Endpoint Detection and Response : pourquoi l’EDR ?

Découvrez les solutions de Endpoint Detection & Response par Orange Cyberdefense.
  1. Protection des mobiles et des endpoints
  2. Endpoint Detection and Response : pourquoi l’EDR ?

Les limites de l’antivirus sans EDR

Tous les jours des milliers de terminaux (endpoints) sont compromis par des hackers, qu’ils soient débutants ou des professionnels embauchés par des Etats. Et ce sont ces derniers qui nous intéressent aujourd’hui : les Advanced Persistent Threats (APT) – les Menaces avancées et persistantes qui compromettent des machines dans le but de voler des secrets industriels comme politiques ou pour perturber le réseau électrique entier d’un pays.

Car ces hackers utilisent des techniques qui permettent de passer outre les antivirus historiques qui ne faisaient que comparer la signature des fichiers à une base de fichiers connus malveillants. Ce qui signifie aussi que toute nouvelle souche de virus frappera avec force avant qu’elle soit reconnue, analysée puis transmise à tous les éditeurs d’antivirus pour blocage. Ce n’est pas la seule faiblesse : pour pouvoir comparer la signature, il faut qu’un fichier soit déposé. Or de nombreuses techniques existent pour ignorer ce point et accomplir les actions malveillantes directement en mémoire, on parle d’attaques « fileless » car elles ne déposent pas de fichiers mais exécutent directement des commandes.

Indépendamment de ces menaces avancées, les antivirus historiques manquent un point crucial dans l’environnement de la sécurité actuel, celui de la corrélation. Nous étudions,  analysons les attaques poste par poste sans une visibilité globale sur un parc. Il est complexe et chronophage de retrouver le chemin d’infection initial.

Néanmoins les antivirus, et notamment les next gen qui font plus que de la simple comparaison de fichiers, permettent tout de même de bloquer une très grande quantité de malwares. De nombreux opportunistes réutilisent ou achètent des malwares et des failles. Nous en retrouvons encore aujourd’hui  qui exploitent des failles vieilles de plus de 10 ans !

Les forces de l’EDR

Dans ce contexte l’EDR est un outil de sécurité complémentaire de l’antivirus next gen avec lequel il travaille afin de bloquer les menaces connues comme inconnues (zero-days). C’est un outil qui se place sur les terminaux et non au niveau réseau d’un système d’information (SI).

Comment fonctionne l’EDR ? L’outil fait de l’analyse comportementale, et monitore les actions d’un terminal. Cela permet par exemple de mettre en lumière les attaques « fileless » qui vont exécuter des commandes de powershell. Si l’utilisateur n’en n’utilise jamais, le simple fait d’en voir apparaître surtout encodée en base 64 permettra à l’EDR de prendre la décision de bloquer le programme qui est à l’origine de la commande et pas seulement ladite commande.

Un EDR est caractérisé par ses capacités de détection, d’investigation et enfin de remédiation.

Détection

L’EDR est capable de surveiller l’exploitation de failles de sécurités en surveillant les appels noyaux et les différents services habituellement ciblés notamment chez Windows. Cette capacité de surveillance et la corrélation d’évènements lui permettent de reconnaître des méthodes et habitudes qu’ont les hackers et dont il est plus difficile de se prémunir.

L’analyse comportementale est un autre point étudié par les EDR et qui permet de reconnaître des comportements déviant d’une norme, après une phase d’apprentissage. Grâce à cette analyse, l’EDR peut émettre des alertes qui seront vérifiées et renforceront l’apprentissage. L’intérêt de cette technique est qu’elle permet de stopper un attaquant dans son élan : si un pdf PDF contient un script qui ouvre powershell et ouvre une connexion sur un port classique d’un serveur extérieur au SI alors cette suite d’action sera considérée comme anormale et va être bloquée par l’EDR. Cette visibilité est une grande force de l’EDR car elle permet une remédiation à la source de l’infection.

Investigation

Comme mentionné plus haut, l’EDR permet d’observer des suites d’actions dont le résultat est des plus douteux. Cette visibilité sur les processus est d’une très grande aide pour faire de l’investigation : les actions sont corrélées et remontées dans une plateforme centralisée qui permet d’étendre l’apprentissage observé d’un poste à tous les autres. Ainsi, si une attaque est détectée sur 5 cinq terminaux, alors la console centralisée va faire redescendre l’information sur tous les autres.

Grâce à cette plateforme, le Security Operations Center (SOC) est capable de savoir immédiatement combien de postes sont touchés et d’en remonter la piste : c’est un formidable outil d’investigation qui s’interfacera à votre Security Information and Event Management (SIEM) en offrant de la visibilité sur les terminaux. D’autant plus que votre SOC pourra se servir de l’EDR pour récupérer des artefacts de l’attaques à distance.

Remédiation

En ce qui concerne la remédiation, l’EDR a des capacités similaires à celles d’un antivirus next gen et peut notamment bloquer, supprimer et mettre en quarantaine des fichiers. Vos équipes de sécurité pourront aussi s’appuyer sur l’outil pour faire du nettoyage de clé de registre voire pour certains d’aller opérer de manière quasi chirurgicale en mémoire afin de corriger les actions qu’a pu entreprendre un malware.  De plus, certains EDR permettent aux analystes du SOC d’Orange Cyberdefense de prendre la main à distance sur un terminal qui nécessiterait une investigation plus poussée encore.

L'EDR, mais pas tout seul

L’EDR n’est pas une solution stand-alone. C’est un excellent complément qui s’intégrera parfaitement avec un antivirus classique, un SIEM et de la sécurité du réseau. Il permet d’étendre la visibilité du SI jusqu’au terminaux et ainsi d’améliorer et d’étendre la sécurité du SI ainsi que d’augmenter les capacités du SOC.

Contactez nos experts