Les endpoints sont la cible principale des cyberattaques. Les données les plus conservatrices estiment qu’entre 68% et 70% des violations de sécurité commencent par ces dispositifs. C’est pourquoi la mise en place d’un EDR (Endpoint Detection and Response) est indispensable pour les protéger dans le contexte actuel des menaces informatiques.
Cet EDR est un outil de sécurité avancé qui s’installe sur les dispositifs finaux de l’infrastructure technologique (ordinateurs personnels, serveurs, téléphones…) et qui supervise leur activité en temps réel, permettant de savoir exactement ce qui se passe sur chacun de ces endpoints.
Cela permet de détecter, d’analyser et de répondre aux menaces de sécurité de manière proactive et intelligente. En cas d’incident, il permet également à l’équipe de réponse de disposer de toutes les informations nécessaires pour enquêter et résoudre le problème.
Cela va bien au-delà des capacités d’un antivirus, solution traditionnelle pour la protection de certains endpoints, mais qui s’avère insuffisante dans le contexte actuel de sécurité des organisations.
- Comment fonctionne un EDR
- La différence entre gestion de la sécurité et gestion de l’infrastructure
- Approches de gestion de l’infrastructure pour renforcer la sécurité
- Comment les différents EDR et antivirus abordent-ils la sécurité ?
- Avantages et inconvénients d’un EDR par rapport à un antivirus traditionnel
- Approches pratiques pour la sécurité des endpoints dans des environnements on-premise
- Comment l’utilisation de Pandora FMS complète la sécurité des endpoints
Comment fonctionne un EDR
Les fonctionnalités d’un EDR et la sécurité qu’il offre aux endpoints dépendent en fin de compte de chaque fabricant, mais ils reposent tous sur trois piliers fondamentaux, qui permettent de comprendre leur fonctionnement et la protection qu’ils fournissent :
- Supervision continue de l’activité : Depuis les processus jusqu’aux connexions du dispositif, en recueillant et en analysant les données de manière intelligente.
- Détection des menaces : Lorsque la supervision détecte des comportements anormaux, tels que des mouvements latéraux, des malwares, des tentatives de phishing et d’autres actions malveillantes.
- Réponse automatique à ces menaces : Par exemple, isoler le dispositif compromis du reste du réseau, bloquer les processus suspects ou supprimer les fichiers malveillants.
Les EDR se distinguent des antivirus traditionnels à la fois par leurs capacités de détection (pouvant faire face à des menaces inconnues et sophistiquées) et par leurs capacités de réponse, telles que l’isolement d’un dispositif du réseau. En revanche, un antivirus classique se contente au mieux de mettre un fichier infecté en quarantaine ou de le supprimer.
Ainsi, un acteur malveillant peut avoir créé un nouveau malware pour extraire des données critiques d’une organisation, comme des identifiants ou des informations confidentielles.
Alors qu’un antivirus ne reconnaîtra pas ce malware et le laissera opérer, un EDR pourra détecter, entre autres, l’activité de ce fichier malveillant, telle qu’une fuite d’informations. Il pourra alors l’arrêter s’il détecte une connexion inconnue et un flux massif de données en direction de celle-ci.
Un scénario similaire se produit si cette exfiltration de données est due, par exemple, à l’action d’un employé mécontent, sans intervention de malware.
Cet utilisateur peut tenter de copier des informations sur un dispositif externe. Tandis qu’un antivirus ne réagira pas à cela, un EDR pourra détecter la connexion d’une clé USB ou un comportement anormal lors d’une copie de données volumineuse et réagir en conséquence face à cet acte suspect.
La différence entre gestion de la sécurité et gestion de l’infrastructure
Pour une protection optimale des endpoints et de l’ensemble du système, il est essentiel de comprendre cette différence et de faire en sorte que ces deux concepts soient alignés.
La gestion de l’infrastructure technologique vise à garantir son bon fonctionnement afin de soutenir les objectifs de l’organisation. Cependant, cet objectif sera compromis si la sécurité n’est pas prise en compte dès le départ.
