?
En 2013, Anton Chuvakin de Gartner a entrepris de nommer un nouvel ensemble de solutions de s¨¦curit¨¦ d¨¦tectant les activit¨¦s suspectes sur les points de terminaison.
Apr¨¨s ce qu’il a appel¨¦ un long processus angoissant qui a impliqu¨¦ de nombreuses conversations avec des vendeurs, des entreprises et d’autres analystes, Chuvakin est arriv¨¦ avec cette phrase?: Endpoint Threat Detection and Response (d¨¦tection des menaces et mesures d’intervention du point de terminaison).
Depuis lors, ce nom a ¨¦t¨¦ raccourci en Endpoint Detection and Response” ou EDR. Toutefois, pendant que le nom s’est raccourci, le march¨¦ s’est agrandi. En fait, Gartner pr¨¦dit d¨¦sormais que l’espace EDR mondial cro?tra selon??en 2020, date ¨¤ laquelle il vaudra l’immense pactole de 1,5?milliard de dollars.
Gardant cela ¨¤ l’esprit, faisons un pas en arri¨¨re et ¨¦valuons la place de l’EDR dans votre strat¨¦gie de cybers¨¦curit¨¦ globale, ainsi que les lacunes qu’il ne peut tout simplement pas combler.
Que fait la s¨¦curit¨¦ EDR??
Tandis que d’autres solutions de s¨¦curit¨¦ sont utilis¨¦es pour ¨¦viter les menaces, l’EDR est destin¨¦ ¨¤ la visibilit¨¦. Un outil EDR efficace vous permet de vous concentrer sur la d¨¦tection et la recherche des activit¨¦s suspectes sur les points de terminaison afin que vous puissiez r¨¦pondre aux attaques plus rapidement.
L’EDR fonctionne en installant un agent l¨¦ger sur chaque point de terminaison. L’agent surveille ensuite les ¨¦v¨¦nements pour rechercher toute activit¨¦ potentiellement malveillante ou correspondant ¨¤ un indicateur d’attaque connu. L’EDR envoie la t¨¦l¨¦m¨¦trie ¨¤ un syst¨¨me de gestion central, qui effectue automatiquement une analyse et une corr¨¦lation avant d’envoyer une alerte.
? partir de l¨¤, un analyste doit examiner l’alerte pour d¨¦terminer les d¨¦tails de l’attaque, ou d¨¦terminer si l’attaque est une fausse alerte. En fonction de ces informations, l’analyste d¨¦veloppe la r¨¦ponse appropri¨¦e.
Au contraire des outils de protection des points de terminaison (EPP) qui se concentrent sur le blocage des attaques, l’EDR doit ¨ºtre consid¨¦r¨¦ comme une solution qui vous aide ¨¤ g¨¦rer plus efficacement votre r¨¦ponse post-attaque. Le fait est qu’aucune m¨¦thode de s¨¦curit¨¦ n’est efficace ¨¤ 100?%?; la question n’est pas de savoir?si?vos d¨¦fenses feront l’objet d’une violation, mais?quand. L’EDR vous aide ¨¤ d¨¦tecter les moments auxquels vous avez ¨¦t¨¦ attaqu¨¦ plus t?t afin que vous puissiez att¨¦nuer tous les ¨¦ventuels dommages.
Les avantages de l’EDR (Endpoint Detection and Response)
³Õ¾±²õ¾±²ú¾±±ô¾±³Ù¨¦?
L’EDR fournit une visibilit¨¦ en temps r¨¦el sur vos points de terminaison afin de vous aider ¨¤ identifier rapidement l’activit¨¦ malveillante.
Protection comportementale?
Au contraire des outils surveillant uniquement les menaces connues, l’EDR peut vous aider ¨¤ d¨¦tecter les activit¨¦s malveillantes qui peuvent t¨¦moigner d’un type de menace inconnue.
Informations
L’EDR peut aider ¨¤ fournir plus de contexte derri¨¨re une attaque, vous permettant de personnaliser votre r¨¦ponse.
Vitesse de r¨¦solution
L’EDR peut vous aider ¨¤ acc¨¦l¨¦rer vos recherches afin que vous puissiez limiter les dommages qu’une attaque fait ¨¤ votre entreprise.
L’EDR n’est pas aussi simple que vous le pensez
Tandis que les outils EPP peuvent seulement identifier et bloquer les menaces connues, l’EDR d¨¦tecte l’activit¨¦ anormale sur les points de terminaison (en supposant que ces appareils ex¨¦cutent des agents EDR), ce qui vous donne une meilleure chance de d¨¦tecter les souches de logiciel malveillants inconnues dans les attaques au jour z¨¦ro.
Toutefois, Avivah Litan, analyste chez Gartner, voit un inconv¨¦nient ¨¤ son adoption?: sa complexit¨¦.
La fonctionnalit¨¦ EDR devra devenir plus courante, proactive et simple ¨¤ utiliser et ¨¤ exploiter avant que l’adoption du produit n’atteigne son plein potentiel, a ¨¦crit M.?Litan.
