En 2013, Anton Chuvakin de Gartner a entrepris de nommer un nouvel ensemble de solutions de sécurité détectant les activités suspectes sur les points de terminaison.
Après ce qu’il a appelé un long processus angoissant qui a impliqué de nombreuses conversations avec des vendeurs, des entreprises et d’autres analystes, Chuvakin est arrivé avec cette phrase : Endpoint Threat Detection and Response (détection des menaces et mesures d’intervention du point de terminaison).
Depuis lors, ce nom a été raccourci en Endpoint Detection and Response” ou EDR. Toutefois, pendant que le nom s’est raccourci, le marché s’est agrandi. En fait, Gartner prédit désormais que l’espace EDR mondial croîtra selon un taux annuel composé de 45,3 % en 2020, date à laquelle il vaudra l’immense pactole de 1,5 milliard de dollars.
Gardant cela à l’esprit, faisons un pas en arrière et évaluons la place de l’EDR dans votre stratégie de cybersécurité globale, ainsi que les lacunes qu’il ne peut tout simplement pas combler.
Que fait la sécurité EDR ?
Tandis que d’autres solutions de sécurité sont utilisées pour éviter les menaces, l’EDR est destiné à la visibilité. Un outil EDR efficace vous permet de vous concentrer sur la détection et la recherche des activités suspectes sur les points de terminaison afin que vous puissiez répondre aux attaques plus rapidement.
L’EDR fonctionne en installant un agent léger sur chaque point de terminaison. L’agent surveille ensuite les événements pour rechercher toute activité potentiellement malveillante ou correspondant à un indicateur d’attaque connu. L’EDR envoie la télémétrie à un système de gestion central, qui effectue automatiquement une analyse et une corrélation avant d’envoyer une alerte.
À partir de là, un analyste doit examiner l’alerte pour déterminer les détails de l’attaque, ou déterminer si l’attaque est une fausse alerte. En fonction de ces informations, l’analyste développe la réponse appropriée.
Au contraire des outils de protection des points de terminaison (EPP) qui se concentrent sur le blocage des attaques, l’EDR doit être considéré comme une solution qui vous aide à gérer plus efficacement votre réponse post-attaque. Le fait est qu’aucune méthode de sécurité n’est efficace à 100 % ; la question n’est pas de savoir si vos défenses feront l’objet d’une violation, mais quand. L’EDR vous aide à détecter les moments auxquels vous avez été attaqué plus tôt afin que vous puissiez atténuer tous les éventuels dommages.
Les avantages de l’EDR (Endpoint Detection and Response)
Visibilité
L’EDR fournit une visibilité en temps réel sur vos points de terminaison afin de vous aider à identifier rapidement l’activité malveillante.
Protection comportementale
Au contraire des outils surveillant uniquement les menaces connues, l’EDR peut vous aider à détecter les activités malveillantes qui peuvent témoigner d’un type de menace inconnue.
Informations
L’EDR peut aider à fournir plus de contexte derrière une attaque, vous permettant de personnaliser votre réponse.
Vitesse de résolution
L’EDR peut vous aider à accélérer vos recherches afin que vous puissiez limiter les dommages qu’une attaque fait à votre entreprise.
L’EDR n’est pas aussi simple que vous le pensez
Tandis que les outils EPP peuvent seulement identifier et bloquer les menaces connues, l’EDR détecte l’activité anormale sur les points de terminaison (en supposant que ces appareils exécutent des agents EDR), ce qui vous donne une meilleure chance de détecter les souches de logiciel malveillants inconnues dans les attaques au jour zéro.
Toutefois, Avivah Litan, analyste chez Gartner, voit un inconvénient à son adoption : sa complexité.
La fonctionnalité EDR devra devenir plus courante, proactive et simple à utiliser et à exploiter avant que l’adoption du produit n’atteigne son plein potentiel, a écrit M. Litan.