De son côté, la gestion de la sécurité consiste à mettre en place les moyens et les politiques nécessaires pour protéger l’infrastructure, par exemple à travers l’intégration d’un SIEM (Security Information and Event Management) et d’un EDR. Cependant, il est important de noter qu’il ne s’agit pas simplement de mettre en place des mesures de protection sur une infrastructure mal conçue (comme protéger une maison en paille construite de manière aléatoire) par rapport à une infrastructure bien planifiée (comme un château de pierre).
Ainsi, une gestion adéquate de l’infrastructure technologique permet de :
- Faciliter la gestion de la sécurité.
- Intégrer efficacement EDR et SIEM.
- Soutenir le travail du blue team (équipe de défense en cybersécurité) si l’on en dispose.
- Répondre efficacement aux incidents potentiels.
Prenons un exemple pour illustrer la différence entre une infrastructure bien gérée et une autre qui est exposée aux menaces.
Imaginons une infrastructure oùl a segmentation du réseau est correctement mise en place, le contrôle des accès des dispositifs est strictement géré et une politique de mise à jour et de correctifs est appliquée en permanence.
Même si un élément de l’infrastructure venait à défaillir (comme un firmware d’un appareil IoT qui n’a pas été mis à jour à temps face à une vulnérabilité), cet appareil, s’il est configuré avec des politiques de réseau et d’accès adaptées, contribuera toujours à la sécurité globale. Cela réduira les risques de mouvement latéral d’un attaquant ayant compromis cet endpoint vers un autre élément critique du réseau.
Si, en plus de cette gestion adéquate de l’infrastructure, une bonne gestion de la sécurité est mise en place, avec un EDR intégré à un SIEM, toute tentative de mouvement anormal sera détectée, signalée et atténuée.
En revanche, si cet appareil IoT conserve le nom d’utilisateur et le mot de passe par défaut (ce qui est malheureusement très courant) ou si son accès au réseau n’est pas restreint, un acteur malveillant aura de grandes chances de se déplacer latéralement dans le réseau jusqu’à des éléments critiques. Il pourrait même compromettre l’appareil de différentes manières, par exemple en prenant le contrôle d’une webcam pour espionner l’utilisateur.
Approches de gestion de l’infrastructure pour renforcer la sécurité
En poursuivant l’analogie précédente, comment construire notre château avec des pierres robustes et un design résistant ?
Une gestion de l’infrastructure solide repose sur les stratégies pratiques suivantes :
- Politiques strictes de mise à jour et de correctifs : Pour prévenir les actions malveillantes ou les attaques exploitant des vulnérabilités dans des versions obsolètes. Cela inclut la mise à jour tant des logiciels que des firmwares sur les endpoints.
- Conception optimale des réseaux : En segmentant les réseaux de manière appropriée et en appliquant une politique qui limite chaque appareil à l’accès strictement nécessaire pour son bon fonctionnement, que ce soit en termes de données ou d’accès à d’autres appareils.
- Implémentation de solutions SIEM : Pour collecter des informations sur ce qui se passe dans l’infrastructure depuis le Network Operations Center (NOC) les centraliser, les analyser et émettre des alertes en cas d’événements suspects.
- Politiques de surveillance et d’analyse des logs : Pour détecter toute anomalie dans les journaux d’événements. Actuellement les politiques de sécurité permettent aux entreprises de remplir les plus hauts standards et certifications de sécurité telles que l’ISO 27001 et des règlements des gouvernements comme par exemple la nouvelle NIS2, que plusieurs entreprises sont en train de mettre en œuvre.
En appliquant ces principes, l’infrastructure sera naturellement plus résiliente face aux attaques tout en remplissant son objectif principal : soutenir les objectifs de l’organisation et faciliter le travail de ses équipes.
On parle souvent du choix entre sécurité et commodité, ou entre sécurité et performance, mais c’est un faux dilemme. Une gestion efficace de l’infrastructure permet de renforcer la sécurité tout en optimisant les performances et l’expérience utilisateur, sans avoir à faire de compromis. Bien que les infrastructures actuelles des systèmes et les environnements hybrides soient un défi pour atteindre un aperçu unifié, Pandora FMS unifie les sources de données et permet de mener une gestion centralisée.
Comment les différents EDR et antivirus abordent-ils la sécurité ?
Bien que l’on parle des EDR et des antivirus comme de deux approches générales en matière de sécurité des endpoints, toutes les solutions ne sont pas homogènes au sein de chaque catégorie.
