potentielle correspondait ¨¤ un mod¨¨le ou ¨¤ une signature de menace connue, elle ¨¦tait ¨¦radiqu¨¦e, ou son ex¨¦cution ¨¦tait bloqu¨¦e. Cette approche ¨¦tait efficace pendant un certain temps, mais est devenue obsol¨¨te au fur et ¨¤ mesure de l’¨¦volution du panorama des menaces.
En premier lieu, les concepteurs de logiciels malveillants ont rapidement appris comment cr¨¦er du code polymorphique capable de contourner les outils antivirus. Deuxi¨¨mement, les antivirus existants offraient peu, voire aucune, protection contre un pirate informatique humain actif. Pour ces raisons, une nouvelle strat¨¦gie ¨¦tait n¨¦cessaire.
L’approche moderne implique la d¨¦tection d’une grande diversit¨¦ de menaces ¨¤ l’aide de m¨¦thodes d¨¦passant la simple mise en correspondance de signatures. Celle-ci est associ¨¦e ¨¤ des capacit¨¦s d’intervention rapide et efficace apr¨¨s la d¨¦couverte d’une menace. En examinant ces offres, vous verrez comment cette approche reste la base de chaque solution.
EDR
L’EDR, ou Endpoint Detection and Response est sans aucun doute l’offre la plus largement utilis¨¦e sur cette liste, avec un march¨¦ mondial qui devrait atteindre 7?milliards de dollars par an dans les prochaines ann¨¦es, et un potentiel de croissance encore plus ¨¦lev¨¦.
Sa popularit¨¦ r¨¦sulte en majeure partie de la perception de ce dernier en tant que successeur r¨¦volutionnaire aux antivirus traditionnels?: il permet de combler les lacunes de nombreux AV.
Fid¨¨le ¨¤ son nom, l’EDR se d¨¦marque principalement en raison de l’accent qu’il met sur les points de terminaison. L’id¨¦e est que chaque point de terminaison (qu’il s’agisse d’un ordinateur portable, d’un ordinateur de bureau, d’un serveur, d’une machine virtuelle et dans certains cas d’un appareil mobile) est un vecteur d’entr¨¦e potentiel pour un pirate informatique. Par cons¨¦quent, il est important que les personnes charg¨¦es de la protection disposent du plus haut niveau de visibilit¨¦ sur ce qui ce passe sur ces appareils.
Le logiciel d’agent EDR est d¨¦ploy¨¦ sur les points de terminaison au sein d’une organisation et commence ¨¤ enregistrer l’activit¨¦ qui a lieu sur ce syst¨¨me. Nous pouvons imaginer ces agents comme des cam¨¦ras de s¨¦curit¨¦ se concentrant sur les processus et ¨¦v¨¦nements qui s’ex¨¦cutent sur cet appareil. L’agent EDR utilise ensuite les donn¨¦es enregistr¨¦es pour d¨¦tecter les menaces potentielles. Il existe de nombreuses approches ¨¤ la d¨¦tection des menaces pour l’EDR. Certains effectuent une d¨¦tection locale sur le point de terminaison via l’apprentissage automatique, d’autres transmettent toutes les donn¨¦es enregistr¨¦es ¨¤ un serveur de contr?le sur site pour analyse, d’autres encore envoient les donn¨¦es enregistr¨¦es sur une ressource cloud pour la d¨¦tection et l’inspection, tandis que de nombreuses autres solutions utilisent une approche hybride qui m¨¦lange plusieurs m¨¦thodes.
Nous pouvons imaginer les agents EDR comme des cam¨¦ras de s¨¦curit¨¦ se concentrant sur les processus et ¨¦v¨¦nements qui s’ex¨¦cutent sur cet appareil.?
Les d¨¦tections dans l’EDR peuvent ¨ºtre bas¨¦es sur une s¨¦rie de m¨¦canismes comprenant l’IA, les renseignements sur les menaces, l’analyse comportementale, les indicateurs de compromission (IOC) et bien d’autres en fonction du fournisseur. Ces outils offrent ¨¦galement une gamme vari¨¦e de fonctionnalit¨¦s de r¨¦ponse, qui peuvent inclure des actions qui d¨¦clenchent des alertes, isolent la machine du r¨¦seau, reviennent ¨¤ un ¨¦tat fiable connu, suppriment ou mettent fin aux menaces et g¨¦n¨¨rent des fichiers de preuve scientifique.
