imtmphoto - Fotolia
L’EDR s’impose dans l’arsenal de protection
Inexistants il y a encore quelques années, les systèmes de détection et de réponse sur les terminaux apportent une visibilité accrue sur les menaces qui affectent le système d’information. Une visibilité utile à l’analyse dans le SOC et à la prise de mesures défensives plus rapides.
Les systèmes de détection des menaces et de réponse au niveau des points de terminaison (EDR, pour Endpoint Dectection and Response) – serveurs comme postes de travail – n’ont pas vocation à remplacer les dispositifs de protection locaux (EPP, pour Endpoint Protection Platform). C’est en tout cas le regard que portaient dessus Augusto Barros et Anton Chuvakin, du cabinet Gartner, dans une comparaison des technologies et solutions d’EDR publiée en juin 2016. Et cela même si certains questionnent aujourd’hui la valeur des solutions d’EPP, en particulier du fait de l’efficacité toujours plus limitée des systèmes basés sur des listes de signatures.
En fait, pour eux, il apparaît important de ne pas considérer l’EDR comme « un remplacement des autres outils de sécurité des points de terminaison. C’est souvent un complément de détection et de visibilité ». De manière sommaire, ils expliquent que « l’EDR se concentre sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées », quand l’EPP relève de « l’hygiène » de base pour protéger contre les menaces bien connues. Des éléments complémentaires, donc, mais de plus en plus aussi indispensables l’un que l’autre.
Une nouvelle brique essentielle
Tony Rowan, responsable du conseil en architecture chez SentinelOne, ne dit pas autre chose : « les organisations qui s’appuient entièrement sur une approche préventive comme un anti-virus classique sont aveugles à une part significative de menaces auxquelles elles sont vulnérables ».
Nicolas Blot, consultant manager chez NTT Security, précise : « le poste de travail est un maillon important voire primordial de la de la sécurisation au sein d’une organisation. L’EDR apporte une véritable visibilité liée à son positionnement à la source de l’infection. En effet, nombre de compromissions se font au travers du poste de travail », notamment par le biais de hameçonnage ciblé (phishing) ou d’attaques par point d’eau (waterhole). Pour lui, « c’est d’autant plus vrai lorsque les machines sont en mobilité, donc hors du périmètre de l’entreprise où la majorité des protections périmétriques, si efficaces soient-elles, ne sont plus en mesure de protéger l’utilisateur et sa machine ».
Benoît Rostagni, ancien de RSA, notamment, estime, fort de son expérience que l’EDR « fournit une visibilité primordiale aujourd’hui, dans un système d’information ». Et cela, explique-t-il, « pour plusieurs raisons simples : la communication est de plus en plus souvent chiffrée entre le point de terminaison et le serveur avec lequel il communique. Seul l'EDR est capable de dire si le processus qui dialogue avec tel serveur, a aussi accédé à tel ou tel fichier, voire à telle ou telle zone mémoire (physique ou logique - autre processus...), ou si les données téléchargées sur le poste exécutent un processus à la réception (automatiquement ou par action de l'utilisateur) qui se mets à semer des petits partout, et surtout dans les zone systèmes ou les zones applicatives, caché, remplaçant d'autres processus en mémoire »...
Au service du SOC
Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte, appréhende donc l’EDR comme « un accélérateur pour les équipes opérationnelles travaillant pour le SOC ». Pour lui, « les informations remontées doivent en théorie permettre d’avoir une vision globale ».
Olivier Ligneul, expert du Cercle des Assises de la Sécurité, et vice-président du Club des experts de la sécurité de l’information et numérique (Cesin), estime également que l’EDR peut s’avérer très bénéfique pour le SOC : « les remontées d’incidents associés donnent des éléments intéressants concernant les modalités d’attaques qui passent à travers ces équipements, également au niveau de la progression des populations ciblés lors de campagne de hameçonnage ou de propagation de logiciel malveillant ».
Nicolas Bourot, lui aussi expert du Cercle des Assises de la Sécurité, et RSSI dans le secteur bancaire, ne dira pas autre chose : « le terminal est un composant clé car très vulnérable (accès à Internet, courrier électronique…). […] C’est un outil indispensable pour tout SOC s’il veut une vision de son SI dans un contexte d’ouverture ».
Charles Coe, responsable du marketing produit de Guidance Software, appréhende la complémentarité de manière très opérationnelle : « par exemple, lorsqu’une alerte est déclenchée par une application de protection périmétrique, cela peut créer automatiquement une tâche conduisant l’EDR à examiner en profondeur le poste concerné afin de valider une éventuelle infection ». Une inspection susceptible d’éliminer d’éventuels faux positifs comme de conduire à des actions de remédiation.
Pour réagir rapidement
Pour Benoît Rostagni, il est donc important de « se servir d'un EDR pour générer des journaux d’activité, ou directement des alertes, confortées par d'autres journaux (logs) de systèmes réseau ou de sécurité ». Cela fait, « dans les mains de l'analyste de niveau 1 dans un SOC, l'EDR est le premier outil d'investigation, utilisé dans 80 % des processus d'investigation, parce ce que si une attaque est détectée par un outil de sécurité périphérique, une transaction réseau, elle va forcement [laisser des traces] entre un point de terminaison et un autre, parfois tous les deux sur le réseau interne ». L’étude des traces d’activité de ces points de terminaison, produites par l’EDR vont permettre « de savoir ce qui c'est passé pour vérifier, avoir plus d'information, confirmer ou non l'attaque, étudier son ampleur », voire isoler la compromission.
De fait, pour Michael Bittan, l’EDR permet « aussi de corriger plus rapidement ». Nicolas Blot le souligne également : ces solutions « offrent une capacité de réponse plus rapide » qui permet d’envisager « de limiter une compromission ». Car comme il le relève, « nombre d’EDR sont aujourd’hui en mesure d’isoler une machine du réseau […] et de permettre la mise à jour des autres agents afin d’éviter toute nouvelle compromission via la cinématique détectée ». A condition toutefois d’exploiter les informations et les alertes produites par l’EDR avec des outils tels que des SIEM et des équipes « en mesure de surveiller et de traiter les remontées d’informations ».