Qu'est-ce que « l'Endpoint detection and response » ?
- Glossaire IAM
- Qu'est-ce que « l'Endpoint detection and response » ?
La protection évolutive des points terminaison (EDR, ou Endpoint Detection and Response), également connue sous le nom de Endpoint Threat Detection and Response (ETDR), est un terme générique qui désigne une solution logicielle qui surveille en permanence les terminaux. Cela inclut les ordinateurs de bureau et portables des utilisateurs finaux, les serveurs, les appareils mobiles et les appareils de l'Internet des objets (IoT), afin de collecter et d'analyser les données relatives aux menaces, et d'alerter les équipes de sécurité en cas de violation en temps réel.
Comment fonctionne la protection évolutive des points de terminaison (EDR) ?
Le terme EDR étant très large, les fonctionnalités et capacités spécifiques des solutions EDR varient considérablement d'un fournisseur à l'autre et même d'une implémentation à l'autre. En général, les outils de protection évolutive des points de terminaison appartiennent à l'une des trois catégories suivantes :
- Une plateforme EDR dédiée
- Une suite d'outils plus petits qui, utilisés ensemble, assurent la protection évolutive des points de terminaison.
- Une fonctionnalité EDR intégrée à un autre produit de sécurité, tel qu'un logiciel antivirus de nouvelle génération. Certains fournisseurs de solutions de gestion des informations et des événements de sécurité (SIEM) ont intégré l'EDR dans leur offre.
Les solutions EDR regroupent les données télémétriques des terminaux, notamment les journaux, les détails des fichiers, les processus en cours, les moniteurs de performances et les données de configuration, et les analysent afin de détecter des modèles de menaces potentielles.
Les systèmes EDR les plus élémentaires sont de simples outils d'alerte. Ils collectent, analysent et affichent des données que le personnel humain peut consulter et sur lesquelles il peut agir. Les données sont enregistrées dans une base de données centrale et peuvent généralement être intégrées dans une solution SIEM.
Les systèmes EDR les plus avancés comprennent des fonctionnalités telles que :
- Des mécanismes de réponse automatisés capables de prendre certaines mesures correctives en cas de détection d'une menace, comme la déconnexion d'un utilisateur final, l'arrêt des processus compromis ou la désactivation pure et simple du terminal.
- Des outils de réponse aux menaces qui aident le personnel de sécurité humaine à comprendre ce qui se passe, quels appareils et systèmes sont touchés, comment mettre fin à l'attaque et comment prévenir les prochaines attaques.
- Des fonctionnalités d'apprentissage automatique et d'analyse alimentées par l'IA qui s'appuient sur l'analyse comportementale pour replacer l'activité de l'appareil dans son contexte et identifier les menaces nouvelles et émergentes, y compris les menaces qui ne correspondent pas aux règles préconfigurées de l'EDR. Cela peut inclure la mise en correspondance des comportements anormaux avec le cadre MITRE ATT&CK gratuit pour faciliter la détection des modèles.
- Des outils d'investigation qui aident le personnel de sécurité à établir des calendriers, à identifier les systèmes affectés et à rassembler des preuves lors de la réponse aux incidents et de l'analyse post-fraude. Le personnel de sécurité peut également utiliser les outils d'investigation EDR pour rechercher de manière proactive d'autres menaces non détectées dans l'environnement de données.
L'importance de l'EDR
Les systèmes EDR sont de plus en plus populaires compte tenu de l'explosion des terminaux connectés aux réseaux des entreprises, notamment les ordinateurs de bureau et portables, ainsi que les téléphones et les appareils IoT. Les acteurs malveillants considèrent ces appareils comme des « cibles faciles » par lesquelles ils peuvent infiltrer les réseaux, et utilisent des méthodes d'attaque et des malwares de plus en plus sophistiqués pour les attaquer.
Les outils de protection évolutive des points de terminaison sont parfois confondus avec les solutions antivirus. De nombreux systèmes EDR sont intégrés à un logiciel antivirus ou exploitent les données de la base de données d'une solution antivirus.
Cependant, les logiciels antivirus protègent uniquement les terminaux contre les types de malwares connus, qui sont répertoriés dans la base de données du produit. À l'inverse, l'EDR s'appuie sur des analyses intelligentes pour détecter les menaces nouvelles et émergentes, y compris les menaces que les logiciels antivirus ne peuvent pas détecter, comme les malwares sans fichier, les attaques qui s'appuient sur des identifiants volés, les menaces persistantes avancées (APT) et les malwares si récents qu'ils ne sont pas encore répertoriés dans une base de données antivirus.
Les solutions antivirus fournissent uniquement des informations de base aux utilisateurs, comme le nombre et le type de menaces bloquées par le logiciel au cours d'une période donnée. Les systèmes EDR archivent des données contextuelles supplémentaires très précieuses sur les attaques, telles que des informations sur l'acteur malveillant, et mettent en évidence des tendances historiques que les entreprises peuvent utiliser pour éclairer leur stratégie de sécurité.
Comment les entreprises utilisent l'EDR
En plus de détecter les menaces qui échapperaient autrement aux solutions antivirus et autres outils de sécurité, les systèmes EDR accélèrent la réponse aux incidents, contribuent aux efforts d'atténuation, fournissent aux équipes de sécurité une visibilité complète sur le comportement des terminaux dans l'environnement de données et permettent de lutter de manière proactive contre les menaces.
Pour que le déploiement EDR soit réussi, il est essentiel que le personnel de sécurité joue un rôle actif dans la sécurité des terminaux. En plus de surveiller les alertes EDR, les entreprises doivent mettre en place une stratégie de gestion des correctifs solide pour maintenir les terminaux à jour. Les mises à jour logicielles comprennent souvent d'importants correctifs de sécurité, et le fait de ne pas les appliquer en temps voulu peut gravement compromettre la sécurité des terminaux.
Les mauvaises configurations du cloud sont un autre problème courant qui peut dégrader la sécurité des terminaux. La visibilité que les solutions EDR apportent sur les configurations des terminaux aide les équipes informatiques et de sécurité à prévenir les mauvaises configurations dans le cloud, au même titre qu'un environnement cloud correctement entretenu renforce la sécurité des terminaux.