Dans le monde de la cybersécurité, ce ne sont pas les acronymes qui manquent. Qu’il s’agisse de protocoles et de normes ou d’outils et de technologies, le marché est dominé par d’innombrables lettres majuscules.
Récemment, pour combattre le nombre toujours croissant d’attaques contre les organisations, de nombreux acronymes liés à la sécurité présentent désormais des acronymes très similaires, à savoir « D » pour détection et « R » pour réponse. Cela a créé une grande confusion chez les acheteurs qui ne connaissent pas ces termes. Voyons donc la différence entre ces offres de détection et mesures d’intervention pour trouver celle qui vous convient.
Comprendre la détection et les mesures d’intervention
Commençons par les bases : les principales fonctionnalités que ces offres ont en commun sont la détection et les mesures d’intervention. Pour comprendre ces fonctionnalités, nous devons nous pencher sur l’approche que de nombreux outils existants ont suivi lorsqu’ils ont été publiés.
Aux débuts du marché de la cybersécurité, l’antivirus était le principal acteur et l’approche était très simple. Chaque fois qu’une menace potentielle correspondait à un modèle ou à une signature de menace connue, elle était éradiquée, ou son exécution était bloquée. Cette approche était efficace pendant un certain temps, mais est devenue obsolète au fur et à mesure de l’évolution du panorama des menaces.
En premier lieu, les concepteurs de logiciels malveillants ont rapidement appris comment créer du code polymorphique capable de contourner les outils antivirus. Deuxièmement, les antivirus existants offraient peu, voire aucune, protection contre un pirate informatique humain actif. Pour ces raisons, une nouvelle stratégie était nécessaire.
L’approche moderne implique la détection d’une grande diversité de menaces à l’aide de méthodes dépassant la simple mise en correspondance de signatures. Celle-ci est associée à des capacités d’intervention rapide et efficace après la découverte d’une menace. En examinant ces offres, vous verrez comment cette approche reste la base de chaque solution.
EDR
L’EDR, ou Endpoint Detection and Response est sans aucun doute l’offre la plus largement utilisée sur cette liste, avec un marché mondial qui devrait atteindre 7 milliards de dollars par an dans les prochaines années, et un potentiel de croissance encore plus élevé.
Sa popularité résulte en majeure partie de la perception de ce dernier en tant que successeur révolutionnaire aux antivirus traditionnels : il permet de combler les lacunes de nombreux AV.
Fidèle à son nom, l’EDR se démarque principalement en raison de l’accent qu’il met sur les points de terminaison. L’idée est que chaque point de terminaison (qu’il s’agisse d’un ordinateur portable, d’un ordinateur de bureau, d’un serveur, d’une machine virtuelle et dans certains cas d’un appareil mobile) est un vecteur d’entrée potentiel pour un pirate informatique. Par conséquent, il est important que les personnes chargées de la protection disposent du plus haut niveau de visibilité sur ce qui ce passe sur ces appareils.
Le logiciel d’agent EDR est déployé sur les points de terminaison au sein d’une organisation et commence à enregistrer l’activité qui a lieu sur ce système. Nous pouvons imaginer ces agents comme des caméras de sécurité se concentrant sur les processus et événements qui s’exécutent sur cet appareil. L’agent EDR utilise ensuite les données enregistrées pour détecter les menaces potentielles. Il existe de nombreuses approches à la détection des menaces pour l’EDR. Certains effectuent une détection locale sur le point de terminaison via l’apprentissage automatique, d’autres transmettent toutes les données enregistrées à un serveur de contrôle sur site pour analyse, d’autres encore envoient les données enregistrées sur une ressource cloud pour la détection et l’inspection, tandis que de nombreuses autres solutions utilisent une approche hybride qui mélange plusieurs méthodes.
Nous pouvons imaginer les agents EDR comme des caméras de sécurité se concentrant sur les processus et événements qui s’exécutent sur cet appareil.
Les détections dans l’EDR peuvent être basées sur une série de mécanismes comprenant l’IA, les renseignements sur les menaces, l’analyse comportementale, les indicateurs de compromission (IOC) et bien d’autres en fonction du fournisseur. Ces outils offrent également une gamme variée de fonctionnalités de réponse, qui peuvent inclure des actions qui déclenchent des alertes, isolent la machine du réseau, reviennent à un état fiable connu, suppriment ou mettent fin aux menaces et génèrent des fichiers de preuve scientifique.
Avec l’EDR, il est essentiel de déployer l’agent sur autant de systèmes que possible. Cela peut être considéré comme un inconvénient : l’objectif étant le déploiement total de l’agent sur tous les appareils de votre environnement, la tâche devient chronophage et potentiellement difficile. Cependant, couvrir autant de points de terminaison que possible est essentiel pour exploiter au maximum les fonctionnalités de détection de l’EDR.
NDR
Une fois que nous comprenons l’inconvénient de l’EDR (il ne se concentre que sur les points de terminaison), nous pouvons commencer à comprendre la valeur que de nombreuses organisations voient dans le NDR, ou Network Detection and Response.