Cela est particuli¨¨rement probl¨¦matique pour les petites et moyennes entreprises (PME), qui manquent souvent de l’expertise de s¨¦curit¨¦ n¨¦cessaire en interne pour g¨¦rer l’EDR. Avant que les PME puissent correctement exploiter l’EDR, elles auront besoin d’ing¨¦nieurs de s¨¦curit¨¦ qui savent comment puiser dans tout son potentiel.
L’EDR ne doit pas ¨ºtre le seul joueur de votre ¨¦quipe
L’EDR est un joueur d’¨¦quipe avec un r?le cl¨¦ dans la d¨¦tection des activit¨¦s anormales au niveau d’un point de terminaison. Cependant, il est compl¨¨tement aveugle ¨¤ certains indicateurs de compromission du r¨¦seau. Par exemple, supposons qu’un mot de passe d’acc¨¨s ¨¤ une base de donn¨¦es ait ¨¦t¨¦ vol¨¦, permettant ¨¤ un hacker de se connecter et de commencer ¨¤ exfiltrer des informations personnelles ¨¤ distance. ? ce moment, l’EDR ne peut rien faire.
Cela est inqui¨¦tant si l’on consid¨¨re que la couche applicative est responsable?, les hackers entrant par des injections?SQL, des vuln¨¦rabilit¨¦s zero-day et d’autres formes d’attaque bas¨¦e sur le Web. Elles sont hors de port¨¦e de l’EDR.
Trouver la bonne solution EDR
Il existe de nombreuses solutions EDR sur le march¨¦, chacune avec ses forces et ses faiblesses.
Lors de la d¨¦couverte de ces options, il est important de comprendre les limitations de l’EDR.
L’EDR ne fonctionne que pour les points de terminaison sur lesquels un agent EDR est ex¨¦cut¨¦, ce qui signifie que vous aurez besoin d’autres outils pour surveiller votre r¨¦seau et vos services cloud. Cela signifie ¨¦galement qu’un grand nombre de vos points de terminaison ne sera pas couvert, notamment les imprimantes, les appareils, les ¨¦quipements r¨¦seau et les points de terminaison non pris en charge tels que les t¨¦l¨¦phones portables, les syst¨¨mes fournisseurs, les appareils IoT ou des machines virtuelles isol¨¦es.
Cela rend un service EDR autonome plus appropri¨¦ pour les organisations qui disposent d¨¦j¨¤ d’une s¨¦curit¨¦ cloud et r¨¦seau puissante, mais qui ont besoin d’une protection am¨¦lior¨¦e des points de terminaison.
Cependant, la complexit¨¦ de l’EDR signifie qu’il peut ne pas ¨ºtre une solution adapt¨¦e pour une entreprise qui ne dispose pas d’experts de s¨¦curit¨¦ d¨¦di¨¦s qui peuvent examiner rapidement les alertes et r¨¦pondre aux menaces.
Envisagez les solutions Managed Detection and Response
Une solution?Managed Detection and Response (MDR)?va au-del¨¤ des points de terminaison pour offrir une surveillance multi-dimensionnelle du point de terminaison, du r¨¦seau et des charges de travail du cloud. Avec ces informations holistiques, vous ¨ºtes mieux arm¨¦ pour identifier efficacement les menaces et y r¨¦pondre, quelle que soit leur provenance.
Un SOC (security operations center) en tant que service tel que celui d’Arctic Wolf fournit une surveillance 24?h/24, 7?j/7 de toutes vos ressources. Il comporte des ¨¦quipes de s¨¦curit¨¦ expertes qui connaissent votre entreprise et peuvent fournir des alertes et des rapports personnalis¨¦s. D’autre part, une solution EDR seule ne peut pas surveiller tout ce dont vous avez besoin et ne peut pas fournir l’expertise requise pour une r¨¦ponse directe une fois une attaque d¨¦tect¨¦e.
Il est ¨¦galement important de tenir compte de vos besoins r¨¦glementaires et de gouvernance des donn¨¦es. Si votre entreprise a besoin de conserver les journaux, l’EDR est peu susceptible de remplir cette exigence. Le MDR, cependant, peut conserver toutes les donn¨¦es des journaux des r¨¦seaux, syst¨¨mes et applications existants afin que vous puissiez prouver votre conformit¨¦ avec des exigences r¨¦glementaires telles que PCI-DSS, HIPAA et FFIEC.
En d’autres termes, l’EDR ne peut pas le faire seul.
Ce dont vous avez besoin est une visibilit¨¦ ¨¤ 360?degr¨¦s sur les points de terminaison, ainsi que sur votre r¨¦seau et votre environnement cloud, avec l’expertise de s¨¦curit¨¦ n¨¦cessaire pour vous aider ¨¤ orienter votre r¨¦ponse.
Pour vous familiariser encore plus avec le MDR (Managed Detection and Response), consultez notre livre blanc?Protection Contre les 5?Principaux Vecteurs d’Attaque.
