stock.adobe.com
La délicate évaluation des EDR
Le choix d’une solution de détection et de réponse sur les postes de travail et les serveurs n’est pas nécessairement chose simple. L’historique des EDR l’explique en partie. Les mises à l’épreuve du MITRE peuvent aider.
Choisir une solution de détection et de réponse sur les postes de travail et les serveurs – que l’on nomme génériquement endpoints, d’où le terme Endpoint Detection and Response (EDR) – peut s’avérer épineux. L’expérience de SeLoger.com l’illustre bien : son équipe de sécurité a commencé par essayer de confronter des EDR à des logiciels malveillants connus et inconnus pour découvrir des taux de détection extrêmement bas et, de prime abord, décevants. Conclusion de son RSSI, Gilles Lorrain, lors d’un atelier organisé à l’occasion de l’édition 2022 des Assises de la Sécurité : « il ne faut pas tester un EDR comme un antivirus ». Et ce n’est en fait pas véritablement une surprise.
Aux origines de l’EDR
Pour le comprendre, il peut être nécessaire de remonter aux origines de l’EDR. En 2015, s’ils existaient déjà, Gartner ne leur consacrait pas encore de quadrant magique. Le cabinet d’analystes expliquait alors que les EDR avaient émergé « pour satisfaire le besoin de répondre plus rapidement aux attaques échappant à la détection par les plateformes existantes de protection des endpoints (EPP) ». Pour faire simple : les antivirus traditionnels, et plus particulièrement ceux limités à la détection des menaces à partir de bases de signatures montrant alors de plus en plus leurs limites.
Les EDR ont commencé par se différencier avec la collecte de nombreux événements sécurité réseau et sur les endpoints, les comparant à des indicateurs ou des comportements potentiellement malicieux connus. Par exemple des techniques utilisées par du code malveillant pour s’injecter directement dans un processus inoffensif s’exécutant déjà en mémoire vive. Une technique connue sous le nom de process hollowing.
Sans surprise, l’EDR s’est d’abord imposé comme un outil augmentant la visibilité sur le système d’information et éliminant certains angles morts afin d’aider les équipes de sécurité opérationnelle, dans les SOC, à identifier plus rapidement les signaux faibles susceptibles de trahir une attaque en cours et à y répondre.
Les analystes de Gartner ne manquaient pas de le souligner : en 2017, ils expliquaient qu’il était important de ne pas considérer l’EDR comme « un remplacement des autres outils de sécurité des points de terminaison. C’est souvent un complément de détection et de visibilité ». De manière sommaire, ils ajoutaient que « l’EDR se concentre sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées », quand l’EPP relève de « l’hygiène » de base pour protéger contre les menaces bien connues. Des éléments complémentaires, donc, mais de plus en plus indispensables l’un comme l’autre.
Sa fusion programmée avec l’EPP
C’est sans trop de surprise que les déploiements d’EDR ont initialement ont la mise sur la complémentarité. À la rentrée 2019, les témoignages de projets combinant Microsoft Defender avec un EDR hors éditeur d’antivirus classique se multipliaient.
Pour autant, la fusion entre EDR et EPP est rapidement apparue inévitable. Dans l’édition 2019 de son quadrant magique sur l’EPP, Gartner prenait ainsi acte de l’évolution du marché et indiquait que « les capacités traditionnelles trouvées dans le marché de l’EDR sont désormais considérées comme des composants essentiels d’un EPP capable d’adresser et de répondre aux menaces modernes ».
Le rapprochement s’est tout naturellement opéré en ordre dispersé. Mais un autre phénomène est venu l’encourager : la cybercriminalité crapuleuse a changé ses pratiques. En 2019, avec la multiplication des cyberattaques avec rançongiciel impliquant une compromission en profondeur, il est apparu évident que les cybercriminels simplement motivés par l’appât du gain empruntaient de plus en plus aux acteurs étatiques – les APT.
Ivan Kwiatkowski, chercheur en sécurité au sein du GReAT (Global Research & Analysis Team) de Kaspersky et connu sur Twitter sous le pseudonyme @JusticeRage, l’expliquait au MagIT début 2020 : « traditionnellement, on avait tendance à représenter la topologie des cyberattaques comme une pyramide, avec tout en bas, le bruit de fond, à savoir les scans de ports, les attaques en force brute, etc. Au-dessus, on plaçait la cybercriminalité, et tout en haut, les APT. Une forme de ruissellement était supposée : les chercheurs documentent les techniques, tactiques et procédures (TTP) des APT, et les acteurs de la cyberdélinquance/cybercriminalité s’en inspirent pour peaufiner leurs attaques et devenir graduellement plus performants ».
Et le MITRE entra en scène
Tant la complémentarité que le rapprochement graduel de l’EDR et de l’EPP – en l’espace d’une poignée d’années – peuvent expliquer une certaine confusion, traduite dans des tests de mise à l’épreuve inadaptés. Ce qui explique également que certains EDR ne détectent pas, en simple analyse statique, des logiciels maliciels comme le font ressortir régulièrement les données de VirusTotal : cette absence de détection sur cette plateforme n’implique pas que la solution d’EDR ne repérerait pas avec succès le code malveillant à son exécution sur un véritable poste de travail.
Face à cette situation, le MITRE a commencé, en 2018, à confronter des EDR à la réalité, en s’appuyant sur sa base de connaissances ATT&CK. Ouverte au public, elle fait un inventaire des tactiques et des techniques mises en œuvre par les attaquants, jusqu’aux plus avancés d’entre eux. Elle s’alimente auprès des travaux d’éditeurs, d’équipementiers, mais également d’institutions publiques et de chercheurs.
La première session de test a réuni sept éditeurs. Leurs solutions avaient été confrontées aux techniques, tactiques et procédures (TTPs) d’APT3/Gothic Panda. Un autre round a rassemblé, courant 2019, 21 éditeurs. Là, c’est une émulation du groupe APT29, aussi appelé Cozy Bear, qui a été utilisée pour les épreuves.
L’édition 2023 des évaluations s’appuiera sur les TTPS de Turla, aussi connu sous le nom de Venomous Bear. Une trentaine d’éditeurs se sont engagés à y participer, jusqu’aux jeunes pousses françaises HarfangLab et Tehtris. Elles n’avaient pas participé à la session 2022 (Wizard Spider et Sandworm).
Les résultats sont présentés suivant le framework ATT&CK. Le MITRE fournit un guide utilisateur détaillant comment lire et utiliser les résultats des évaluations.