Comme son nom l’indique, le NDR dirige ses fonctionnalités de détection sur les données observées à partir du trafic réseau qui traverse l’organisation. Les fournisseurs de NDR disposent de plusieurs approches d’observation et d’analyse de ce trafic, mais en général, un capteur réseau est requis. Il s’agit généralement d’un périphérique réseau physique, d’un appareil virtuel, ou d’une combinaison des deux. Ces capteurs sont alors placés sur le réseau (ils observent surtout le trafic se dirigeant vers sa destination), ou dans une configuration miroir, où une copie du trafic est transférée pour analyse.
Les détections NDR sont souvent basées sur une vue d’ensemble de l’environnement. Au lieu de détecter les menaces en fonction de processus inhabituels ou d’événements granulaires comme avec l’EDR, le NDR recherche plutôt des menaces potentielles basées sur des protocoles anormaux ou non autorisés, l’utilisation des ports, un horodatage et des tailles de transfert étranges, etc.
Métaphoriquement, nous pouvons imaginer que le NDR agit comme un officier de la police des autoroutes observant la circulation des véhicules. Si l’officier observe une infraction, il agit conformément pour garantir la sécurité du trafic. Le NDR peut déclencher des alertes, réduire le trafic, mettre en quarantaine un appareil et générer des preuves scientifiques.
Le NDR présente des avantages et des inconvénients dont nous devons toujours tenir compte. Le principal avantage est qu’il ne repose pas sur un agent déployé sur chaque point de terminaison, ce qui le rend idéal pour les environnements dans lesquels l’EDR peut être incapable de couvrir tout le système. L’autre avantage est que le NDR peut détecter les appareils non autorisés et intervenir. Si un pirate informatique branche un ordinateur portable non autorisé à votre environnement, le NDR doit être en mesure de détecter cette opération et de vous permettre d’intervenir sur le trafic de cet appareil.
Cependant, la grande difficulté liée au NDR provient de la nature changeante des réseaux modernes. De nombreuses organisations adoptent des stratégies de télétravail qui brouillent les lignes des périmètres du réseau traditionnel. Si une organisation emploie un grand nombre de télétravailleurs ne générant pratiquement jamais de trafic sur un réseau d’entreprise défini, le NDR aura alors une visibilité minimale sur ce qui se passe et peut offrir une valeur limitée.
Le NDR a une visibilité minimale dans les organisations qui emploient un grand nombre de télétravailleurs ne générant pratiquement jamais de trafic sur un réseau d’entreprise défini.
TDR
Le TDR, ou Threat Detection and Response (détection des menaces et mesures d’intervention), est un terme difficile à définir car plusieurs fournisseurs offrent des outils différents associés à cette terminologie. Pour mieux comprendre l’utilisation du TDR, nous allons nous concentrer sur les utilisations les plus courantes de la technologie TDR, du TDR de point de terminaison et du TDR analytique.
Le TDR de point de terminaison est principalement une approche modifiée de l’EDR et de la grande quantité de données qu’il peut générer. Comme évoqué, l’EDR classique est conçu pour enregistrer autant de données que possible sur ce qui se passe sur le point de terminaison. Cela signifie qu’il peut non seulement détecter les menaces, mais aussi fournir un ensemble précieux de données pour les analystes de la sécurité, les intervenants en cas d’incidents et les chasseurs de menaces pour y effectuer une recherche lors des investigations. Malheureusement, cela crée aussi une situation dans laquelle beaucoup des données enregistrées par les outils EDR sont considérées comme du bruit inutile.
Dans notre analogie antérieure, nous avons décrit l’EDR comme une caméra de sécurité enregistrant ce qui se passe dans une salle, et fonctionnant 24 h/24. Lorsque nous examinons la séquence à la recherche d’un incident survenu, nous devons passer du temps à avancer rapidement au travers des séquences inutiles. Certains outils TDR tentent de résoudre ce problème en enregistrant les données uniquement en cas de suspicion d’une menace potentielle, ou en enregistrant uniquement un ensemble stratégique de processus et d’événements qui sont le plus susceptibles de révéler une menace. Lorsqu’une menace est détectée, cette forme de TDR semble souvent très semblable à un EDR traditionnel.
Le TDR analytique, quant à lui, constitue une approche très différentes du TDR de point de terminaison. Imaginons le TDR analytique comme des fonctionnalités de détection et d’intervention appliquées aux données existantes. De nombreuses organisations s’orientent vers les modèles du big data, dans lesquels de grandes quantités d’informations sont collectées et stockées ensemble. L’approche du TDR analytique exploite les lacs de données existants et applique des analyses de détection des menaces. Une fois une menace détectée, il peut déclencher une alerte et le problème peut être traité. Un inconvénient de ce style de TDR est sa dépendance à ces structures de big data. Si une organisation n’a pas déjà mis en œuvre des structures de big data, cette forme de TDR n’a alors aucune valeur.
