DOCUMENT

Qu’est-ce que l’EDR ?

Posted on by Telford Beaupre

Pour simplifier, une solution de détection et d’intervention sur les endpoints (EDR) est un outil de cybersécurité qui repère et atténue les menaces en surveillant en continu les endpoints et en analysant leurs données.

De manière plus officielle, Gartner définit l’EDR comme une solution qui “enregistre et stocke les comportements sur les endpoints, utilise différentes méthodes d’analyse des données pour détecter les comportements suspects du système, fournit des informations contextuelles, bloque les activités malveillantes et propose des corrections pour rétablir les systèmes affectés”.

Une véritable solution EDR doit posséder les fonctionnalités suivantes :

Recherche et investigation des incidents

Validation des alertes après tri ou en cas d’activité suspecte

Détection des activités suspectes

Threat Hunting ou exploration des données

Blocage des activités malveillantes

schéma du modèle de maturité EDR affichant les quatre niveaux de protection

Une bonne compréhension des principaux aspects de la sécurité EDR et de leur importance vous permettra de mieux comprendre les caractéristiques auxquelles il faut prêter attention. Il est important de choisir une solution EDR qui offre une protection optimale tout en demandant peu d’efforts et d’investissement, afin d’apporter une véritable valeur ajoutée à votre équipe de sécurité et de préserver vos ressources. Voici les six aspects clés à prendre en compte lors du choix d’une solution EDR :

1. Visibilité en temps réel

Avoir une visibilité en temps réel sur tous vos endpoints vous permet de surveiller les activités des cyberattaquants lors de leurs tentatives d’infiltration de votre environnement, et de les bloquer immédiatement.

2. Base de données de cybermenaces

Une solution EDR efficace repose sur la collecte de quantités massives de données provenant des endpoints, ainsi que sur leur contextualisation afin de détecter les signes d’attaques à l’aide de différentes techniques d’analyse.

3. Protection basée sur les comportements

Se fier uniquement aux méthodes basées sur les signatures ou aux indicateurs de compromission conduit à des “échecs silencieux”, qui favorisent la compromission des données. Pour être efficace, une solution EDR doit adopter une approche basée sur les comportements, en recherchant des indicateurs d’attaques afin de vous alerter sur les activités suspectes avant toute compromission.

À lire aussi  Classement des meilleures mutuelles pour les implants dentaires en 2023

4. Intégration de la cyberveille

Une solution EDR qui intègre la cyberveille permet de contextualiser les événements, en fournissant notamment des détails sur les cyberattaquants présumés et toutes autres informations connues sur l’attaque.

5. Intervention rapide

Une solution EDR capable d’intervenir rapidement et avec précision permet de bloquer les attaques avant qu’elles ne deviennent des compromissions et de reprendre rapidement les activités normales.

6. Solution basée dans le cloud

Une solution EDR basée dans le cloud est le seul moyen de protéger efficacement les endpoints, tout en garantissant que des tâches telles que la recherche, l’analyse et l’investigation peuvent être effectuées avec un haut niveau de précision et en temps réel.

Les solutions EDR offrent une visibilité continue et complète en temps réel sur l’activité au niveau des endpoints. L’analyse comportementale et la cyberveille sont ensuite appliquées aux données des endpoints afin d’empêcher les incidents de se transformer en compromissions.

Falcon Insight, l’outil EDR de CrowdStrike, assure ce rôle grâce aux fonctionnalités suivantes :

Détection automatique des attaques furtives

Falcon Insight combine visibilité totale sur tous les endpoints et indicateurs d’attaques, et utilise l’analyse comportementale pour examiner des milliards d’événements en temps réel et détecter automatiquement les signes de comportement suspect.

L’analyse d’événements individuels dans le cadre d’une séquence plus large permet à l’agent Falcon Insight d’appliquer la logique de sécurité de CrowdStrike Intelligence. Lorsqu’une séquence d’événements correspond à un indicateur d’attaque connu, l’agent Falcon identifie l’activité comme malveillante et envoie automatiquement une alerte de détection. Les utilisateurs peuvent également effectuer leurs propres recherches personnalisées sur les 90 derniers jours et obtenir des résultats depuis l’architecture cloud de Falcon Insight en moins de cinq secondes.

Intégration à la cyberveille

L’intégration à la cyberveille de CrowdStrike permet de détecter plus rapidement les activités et les tactiques, techniques et procédures (TTP) identifiées comme malveillantes. Vous obtenez ainsi des informations contextualisées, notamment sur l’attribution éventuelle de l’attaque, ainsi que des détails sur les cyberattaquants et toutes autres informations connues sur l’attaque.