Avec l’EDR, il est essentiel de d¨¦ployer l’agent sur autant de syst¨¨mes que possible. Cela peut ¨ºtre consid¨¦r¨¦ comme un inconv¨¦nient?: l’objectif ¨¦tant le d¨¦ploiement total de l’agent sur tous les appareils de votre environnement, la t?che devient chronophage et potentiellement difficile. Cependant, couvrir autant de points de terminaison que possible est essentiel pour exploiter au maximum les fonctionnalit¨¦s de d¨¦tection de l’EDR.
NDR
Une fois que nous comprenons l’inconv¨¦nient de l’EDR (il ne se concentre que sur les points de terminaison), nous pouvons commencer ¨¤ comprendre la valeur que de nombreuses organisations voient dans le NDR, ou Network Detection and Response.
Comme son nom l’indique, le NDR dirige ses fonctionnalit¨¦s de d¨¦tection sur les donn¨¦es observ¨¦es ¨¤ partir du trafic r¨¦seau qui traverse l’organisation. Les fournisseurs de NDR disposent de plusieurs approches d’observation et d’analyse de ce trafic, mais en g¨¦n¨¦ral, un capteur r¨¦seau est requis. Il s’agit g¨¦n¨¦ralement d’un p¨¦riph¨¦rique r¨¦seau physique, d’un appareil virtuel, ou d’une combinaison des deux. Ces capteurs sont alors plac¨¦s sur le r¨¦seau (ils observent surtout le trafic se dirigeant vers sa destination), ou dans une configuration miroir, o¨´ une copie du trafic est transf¨¦r¨¦e pour analyse.
Les d¨¦tections NDR sont souvent bas¨¦es sur une vue d’ensemble de l’environnement. Au lieu de d¨¦tecter les menaces en fonction de processus inhabituels ou d’¨¦v¨¦nements granulaires comme avec l’EDR, le NDR recherche plut?t des menaces potentielles bas¨¦es sur des protocoles anormaux ou non autoris¨¦s, l’utilisation des ports, un horodatage et des tailles de transfert ¨¦tranges, etc.
M¨¦taphoriquement, nous pouvons imaginer que le NDR agit comme un officier de la police des autoroutes observant la circulation des v¨¦hicules. Si l’officier observe une infraction, il agit conform¨¦ment pour garantir la s¨¦curit¨¦ du trafic. Le NDR peut d¨¦clencher des alertes, r¨¦duire le trafic, mettre en quarantaine un appareil et g¨¦n¨¦rer des preuves scientifiques.
Le NDR pr¨¦sente des avantages et des inconv¨¦nients dont nous devons toujours tenir compte. Le principal avantage est qu’il ne repose pas sur un agent d¨¦ploy¨¦ sur chaque point de terminaison, ce qui le rend id¨¦al pour les environnements dans lesquels l’EDR peut ¨ºtre incapable de couvrir tout le syst¨¨me. L’autre avantage est que le NDR peut d¨¦tecter les appareils non autoris¨¦s et intervenir. Si un pirate informatique branche un ordinateur portable non autoris¨¦ ¨¤ votre environnement, le NDR doit ¨ºtre en mesure de d¨¦tecter cette op¨¦ration et de vous permettre d’intervenir sur le trafic de cet appareil.
Cependant, la grande difficult¨¦ li¨¦e au NDR provient de la nature changeante des r¨¦seaux modernes. De nombreuses organisations adoptent des strat¨¦gies de t¨¦l¨¦travail qui brouillent les lignes des p¨¦rim¨¨tres du r¨¦seau traditionnel. Si une organisation emploie un grand nombre de t¨¦l¨¦travailleurs ne g¨¦n¨¦rant pratiquement jamais de trafic sur un r¨¦seau d’entreprise d¨¦fini, le NDR aura alors une visibilit¨¦ minimale sur ce qui se passe et peut offrir une valeur limit¨¦e.
Le NDR a une visibilit¨¦ minimale dans les organisations qui emploient un grand nombre de t¨¦l¨¦travailleurs ne g¨¦n¨¦rant pratiquement jamais de trafic sur un r¨¦seau d’entreprise d¨¦fini.
TDR
Le TDR, ou Threat Detection and Response (d¨¦tection des menaces et mesures d’intervention), est un terme difficile ¨¤ d¨¦finir car plusieurs fournisseurs offrent des outils diff¨¦rents associ¨¦s ¨¤ cette terminologie. Pour mieux comprendre l’utilisation du TDR, nous allons nous concentrer sur les utilisations les plus courantes de la technologie TDR, du TDR de point de terminaison et du TDR analytique.?