En effet, chaque fournisseur peut appliquer des stratégies différentes, en fonction de sa technologie, de ses algorithmes de détection et de ses choix en matière de réponse aux incidents.
|
EDR |
Antivirus |
|---|---|
|
Supervision constante de l’activité des endpoints pour détecter des comportements suspects. |
Analyse les fichiers et les applications à la recherche de définitions de malware connues. |
|
Utilisation de l’analyse comportementale pour identifier les menaces inconnues. |
Utilisation des bases de données de fichiers de définitions pour identifier les malwares connus. |
|
Certaines options utilisent l’IA prédictive, comme Pandora FMS, pour la détection et la prise de décisions. |
Certains fabricants utilisent l’heuristique (règles prédéfinies de comportements suspects), une technologie moins avancée avec plus de faux positifs. |
|
Réponse automatisée sophistiquée : elle peut isoler des dispositifs, bloquer des processus suspects et générer des alertes avancées (la portée de cette réponse dépendra des fonctionnalités de chaque fabricant). |
Réponse automatisée limitée à la mise en quarantaine ou à la suppression des fichiers infectés. |
|
Capacité forensique avancée, enregistrant tout ce qui s’est passé pour faciliter les audits ou le travail de l’équipe de réponse aux incidents. |
Capacité forensique limitée à l’enregistrement des détections basiques. |
|
Protection active et réactive. |
Protection réactive basée sur le fichier de signatures. |
|
Haute capacité d’intégration avec le SIEM et l’infrastructure en général. |
Intégration limitée. |
Ce dernier aspect de l’intégration entre SIEM et EDR est aujourd’hui crucial et constitue la clé de la sécurité dans un environnement en constante évolution.
Cependant, à l’autre bout de la balance, les capacités des solutions antivirus traditionnelles sont beaucoup plus limitées, tant en ce qui concerne les informations qu’elles peuvent envoyer à un SIEM qu’en termes de capacité d’intégration avec ces systèmes. De plus, certains antivirus ont tendance à mal s’intégrer avec le reste de l’infrastructure technologique ou de sécurité. Cela peut entraîner des conflits de compatibilité avec les pare-feu ou d’autres outils de protection, affectant ainsi la stabilité du système et l’efficacité globale de la sécurité.
Avantages et inconvénients d’un EDR par rapport à un antivirus traditionnel
Ce qui précède ne signifie pas que tout est positif dans le cas des EDR. Une analyse impartiale doit donc mettre en évidence à la fois les avantages, mais aussi les inconvénients et défis associés.
Avantages d’un EDR par rapport à un antivirus
- Capacité de détection et de protection supérieure contre les menaces, qu’elles soient connues ou inconnues.
- Réponse automatisée plus avancée aux incidents de sécurité.
- Visibilité détaillée sur chaque endpoint, permettant une gestion de la sécurité plus efficace.
Inconvénients d’un EDR par rapport à un antivirus
- Complexité accrue lors de l’implémentation et de la gestion.
- Nécessite du personnel qualifié pour interpréter et répondre aux incidents, ainsi que pour l’installation et l’intégration, en particulier pour les solutions on-premise.
- Coût économique plus élevé en général.
Avantages d’un antivirus par rapport à un EDR
- Facilité et rapidité de déploiement.
- Efficacité contre les malwares connus et les menaces courantes.
- Coût inférieur par rapport aux EDR, voire gratuit dans certains cas.
Inconvénients d’un antivirus par rapport à un EDR
- Protection insuffisante dans le contexte actuel de cybersécurité, sauf pour des utilisateurs individuels à faible risque.
- Problèmes potentiels de gestion, tels que des faux positifs ou des conflits avec d’autres applications.
- Capacité de réponse très limitée face aux incidents de sécurité.
Approches pratiques pour la sécurité des endpoints dans des environnements on-premise
Que ce soit pour des exigences légales, telles que la protection et la gestion des données sensibles, ou pour des raisons stratégiques liées à la technologie, comme le besoin d’un contrôle accru ou d’une meilleure performance des équipements, les solutions on-premise gagnent en attractivité par rapport aux approches 100% cloud.
Pour cette raison, il est utile de prendre en compte ces stratégies fondamentales afin de déployer avec succès des solutions EDR dans ces environnements on-premise.
