Le rôle des solutions de détection et de réponse pour faire face aux attaques silencieuses

Politique de sécuritéSécurité
avis-experts-cisco-cybersecurite

Certaines cyber-attaques sont silencieuses, et il est nécessaire de disposer d’outils de détection spécifiques pour les débusquer au risque de les laisser prospérer pendant des mois sans être vues. C’est le rôle des EDR – Endpoint Detection & Response – solutions de détection et de réponse sur les terminaux.

Les solutions EDR sont caractérisées par certains traits : elles offrent une visibilité sur les actions effectuées sur tous les terminaux, par des logiciels malveillants ou non ; elles permettent de détecter les menaces et offrent des réponses adaptées ; cette détection se base sur une analyse comportementale ; enfin leur analyse ne se limite pas aux malwares, elle est plus globale. Explorons ces caractéristiques plus en détail.

1. Une surveillance de l’activité du terminal en temps réel

Les attaques de type « Living-of-the-Land » (LotL) ont la particularité de ne pas s’appuyer sur le téléchargement et l’exécution d’un malware, mais de passer par l’exploitation de vulnérabilités de logiciels et applications déjà présentes dans l’environnement informatique de l’entreprise. Ces attaques restent furtives pendant 200 jours en moyenne avant d’être détectées : plus de six mois !

Les solutions d’EDR sont particulièrement indiquées contre ce type d’attaques car elles observent de façon continue l’activité des terminaux sans intervenir. Elles identifient ensuite des corrélations entre les activités observées à l’échelle de l’entreprise, en se portant notamment sur les processus en cours, les fichiers consultés, les programmes lancés, les appareils connectés, etc. C’est cette analyse globale qui permet de détecter des attaques qui resteraient autrement inaperçues.

2. Soutien à l’analyse approfondie et à la détection des menaces

Les solutions d’EDR fournissent aux responsables de la sécurité et à leurs équipes les informations dont ils ont besoin pour effectuer leur analyse des comportements anormaux sur les terminaux.

Cela répond à l’une des préoccupations importantes des DSI qui est d’être en mesure de rendre compte de l’état des enquêtes sur les attaques qui ont eu lieu. En effet, il est normal pour un dirigeant de demander à son équipe IT de lui demander pourquoi une attaque a pu perturber son infrastructure informatique et ses outils de production, et la DSI a besoin de certains outils pour mener une enquête interne avant de pouvoir lui répondre.

3. Identification des attaques par l’analyse comportementale ou heuristique

Une analyse comportementale ou heuristique permet d’identifier de nouvelles techniques et de nouveaux logiciels malveillants sans s’appuyer sur des signatures déjà connues. Ces signatures sont ce par quoi un fabricant de logiciels signe son programme, comme un artiste signe son œuvre.

Les antivirus (AV) fonctionnent sur la base de signatures connues et ne peuvent donc signaler ou empêcher que ceux qu’ils connaissent déjà. Cependant, la base de signatures reconnues par les AV sont lacunaires, notamment parce que les virus évoluent rapidement.

Une solution AV peut reconnaître une signature de logiciel malveillant, qui est une séquence continue d’octets contenue dans un logiciel malveillant. Mais les attaques de type « zero-day », par exemple, ne contiennent pas de signature déjà enregistrée et ne sont donc pas reconnues par les AV. Dans le cas des attaques LotL, il n’y a pas de fichier malveillant donc pas de signature que l’AV pourrait détecter.

4. Résolution et élimination des problèmes

Enfin, les solutions EDR permettent un nettoyage et une sauvegarde efficaces après une attaque. Par exemples, elles permettent de définir des règles qui associeront automatiquement une réponse à un stimulus (attaque, détection d’une attaque LotL, vol de données, etc). Ces réponses peuvent inclure la mise en quarantaine d’ordinateurs ou d’applications, l’exécution d’un programme prédéfini, la modification des autorisations d’un utilisateur, etc.

Les outils de protection informatique traditionnels (AV, pare-feu, etc) sont un élément important dans la protection des terminaux contre les hackers, mais ils ne sont plus suffisants. En effet, les attaques sont de plus en plus sophistiquées et utilisent de plus en plus des moyens silencieux. Les solutions d’EDR permettent de détecter ces attaques qui passeraient autrement sous le radar, et d’éviter un espionnage de longue durée.


Auteur
En savoir plus 
VP Europe du Sud
DriveLock
Benjamin De Rose est VP Europe du Sud chez DriveLock
En savoir plus 

Livres blancs A la Une