XDR
Faisons le point. Nous avons appris que l’EDR se concentre sur le point de terminaison mais fait peu pour surveiller le trafic réseau. Le NDR, cependant, est excellent pour la détection des menaces au niveau du réseau mais n’offre pas de détection granulaire et de fonctionnalités d’intervention sur les appareils finaux. La meilleure approche consisterait alors à utiliser ces outils en tandem, ce que de nombreuses organisations font effectivement. Malheureusement, de nombreux analystes de la sécurité trouvent cette approche peu pratique en raison de la difficulté que représente l’utilisation de plusieurs produits et de nombreuses consoles.
C’est là que la tendance récente duXDR, ou Extended Detection and Response, gagne en popularité. Le XDR implique l’idée d’une seule plate-forme pouvant ingérer les données des agents de point de terminaison, les informations au niveau du réseau et, dans de nombreux cas, les journaux des périphériques. Ces données sont mises en corrélation, et les détections peuvent se produire à partir de l’une des nombreuses sources de télémétrie.
Un avantage du XDR inclut la rationalisation des fonctions de l’analyste en lui permettant de voir les détections et d’intervenir à partir d’une seule console. Cette approche centralisée offre un retour sur investissement plus rapide, une courbe d’apprentissage plus douce et des temps de réponse plus courts, car l’analyste n’a plus à naviguer entre différentes fenêtres. Un autre avantage du XDR est sa capacité à rassembler plusieurs sources de télémétrie pour obtenir une vision globale des détections. Ces outils sont en mesure de voir ce qui se passe non seulement sur les points de terminaison, mais aussi entre eux.
Comme le XDR est l’une des toutes dernières technologies sur la liste, nous nous permettons de vous avertir. Lors de votre évaluation des solutions XDR, soyez consciencieux et familiarisez-vous avec leurs fonctionnalités. Là où certains outils peuvent offrir des fonctionnalités de détection et d’intervention interfonctionnelles de pointe, d’autres peuvent être simplement des outils ayant changé de marque vendus pour faire de l’argent sur une tendance à la mode. Sachez quels sont les avantages du XDR, et vérifiez que l’outil que vous évaluez respecte ces directives.
MDR
Le Managed Detection and Response, ou MDR, est l’exception des offres que nous avons examinées jusqu’à présent, car cette solution n’est pas nécessairement une technologie mais plutôt une solution de service, qui intègre des technologies, du personnel et des processus.
Le MDR a été créé en partant du fait qu’il y a pléthore d’outils de détection et de mesures d’intervention disponibles, mais que de nombreuses organisations sont gravement limitées par le temps et le talent nécessaires pour gérer ces outils. Par conséquent, l’approche MDR fournit une détection des menaces et les mesures d’intervention associées sous forme de service géré.
Il y a de nombreux types de services MDR, mais pour des raisons de simplicité, nous allons nous concentrer sur deux : services purs et services centrés sur le produit.
Le MDR centré sur le produit implique généralement des fournisseurs qui vendent des outils, puis offrent des services gérés en plus pour l’exécution de ces outils. Imaginez cela comme un concessionnaire auto vous vendant une voiture avec un contrat pour un chauffeur qui vous conduira dans cette voiture, mais cette voiture uniquement. Cela apporte un grand nombre d’avantages et de réflexions. Les fournisseurs connaissent le mieux leurs outils et, en tant que tels, peuvent offrir des conseils d’expert, une assistance et la gestion de ces outils. Leur attention, cependant, est alors généralement limitée aux outils qu’ils vendent.
Si votre organisation dispose d’une pile diversifiée d’outils de sécurité, une approche de MDR centrée sur le produit fonctionnera uniquement avec les outils qu’ils fournissent, nécessitant que votre équipe gère le reste ou consolide votre technologie en fonction des offres du fournisseur précisément.
Un fournisseur de MDR pur est un fournisseur travaillant avec votre pile de sécurité existante pour détecter les menaces et intervenir. Pour cet exemple, nous pouvons penser à un chauffeur embauché qui conduira toutes les voitures que vous possédez. Ces fournisseurs de MDR fonctionne comme une ressource nécessaire à l’organisation en fournissant des experts pour utiliser l’ensemble d’outils existants. Elle permet à l’organisation d’éviter de consolider sa technologie sur un seul fournisseur. Cela profite au client, qui peut mettre en œuvre la gamme d’outils qui convient le mieux à ses besoins, puis faire appel au fournisseur MDR pour la détection et les mesures d’intervention.
Un fournisseur MDR pur peut se développer et évoluer avec le client et construire des relations durables de confiance ne se concentrant pas sur la vente de produits.
Quelle solution de détection et de mesures d’intervention vous convient le mieux ?
Les différences entre les approches de détection des menaces et mesures d’intervention dépassent leurs acronymes. Si vous pensez que le MDR convient le mieux à votre organisation, Arctic Wolf est le leader en matière de Security Operations, et Arctic Wolf® Managed Detection and Response ainsi que nos autres solutions de Security Operations peuvent aider votre organisation à s’assurer de toujours être protégée.
En savoir plus sur Arctic Wolf MDR