Les centres opérationnels de sécurité (SOC) et les analystes en sécurité reçoivent une description détaillée qui identifie l’auteur, les motivations et les modalités de l’événement, ce qui permet aux entreprises de mieux se protéger.

Threat Hunting managé pour une stratégie de défense proactive

Intégré à la plateforme Falcon, le service de Threat Hunting managé Falcon OverWatch™ offre un niveau de protection supérieur, reposant sur une équipe de hunters chevronnés qui agissent au nom des clients pour détecter les menaces et prévenir les compromissions à grande échelle.

L’équipe OverWatch utilise la solution EDR Falcon Insight pour traquer et enquêter sur les activités malveillantes dans votre environnement, ainsi que pour prodiguer des conseils. Dès qu’une menace est identifiée, l’équipe travaille en collaboration avec votre entreprise pour trier, analyser et résoudre l’incident avant qu’il ne se transforme en véritable compromission.

Visibilité historique et en temps réel

Falcon Insight agit comme un enregistreur des endpoints, en enregistrant les activités pertinentes permettant de détecter les incidents ayant échappé aux mesures de prévention. Grâce à la surveillance par l’agent Falcon de centaines d’événements de sécurité différents, tels que la création de processus, le chargement de pilotes, les modifications du registre, l’accès aux disques, l’accès à la mémoire et les connexions réseau, les clients bénéficient d’une visibilité totale sur la sécurité de toutes les activités au niveau de leurs endpoints.

À lire aussi  Comment évaluer la fiabilité d’un site web ?

Cette approche fournit aux équipes de sécurité les informations clés dont elles ont besoin, notamment :

  • Les adresses locales et externes auxquelles l’hôte est connecté

  • Tous les comptes utilisateur qui se sont connectés sur site et à distance

  • Un résumé des modifications apportées aux clés ASP, aux fichiers exécutables et à l’utilisation des outils d’administration

  • L’exécution des processus

  • Des informations récapitulatives et détaillées sur l’activité réseau associée aux processus, y compris les requêtes DNS, les connexions et les ports ouverts

  • La création de fichiers d’archives, y compris aux formats RAR et ZIP

  • L’utilisation de supports amovibles

Cette surveillance complète de l’activité liée à la sécurité sur les endpoints permet aux équipes de sécurité de surveiller en temps réel les activités des cyberattaquants en observant les commandes exécutées et les techniques utilisées lorsqu’ils tentent de s’infiltrer ou de se déplacer dans un environnement.

Investigations accélérées

Étant donné que les informations collectées depuis les endpoints sont stockées dans le cloud CrowdStrike via la plateforme Falcon, qui est basée sur un modèle situationnel, la solution EDR de CrowdStrike permet d’accélérer les investigations et donc la résolution des incidents.

Ce modèle situationnel conserve une trace de toutes les relations et de tous les contacts entre chaque événement d’endpoint grâce à une base de données graphique étendue et puissante, qui fournit rapidement des détails et du contexte, à grande échelle, pour les données historiques et en temps réel. Les équipes de sécurité peuvent ainsi enquêter rapidement sur les incidents.

La rapidité et le niveau de visibilité offerts, ainsi que la cyberveille intégrée et contextuelle, fournissent les informations nécessaires pour comprendre parfaitement les données. Les équipes de sécurité peuvent ainsi suivre efficacement les attaques, même les plus sophistiquées, détecter, trier, valider et prioriser rapidement les incidents afin d’apporter une correction plus rapide et plus précise.

Correction rapide et décisive

Falcon Insight offre la possibilité d’isoler un endpoint, une technique connue sous le nom de “confinement du réseau”, permettant aux entreprises de prendre des mesures rapides et instantanées en isolant les hôtes potentiellement compromis du reste du réseau.

Un endpoint isolé peut continuer à envoyer et à recevoir des informations depuis le cloud CrowdStrike, mais reste isolé même en cas de coupure de la connexion au cloud et de redémarrage.

Lorsqu’il s’agit de répondre aux menaces émergentes, le temps est un facteur critique. Les intervenants ont également besoin d’une visibilité étendue et en temps réel pour intervenir rapidement et de manière décisive.

L’intervention en temps réel de Falcon Insight offre la visibilité renforcée dont les équipes de sécurité ont besoin pour identifier immédiatement les menaces auxquelles elles sont confrontées et les corriger directement, sans impact sur les performances.

À lire aussi  Young Sheldon saison 5 : Quand sortira-t-elle sur Netflix en France ?