Le TDR de point de terminaison est principalement une approche modifi¨¦e de l’EDR et de la grande quantit¨¦ de donn¨¦es qu’il peut g¨¦n¨¦rer. Comme ¨¦voqu¨¦, l’EDR classique est con?u pour enregistrer autant de donn¨¦es que possible sur ce qui se passe sur le point de terminaison. Cela signifie qu’il peut non seulement d¨¦tecter les menaces, mais aussi fournir un ensemble pr¨¦cieux de donn¨¦es pour les analystes de la s¨¦curit¨¦, les intervenants en cas d’incidents et les chasseurs de menaces pour y effectuer une recherche lors des investigations. Malheureusement, cela cr¨¦e aussi une situation dans laquelle beaucoup des donn¨¦es enregistr¨¦es par les outils EDR sont consid¨¦r¨¦es comme du bruit inutile.
Dans notre analogie ant¨¦rieure, nous avons d¨¦crit l’EDR comme une cam¨¦ra de s¨¦curit¨¦ enregistrant ce qui se passe dans une salle, et fonctionnant 24?h/24. Lorsque nous examinons la s¨¦quence ¨¤ la recherche d’un incident survenu, nous devons passer du temps ¨¤ avancer rapidement au travers des s¨¦quences inutiles. Certains outils TDR tentent de r¨¦soudre ce probl¨¨me en enregistrant les donn¨¦es uniquement en cas de suspicion d’une menace potentielle, ou en enregistrant uniquement un ensemble strat¨¦gique de processus et d’¨¦v¨¦nements qui sont le plus susceptibles de r¨¦v¨¦ler une menace. Lorsqu’une menace est d¨¦tect¨¦e, cette forme de TDR semble souvent tr¨¨s semblable ¨¤ un EDR traditionnel.?
Le TDR analytique, quant ¨¤ lui, constitue une approche tr¨¨s diff¨¦rentes du TDR de point de terminaison. Imaginons le TDR analytique comme des fonctionnalit¨¦s de d¨¦tection et d’intervention appliqu¨¦es aux donn¨¦es existantes. De nombreuses organisations s’orientent vers les mod¨¨les du big data, dans lesquels de grandes quantit¨¦s d’informations sont collect¨¦es et stock¨¦es ensemble. L’approche du TDR analytique exploite les lacs de donn¨¦es existants et applique des analyses de d¨¦tection des menaces. Une fois une menace d¨¦tect¨¦e, il peut d¨¦clencher une alerte et le probl¨¨me peut ¨ºtre trait¨¦. Un inconv¨¦nient de ce style de TDR est sa d¨¦pendance ¨¤ ces structures de big data. Si une organisation n’a pas d¨¦j¨¤ mis en ?uvre des structures de big data, cette forme de TDR n’a alors aucune valeur.?
XDR
Faisons le point. Nous avons appris que l’EDR se concentre sur le point de terminaison mais fait peu pour surveiller le trafic r¨¦seau. Le NDR, cependant, est excellent pour la d¨¦tection des menaces au niveau du r¨¦seau mais n’offre pas de d¨¦tection granulaire et de fonctionnalit¨¦s d’intervention sur les appareils finaux. La meilleure approche consisterait alors ¨¤ utiliser ces outils en tandem, ce que de nombreuses organisations font effectivement. Malheureusement, de nombreux analystes de la s¨¦curit¨¦ trouvent cette approche peu pratique en raison de la difficult¨¦ que repr¨¦sente l’utilisation de plusieurs produits et de nombreuses consoles.?
C’est l¨¤ que la tendance r¨¦cente duXDR, ou Extended Detection and Response, gagne en popularit¨¦. Le XDR implique l’id¨¦e d’une seule plate-forme pouvant ing¨¦rer les donn¨¦es des agents de point de terminaison, les informations au niveau du r¨¦seau et, dans de nombreux cas, les journaux des p¨¦riph¨¦riques. Ces donn¨¦es sont mises en corr¨¦lation, et les d¨¦tections peuvent se produire ¨¤ partir de l’une des nombreuses sources de t¨¦l¨¦m¨¦trie.
Un avantage du XDR inclut la rationalisation des fonctions de l’analyste en lui permettant de voir les d¨¦tections et d’intervenir ¨¤ partir d’une seule console. Cette approche centralis¨¦e offre un retour sur investissement plus rapide, une courbe d’apprentissage plus douce et des temps de r¨¦ponse plus courts, car l’analyste n’a plus ¨¤ naviguer entre diff¨¦rentes fen¨ºtres. Un autre avantage du XDR est sa capacit¨¦ ¨¤ rassembler plusieurs sources de t¨¦l¨¦m¨¦trie pour obtenir une vision globale des d¨¦tections. Ces outils sont en mesure de voir ce qui se passe non seulement sur les points de terminaison, mais aussi entre eux.?
