Magazine Information Sécurité 31 : EDR & NDR, duo essentiel pour débusquer les intrus

Avoir des yeux sur tous les recoins de son SI – « Sois subtil jusqu’à l’invisible, sois mystérieux jusqu’à l’inaudible, alors tu pourras maîtriser le destin de tes adversaires ». Les adeptes de Sun Tzu l’auront reconnu sans difficulté. L’idée ainsi résumée dans L’art de la guerre est simple : la furtivité est la meilleure amie d’un assaillant. Et sans surprise, cela vaut pour les pirates informatiques, qu’ils soient avancés et persistants, comme ceux soutenus par des États-nations, ou cybercriminels.

Cette furtivité, certains d’entre eux s’y attachent scrupuleusement, par exemple en maquillant leurs logiciels malveillants avec des camoufleurs, ou cryptor, afin d’augmenter leurs chances d’échapper à la détection. D’autres préfèrent recourir à des logiciels légitimes, présents dans l’environnement de leur victime en devenir. C’est ce que l’on appelle les LOLBaS, pour Living of the Land Binaries and Scripts.

D’autres encore vont s’attacher à contourner, voire désactiver certains mécanismes de détection. Et particulier les EDR. À moins qu’ils ne combinent ces différentes tactiques tout au long de leur cinétique d’attaque.

L’EDR, pour Endpoint Detection and Response, a fait ses preuves pour augmenter les chances de débusquer les intrus au moment où ils prennent pied sur un endpoint, à savoir un serveur ou un poste de travail.

Cette visibilité accrue, par rapport au simple antivirus de canal historique, apporte des bénéfices désormais indiscutables. Mais raison de plus, pour les pirates, de chercher soit à le désactiver, soit à le contourner. Et maintenir ainsi leur furtivité.

Face à cela, il y a un endroit où il apparaît particulièrement difficile de se cacher totalement et sans faille : le réseau. C’est là que le NDR entre en jeu, pour Network Detection and Response. On l’aura compris : il s’agit là de réduire encore le nombre d’angles morts où peut se tapir un adversaire.

De quoi remplacer l’EDR ? Que nenni ! C’est bien la complémentarité qui est là, recherchée. Car aucune des deux solutions n’est dépourvue elle-même d’angles morts ni parfaite.

Les assaillants ont également leurs trucs et astuces pour tenter de maquiller leur trafic réseau. Par exemple, nous avons récemment documenté la manière dont un affidé de Qilin utilise ProxyChains pour cacher son trafic réseau, lors de l’exfiltration de données sur les systèmes d’information de ses victimes.

Configurée de manière appropriée, une sonde réseau est susceptible de détecter ce trafic. Mais à défaut, le recours à l’outil ProxyChains est détectable sur un endpoint. Utilisés conjointement, EDR et NDR améliorent ainsi les capacités de détection des intrus. Et celles de réponse à leurs activités.

Le n° 31 de ce magazine Sécurité explore ainsi les angles morts des EDR, l’apport stratégique du NDR, les enseignements du panorama ANSSI de la cybermenace en 2024, et l’essor de l’IA en cybersécurité. Analyses, retours d’expérience concrets et conseils pratiques rythment ce nouveau numéro. Bonne lecture !

Téléchargez gratuitement
Information sécurité 31