Cette fonctionnalité d’intervention en temps réel comprend deux ensembles de commandes intégrées que vous pouvez exécuter dans le cadre des investigations pour accélérer la résolution des incidents.

Les collecteurs d’informations permettent aux équipes de sécurité de comprendre immédiatement le risque et l’étendue d’une menace avancée grâce aux tâches suivantes :

  • Exploration du système de fichiers et extraction de fichiers

  • Établissement d’une liste des processus en cours d’exécution

  • Extraction des journaux d’événements Windows

  • Interrogation du Registre Windows

  • Établissement d’une liste des connexions et de la configuration réseau actuelle

  • Extraction de la mémoire des processus

  • Calcul des hachages des fichiers

  • Collecte des variables d’environnement

  • Collecte d’informations supplémentaires souhaitées à l’aide de PowerShell ou d’autres outils

Les actions de correction permettent aux équipes de prendre des mesures pour contenir et éliminer rapidement et de manière décisive les menaces, notamment :

  • Suppression de fichiers

  • Blocage de processus

  • Suppression ou modification des clés ou des valeurs du Registre Windows

  • Ajout de fichiers

  • Exécution d’un script ou d’un fichier exécutable

  • Chiffrement de fichiers

  • Redémarrage/arrêt

L’architecture native au cloud, l’agent léger et la console unifiée de CrowdStrike permettent d’intervenir en temps réel sur n’importe quel système dans le monde, sans aucun impact sur les coûts ou les performances.

Toutes les entreprises doivent comprendre qu’à moins d’être motivés et disposant de suffisamment de temps et de ressources, les cyberattaquants trouveront toujours un moyen de contourner les défenses mises en place, quelle que soit leur complexité. Voici quelques-unes des raisons pour lesquelles votre stratégie de sécurité des endpoints devrait inclure une solution EDR.

Raison n°1 : la prévention seule ne suffit pas à offrir une protection totale

Si vos dispositifs de prévention échouent, votre solution de sécurité des endpoints actuelle risque de laisser votre entreprise dans l’incertitude. Les cyberattaquants pourraient alors profiter de cette situation pour s’introduire dans votre réseau et se déplacer librement.

Raison n°2 : les adversaires peuvent circuler dans votre réseau pendant des semaines

Une défaillance silencieuse permet aux cyberattaquants de se déplacer librement dans votre environnement et de créer des portes dérobées pour pouvoir y revenir à leur guise. Dans la plupart des cas, l’entreprise n’est informée de la compromission que par un tiers, tel que les forces de l’ordre, ses clients ou ses fournisseurs.

Raison n°3 : les entreprises n’ont pas la visibilité nécessaire pour surveiller efficacement les endpoints

Lorsqu’une compromission est découverte, l’entreprise victime peut passer des mois à essayer de résoudre l’incident en raison du manque de visibilité nécessaire pour identifier et comprendre précisément ce qui s’est passé, comment et quelles mesures prendre, sans aucune certitude quant à l’élimination définitive de l’attaquant.

Raison n°4 : un accès à une cyberveille exploitée est essentiel pour intervenir en cas d’incident

Si les entreprises peuvent manquer de visibilité pour comprendre ce qui se passe au niveau des endpoints, elles peuvent également ne pas être en mesure de collecter, stocker et exploiter les données pertinentes pour la sécurité assez rapidement.

Raison n°5 : les données ne sont qu’une partie de la solution

Même lorsque les données sont disponibles, les équipes de sécurité ont besoin des ressources nécessaires pour les analyser et en tirer pleinement parti. C’est pourquoi le déploiement d’une solution de collecte d’événements (comme un SIEM) entraîne souvent des problèmes de complexité des données. Des défis liés à la recherche, à la rapidité et à l’évolutivité commencent alors à se poser, et d’autres problèmes apparaissent avant même que les objectifs initiaux ne soient atteints.

Raison n°6 : la résolution d’un incident peut prendre du temps et coûter cher

Sans les fonctionnalités énumérées ci-dessus, les entreprises peuvent passer des semaines à essayer de déterminer les mesures à prendre, souvent avec seulement la possibilité de restaurer une image système des machines, ce qui peut perturber les processus métier, réduire la productivité et entraîner des pertes financières importantes.

Vous souhaitez découvrir une solution EDR en action ? Cliquez sur le bouton ci-dessous pour visionner une démonstration à la demande de la plateforme de protection des endpoints de CrowdStrike.

REGARDER LA VIDÉO

Telford Beaupre