EDR : quelles solutions envoient en continu les données de télémétrie ?

Difficile d’y voir un hasard du calendrier. C’est ce 21 juin qu’Antin Chuvakin, de Gartner, s’est fendu d’un message sur Twitter sur les solutions de détection et remédiation sur les points de terminaison - postes de travail comme serveurs, ou EDR (end point detection and response). En substance : « je ne sais pas pour vous, mais personnellement, je suis très nerveux lorsqu’un éditeur d’EDR stocke ses données de télémétrie sur un hôte compromis, contrôlé par l’attaquant ».

De fait, pouvoir disposer de rapports sur l’activité des hôtes complets, non altérés, et de préférence inaltérables ne manque pas d’intérêt lorsqu’il s’agit d’enquêter sur un incident. Mais voilà, tous les éditeurs n’ont pas fait ce choix.

Jon Amato, directeur de recherche au sein du cabinet, fait part de certaines réponses qu’il a pu recevoir sur ce point : « généralement, [on assure que] ‘les clients demandent des besoins en ressources limités sur les serveurs’, ou ‘une consommation de bande passante minimale’, voire encore ‘ce ne sont pas les droids que vous cherchez’ ». La référence, humoristique, n’échappera à personne.

Ce débat lancé sur Twitter survient en fait le jour même de la publication du rapport trimestriel du cabinet Forrester sur les suites de protection des points de terminaison. Selon celui-ci, elles se doivent désormais d’embarquer des capacités d’EDR. Mais la question du stockage des données de télémétrie n’apparaît pas dans les critères d’évaluation, ou du moins pas explicitement. Elle n’est pas non plus mentionnée dans les résumés de présentation des solutions étudiées.

D’ailleurs, Forrester positionne parmi les leaders des éditeurs dont les solutions stockent localement, sur les hôtes, les données de télémétrie. Il en va ainsi de Trend Micro. Comme celui-ci l’explique dans une fiche technique, son agent Endpoint Sensor « s’exécute comme un processus léger en tâche de fond, collectant un profil étendu des événements système et des communications. Ces informations sont indexées et stockées localement pour répondre aux activités de recherche et d’analyse du Manager », le serveur d’administration.

Not sure about you, but personally I am **very** nervous when #EDR vendors store their telemetry on attacker-owned, compromised endpoints....

— Dr. Anton Chuvakin (@anton_chuvakin) June 21, 2018

Il en va de même pour Check Point : l’agent Sandblast stocke ces données sur l’hôte. Le serveur d’administration – Endpoint Security Management Server – demande ponctuellement aux agents déployés dans l’infrastructure de lui remonter leurs traces d’activité, via les « Push Operations ». Le composant Data Recorder d’Intercept X, de Sophos, stocke également les données d’activité en local ; l’éditeur évoquant jusqu’à 30 jours de données et 100 Mo d’espace disque utilisé.

Symantec Endpoint Protection combine les deux : pour sa fonctionnalité ATP Endpoint, l’éditeur fait état d’une capacité de collecte de données de télémétrie « à la demande » - mais des données associées à une note de risque sont transmises en continu.

Eset Enterprise Inspector envoie en revanche les données de télémétrie sur un serveur. Pour l’Event Recorder de sa solution GravityZone XDR, Bitdefender indique de son côté envoyer ces données en continu, dans son infrastructure en mode cloud. Et il en va de même pour CrowdStrike. Ces trois éditeurs comptent parmi les leaders identifiés par Forrester.

Mais ils ne sont pas seuls à miser sur un envoi, en continu, des données d’activité des points de terminaison vers un entrepôt centralisé. Il en va ainsi de Kaspersky, qui s’est récemment invité sur le marché de l’EDR, de Cybereason, de Cynet, ou encore de Carbon Black et Tanium, pour n’évoquer qu’eux.