Cela est particulièrement problématique pour les petites et moyennes entreprises (PME), qui manquent souvent de l’expertise de sécurité nécessaire en interne pour gérer l’EDR. Avant que les PME puissent correctement exploiter l’EDR, elles auront besoin d’ingénieurs de sécurité qui savent comment puiser dans tout son potentiel.
L’EDR ne doit pas être le seul joueur de votre équipe
L’EDR est un joueur d’équipe avec un rôle clé dans la détection des activités anormales au niveau d’un point de terminaison. Cependant, il est complètement aveugle à certains indicateurs de compromission du réseau. Par exemple, supposons qu’un mot de passe d’accès à une base de données ait été volé, permettant à un hacker de se connecter et de commencer à exfiltrer des informations personnelles à distance. À ce moment, l’EDR ne peut rien faire.
Cela est inquiétant si l’on considère que la couche applicative est responsable d’un nombre croissant d’attaques, les hackers entrant par des injections SQL, des vulnérabilités zero-day et d’autres formes d’attaque basée sur le Web. Elles sont hors de portée de l’EDR.
Trouver la bonne solution EDR
Il existe de nombreuses solutions EDR sur le marché, chacune avec ses forces et ses faiblesses.
Lors de la découverte de ces options, il est important de comprendre les limitations de l’EDR.
L’EDR ne fonctionne que pour les points de terminaison sur lesquels un agent EDR est exécuté, ce qui signifie que vous aurez besoin d’autres outils pour surveiller votre réseau et vos services cloud. Cela signifie également qu’un grand nombre de vos points de terminaison ne sera pas couvert, notamment les imprimantes, les appareils, les équipements réseau et les points de terminaison non pris en charge tels que les téléphones portables, les systèmes fournisseurs, les appareils IoT ou des machines virtuelles isolées.
Cela rend un service EDR autonome plus approprié pour les organisations qui disposent déjà d’une sécurité cloud et réseau puissante, mais qui ont besoin d’une protection améliorée des points de terminaison.
Cependant, la complexité de l’EDR signifie qu’il peut ne pas être une solution adaptée pour une entreprise qui ne dispose pas d’experts de sécurité dédiés qui peuvent examiner rapidement les alertes et répondre aux menaces.
Envisagez les solutions Managed Detection and Response
Une solution Managed Detection and Response (MDR) va au-delà des points de terminaison pour offrir une surveillance multi-dimensionnelle du point de terminaison, du réseau et des charges de travail du cloud. Avec ces informations holistiques, vous êtes mieux armé pour identifier efficacement les menaces et y répondre, quelle que soit leur provenance.
Un SOC (security operations center) en tant que service tel que celui d’Arctic Wolf fournit une surveillance 24 h/24, 7 j/7 de toutes vos ressources. Il comporte des équipes de sécurité expertes qui connaissent votre entreprise et peuvent fournir des alertes et des rapports personnalisés. D’autre part, une solution EDR seule ne peut pas surveiller tout ce dont vous avez besoin et ne peut pas fournir l’expertise requise pour une réponse directe une fois une attaque détectée.
Il est également important de tenir compte de vos besoins réglementaires et de gouvernance des données. Si votre entreprise a besoin de conserver les journaux, l’EDR est peu susceptible de remplir cette exigence. Le MDR, cependant, peut conserver toutes les données des journaux des réseaux, systèmes et applications existants afin que vous puissiez prouver votre conformité avec des exigences réglementaires telles que PCI-DSS, HIPAA et FFIEC.
En d’autres termes, l’EDR ne peut pas le faire seul.
Ce dont vous avez besoin est une visibilité à 360 degrés sur les points de terminaison, ainsi que sur votre réseau et votre environnement cloud, avec l’expertise de sécurité nécessaire pour vous aider à orienter votre réponse.
Pour vous familiariser encore plus avec le MDR (Managed Detection and Response), consultez notre livre blanc Protection Contre les 5 Principaux Vecteurs d’Attaque.
