Les solutions EDR sont caractérisées par certains traits : elles offrent une visibilité sur les actions effectuées sur tous les terminaux, par des logiciels malveillants ou non ; elles permettent de détecter les menaces et offrent des réponses adaptées ; cette détection se base sur une analyse comportementale ; enfin leur analyse ne se limite pas aux malwares, elle est plus globale. Explorons ces caractéristiques plus en détail.
Les attaques de type « Living-of-the-Land » (LotL) ont la particularité de ne pas s’appuyer sur le téléchargement et l’exécution d’un malware, mais de passer par l’exploitation de vulnérabilités de logiciels et applications déjà présentes dans l’environnement informatique de l’entreprise. Ces attaques restent furtives pendant 200 jours en moyenne avant d’être détectées : plus de six mois !
Les solutions d’EDR sont particulièrement indiquées contre ce type d’attaques car elles observent de façon continue l’activité des terminaux sans intervenir. Elles identifient ensuite des corrélations entre les activités observées à l’échelle de l’entreprise, en se portant notamment sur les processus en cours, les fichiers consultés, les programmes lancés, les appareils connectés, etc. C’est cette analyse globale qui permet de détecter des attaques qui resteraient autrement inaperçues.
Les solutions d’EDR fournissent aux responsables de la sécurité et à leurs équipes les informations dont ils ont besoin pour effectuer leur analyse des comportements anormaux sur les terminaux.
Cela répond à l’une des préoccupations importantes des DSI qui est d’être en mesure de rendre compte de l’état des enquêtes sur les attaques qui ont eu lieu. En effet, il est normal pour un dirigeant de demander à son équipe IT de lui demander pourquoi une attaque a pu perturber son infrastructure informatique et ses outils de production, et la DSI a besoin de certains outils pour mener une enquête interne avant de pouvoir lui répondre.
Une analyse comportementale ou heuristique permet d’identifier de nouvelles techniques et de nouveaux logiciels malveillants sans s’appuyer sur des signatures déjà connues. Ces signatures sont ce par quoi un fabricant de logiciels signe son programme, comme un artiste signe son œuvre.
Les antivirus (AV) fonctionnent sur la base de signatures connues et ne peuvent donc signaler ou empêcher que ceux qu’ils connaissent déjà. Cependant, la base de signatures reconnues par les AV sont lacunaires, notamment parce que les virus évoluent rapidement.
Une solution AV peut reconnaître une signature de logiciel malveillant, qui est une séquence continue d’octets contenue dans un logiciel malveillant. Mais les attaques de type « zero-day », par exemple, ne contiennent pas de signature déjà enregistrée et ne sont donc pas reconnues par les AV. Dans le cas des attaques LotL, il n’y a pas de fichier malveillant donc pas de signature que l’AV pourrait détecter.
Enfin, les solutions EDR permettent un nettoyage et une sauvegarde efficaces après une attaque. Par exemples, elles permettent de définir des règles qui associeront automatiquement une réponse à un stimulus (attaque, détection d’une attaque LotL, vol de données, etc). Ces réponses peuvent inclure la mise en quarantaine d’ordinateurs ou d’applications, l’exécution d’un programme prédéfini, la modification des autorisations d’un utilisateur, etc.
Les outils de protection informatique traditionnels (AV, pare-feu, etc) sont un élément important dans la protection des terminaux contre les hackers, mais ils ne sont plus suffisants. En effet, les attaques sont de plus en plus sophistiquées et utilisent de plus en plus des moyens silencieux. Les solutions d’EDR permettent de détecter ces attaques qui passeraient autrement sous le radar, et d’éviter un espionnage de longue durée.
La traque des risques ne devrait pas se limiter à la conformité réglementaire. Ces audits…
Faute de solution miracle, les entreprises souhaitant se protéger de ce type de menaces doivent…
Une des thématiques émergentes en 2024 sera de ré-évaluer le socle constitué par le réseau…
Dans un environnement où les menaces sont de plus en plus aiguisées et où les…
Même si la directive propose un mécanisme de proportionnalité en termes d’exigence, en fonction du…
La cybersécurité est plus que concernée par les révolutions induites par l’informatique quantique. S’il est…