Les EDRs, les nouveaux Sherlock de la cybersécurité
La cybersécurité met à contribution tout un ensemble d’outils pour faire face à la diversité des sources, vecteurs et types de cyber attaques. Comme les couches d’un oignon, les organisations empilent différents outils spécialisés pour offrir la couverture fonctionnelle la plus large possible pour leur stratégie de cyber défense.
Ce qui a commencé avec les antivirus et les firewalls dans les années 80, s’est diversifié en une dizaine ou centaines de types d’outils et d’acronymes évoluant régulièrement au gré des innovations techniques et marketing pour finir en un paysage où il n’est plus toujours facile de s’orienter.
Le but de cette série d’articles est d’apporter un éclairage sur les acronymes récents de la cyber sécurité, d’y combiner les remontés terrains et les retours des experts métiers pour donner une vision claire, concret et « 0-bullsh.t ».
Pour ce premier numéro, nous explorons les EDRs, ou Endpoint Detection and Response, la solution récente pour protéger les postes de travail ou serveurs.
Cet article se veut également un résumé de notre podcast avec HarfangLab, une des premières solutions de EDR en France, accessible ici.
Définition des EDRs
Les solutions de Endpoint Detection & Response se spécialisent, comme le nom l’indique, sur la détection et la mitigation des menaces pouvant arriver sur les terminaux (ordinateurs, serveurs et dans certains cas, mobiles).
Théorisés en 2015 par Gartner, les EDR sont une évolution, sinon une révolution des antivirus et contribuent à la protection des postes de travail (mais aussi des serveurs).
Les antivirus se basant principalement sur l’analyse de signatures de fichier, ils se sont fait rapidement dépasser par des malwares modifiant à la volée leurs codes source (polymorphisme). De même, l’émergence des malwares dits « fileless » c’est-à-dire en s’inscrivant directement dans la mémoire de l’ordinateur et sans créer de fichier, a rendu les antivirus totalement inutiles.
Les EDR sont la réponse pour détecter les malwares nouvelle génération
Contrairement aux antivirus qui regardent principalement les signatures de fichier, les EDR ont une approche beaucoup plus large et systémique. De nos jours, l’EDR est un agent qui tourne sur les différentes machines (PC, serveur etc.) et va se concentrer sur 3 éléments:
– des comportements utilisateur ou système: un processus qui se lance ou qui écrit à des endroits où il n’est pas censé écrire. Un utilisateur qui fait des dizaines de tentatives de connexion à des heures inhabituelles. Bref, tout comportement suspect et qui sort de l’ordinateur a vocation à générer des alertes côté administrateur.
– des indicateurs de compromission: ce sont des adresses IP, des domaines identifiés comme malicieux, des sources de trafic suspicieux, des protocoles inhabituelles etc. l’EDR fait appel à des bases de données de menaces ou sources de menaces connues (bases YARA, IP/URLs connus comme malicieux…) pour lever des drapeaux quand il retrouve des occurrences.
– les signatures: un peu comme les antivirus, l’EDR est à l’affût de binaires de logiciel non signés ou des fichiers ayant des signatures connues pour être dangereux, pour attirer l’attention des administrateurs.
Une architecture qui nécessite des équipes SOC ou des MSSP
L’EDR, par définition, analyse un grand volume de données pour identifier des signaux inhabituels ou suspects: des fichiers de logs notamment. L’agent va s’abonner à diverses sources d’information sur les endpoints comme les journaux d’audit, de sécurité, des journaux applications, d’activité système OS (Windows, Mac, Linux) pour y rechercher des types de comportement suspect.
Multipliez cela par le nombre de machines à analyser et vous obtenez un immense volume de données que l’utilisateur ne peut pas interpréter.
Un EDR a donc besoin d’un dashboard ou console d’administrateur qui regroupera l’ensemble de la télémétrie et alertes remontés par les différents agents tournant sur les machines et qui permettra à un opérateur humain d’enquêter sur les alertes, les classer (faux positif ou vrai danger) et prendre les actions adaptées. Le dashboard va tourner sur un serveur indépendant, soit dans l’infrastructure SI du client, soit dans un cloud et opéré par un MSSP si la compétence n’existe pas en interne chez le client. A la différence des antivirus ou EPP, les EDR sont donc une solution managée.
Quelles différences avec un antivirus ou EPP
En plus de se concentrer principalement sur des signatures de fichier, les antivirus/EPP ne permettent pas l’investigation ou les forensiques. De même, la remédiation (suppression des fichiers, mise en quarantaine, arrêt de processus) est également automatique.
Les attaques modernes sont plus subtiles et difficiles à détecter qu’à l’époque des antivirus. Il est donc essentiel d’offrir la possibilité à un opérateur humain d’investiguer, classer et documenter les alertes avant de prendre une décision de remédiation. Un EDR donne la main à l’opérateur du SOC pour décider de l’action à prendre. Néanmoins, en fonction des règles, types ou criticité des alertes ou configuration, il reste possible de prendre des actions immédiates sans attendre l’intervention humaine.
Les EDR sont-ils magiques ?
Bien sûr indispensables, les EDR ne sont ni suffisants, ni infaillibles. Des malwares de plus en plus intelligents ou des bases de données de menaces pas forcément à jour suffisamment à temps pour les attaques, font qu’il est nécessaire d’empiler plusieurs couches supplémentaires de protection pour faire face au déferlement de menaces cyber auquel nous faisons face aujourd’hui.
Les solutions de filtrage, tel que Olfeo Saas contribuent à bloquer les menace en amont et avant qu’elles n’arrivent sur les postes de travail et sont un complément redoutable des EDR pour assurer la sécurité des collaborateurs.
Qui sont les acteurs majeurs français des EDR ?
- Tehtris:
Tehtris propose une solution de cybersécurité complète qui inclut une plateforme EDR (Endpoint Detection and Response). Leur approche se concentre sur la détection et la réponse aux menaces avancées. La solution Tehtris EDR offre une surveillance en temps réel des activités sur les points de terminaison, une détection comportementale, et des fonctionnalités de réponse automatisée pour contrer les attaques sophistiquées. L’intégration d’intelligence artificielle et de machine learning contribue à renforcer la capacité de détection des menaces.
- HarfangLab:
HarfangLab propose une solution de sécurité complète pour les entreprises, et leur offre comprend une solution EDR pour la détection et la réponse aux incidents sur les points de terminaison. La solution EDR d’HarfangLab met l’accent sur la détection précoce des menaces en utilisant des mécanismes de détection comportementale et des techniques d’analyse avancées. Elle vise à fournir une visibilité approfondie sur les activités des endpoints pour permettre une réponse rapide aux incidents de sécurité.
- Stormshield:
Stormshield propose une gamme de solutions de cybersécurité, y compris une solution EDR appelée Stormshield Endpoint Security. Cette solution vise à protéger les endpoints contre un large éventail de menaces, y compris les attaques ciblées. Elle intègre des fonctionnalités de détection comportementale, de prévention des exploits, et de réponse aux incidents. Stormshield met également l’accent sur la visibilité des activités sur les points de terminaison pour aider les organisations à mieux comprendre et contrer les menaces.