Comme le XDR est l’une des toutes derni¨¨res technologies sur la liste, nous nous permettons de vous avertir. Lors de votre ¨¦valuation des solutions XDR, soyez consciencieux et familiarisez-vous avec leurs fonctionnalit¨¦s.? L¨¤ o¨´ certains outils peuvent offrir des fonctionnalit¨¦s de d¨¦tection et d’intervention interfonctionnelles de pointe, d’autres peuvent ¨ºtre simplement des outils ayant chang¨¦ de marque vendus pour faire de l’argent sur une tendance ¨¤ la mode. Sachez quels sont les avantages du XDR, et v¨¦rifiez que l’outil que vous ¨¦valuez respecte ces directives.?
MDR
Le Managed Detection and Response, ou MDR, est l’exception des offres que nous avons examin¨¦es jusqu’¨¤ pr¨¦sent, car cette solution n’est pas n¨¦cessairement une technologie mais plut?t une solution de service, qui int¨¨gre des technologies, du personnel et des processus.
Le MDR a ¨¦t¨¦ cr¨¦¨¦ en partant du fait qu’il y a pl¨¦thore d’outils de d¨¦tection et de mesures d’intervention disponibles, mais que de nombreuses organisations sont gravement limit¨¦es par le temps et le talent n¨¦cessaires pour g¨¦rer ces outils.? Par cons¨¦quent, l’approche?MDR fournit une d¨¦tection des menaces et les mesures d’intervention associ¨¦es sous forme de service g¨¦r¨¦.?
Il y a de nombreux types de services MDR, mais pour des raisons de simplicit¨¦, nous allons nous concentrer sur deux?: services purs et services centr¨¦s sur le produit.
Le MDR centr¨¦ sur le produit implique g¨¦n¨¦ralement des fournisseurs qui vendent des outils, puis offrent des services g¨¦r¨¦s en plus pour l’ex¨¦cution de ces outils. Imaginez cela comme un concessionnaire auto vous vendant une voiture avec un contrat pour un chauffeur qui vous conduira dans cette voiture, mais cette voiture uniquement.? Cela apporte un grand nombre d’avantages et de r¨¦flexions. Les fournisseurs connaissent le mieux leurs outils et, en tant que tels, peuvent offrir des conseils d’expert, une assistance et la gestion de ces outils. Leur attention, cependant, est alors g¨¦n¨¦ralement limit¨¦e aux outils qu’ils vendent.
Si votre organisation dispose d’une pile diversifi¨¦e d’outils de s¨¦curit¨¦, une approche de MDR centr¨¦e sur le produit fonctionnera uniquement avec les outils qu’ils fournissent, n¨¦cessitant que votre ¨¦quipe g¨¨re le reste ou consolide votre technologie en fonction des offres du fournisseur pr¨¦cis¨¦ment.
Un fournisseur de MDR pur est un fournisseur travaillant avec votre pile de s¨¦curit¨¦ existante pour d¨¦tecter les menaces et intervenir. Pour cet exemple, nous pouvons penser ¨¤ un chauffeur embauch¨¦ qui conduira toutes les voitures que vous poss¨¦dez. Ces fournisseurs de MDR fonctionne comme une ressource n¨¦cessaire ¨¤ l’organisation en fournissant des experts pour utiliser l’ensemble d’outils existants. Elle permet ¨¤ l’organisation d’¨¦viter de consolider sa technologie sur un seul fournisseur. Cela profite au client, qui peut mettre en ?uvre la gamme d’outils qui convient le mieux ¨¤ ses besoins, puis faire appel au fournisseur MDR pour la d¨¦tection et les mesures d’intervention.
Un fournisseur MDR pur peut se d¨¦velopper et ¨¦voluer avec le client et construire des relations durables de confiance ne se concentrant pas sur la vente de produits.
Quelle solution de d¨¦tection et de mesures d’intervention vous convient le mieux??
Les diff¨¦rences entre les approches de d¨¦tection des menaces et mesures d’intervention d¨¦passent leurs acronymes. Si vous pensez que le MDR convient le mieux ¨¤ votre organisation, Arctic Wolf est le leader en mati¨¨re de Security Operations, et Arctic Wolf? Managed Detection and Response ainsi que nos autres solutions de Security Operations peuvent aider votre organisation ¨¤ s’assurer de toujours ¨ºtre prot¨¦g¨¦e.
En savoir plus sur Arctic Wolf MDR