- Analyse et évaluation des besoins de l’infrastructure. Toute action véritablement stratégique, quel que soit son type, commence par cette étape. Il est essentiel de bien connaître notre réseau, ses actifs critiques et les principales menaces auxquelles nous sommes confrontés. Cela constituera une partie importante de notre threat model particulier, qui sera différent de celui d’autres organisations.
- Choix de la solution EDR appropriée. Ce choix doit être basé sur les conclusions du point précédent ainsi que sur le budget disponible.
- Mise en place d’une phase de tests. Dans un environnement contrôlé, afin de vérifier si le choix de la solution s’avère adéquat.
- Élaboration d’une stratégie de déploiement progressif. Même si les tests ont été concluants, il est important de procéder progressivement pour identifier et résoudre les inconvénients et défis qui apparaîtront inévitablement.
- Intégration avec le reste des outils de sécurité. Notamment avec un SIEM, en configurant des règles et en vérifiant leur bon fonctionnement.
- Mise en place d’une politique de supervision et d’audit efficace. L’outil seul ne suffit pas sans un processus solide en arrière-plan. Il est donc crucial de systématiser les tâches de supervision et de contrôle.
- Élaboration de plans de contingence. Que se passerait-il si tout échouait ? La sécurité doit toujours se poser cette question, même en appliquant les meilleures pratiques, car la probabilité d’événements imprévus (scénarios de “cygne noir”) n’est jamais nulle. Dans de tels cas, un plan de « bouton rouge » doit être en place pour permettre la continuité des opérations et la restauration des données et de l’infrastructure dans les plus brefs délais.
Si la notion d’on-premise gagne à nouveau en popularité, rien n’est une question d’absolus, ce qui permet d’opter pour une solution hybride.
C’est pourquoi, voici les différences entre une mise en œuvre 100 % locale (également connue sous le nom d’on-premise), une hybride et une 100 % en cloud.
- 100% locale : l’infrastructure de sécurité se trouve au sein des locaux de l’organisation. Son principal avantage est le contrôle total des données des appareils et de la sécurité, ainsi qu’un rendement probablement plus élevé et une latence plus faible. En revanche, son défi réside dans le fait qu’elle est plus coûteuse en termes de ressources économiques et humaines. Ces ressources, en plus d’être plus nombreuses, doivent également avoir un niveau de compétence plus élevé et accompliront un travail de gestion plus intensif. Il convient de noter que, souvent, en raison des exigences de ENS ou NIS2, certaines parties de l’infrastructure doivent être on-premise.
- Mise en œuvre hybride : combine des éléments on-premise et cloud. La clé est de tirer le meilleur parti des deux mondes et, par exemple, de conserver les données sensibles en local, tout en gérant l’analyse des menaces et les réponses dans le cloud. Une planification hybride bien conçue offre l’avantage de réduire les coûts et d’augmenter la flexibilité. Le principal défi est que nous ne dépendrons pas uniquement de nous-mêmes, car il existe des points de défaillance échappant à notre contrôle.
- 100% en cloud : son principal avantage est la réduction des coûts économiques et humains, ainsi qu’une complexité technologique réduite, qui repose sur le fournisseur de cloud. L’inconvénient est que nous confions nos données les plus sensibles à des tiers, en qui nous devrons avoir confiance. Et en cas d’incident, nous dépendrons également de leur capacité de réponse.
Ce n’est pas anodin et dans l’esprit de tout responsable de la sécurité résonnent les échos du 19 juillet 2024. Ce matin-là, des millions de systèmes Windows ont affiché le célèbre écran bleu de défaillance catastrophique, provoqué par une mauvaise mise à jour à distance de CrowdStrike, l’un des EDR les plus réputés.
Comment l’utilisation de Pandora FMS complète la sécurité des endpoints
Tout au long de ce parcours, il a été souligné que les solutions EDR sont plus avancées, mais aussi efficaces que la capacité de surveillance et de détection des menaces en temps réel que nous possédons.
C’est là qu’intervient le maillon suivant de la chaîne de sécurité, avec un système de supervision flexible comme Pandora FMS, qui complète la sécurité des endpoints.
Comment ?
- Grâce à l’intégration avec Pandora SIEM, qui collecte et centralise toutes les informations, permettant ainsi de savoir en un coup d’œil tout ce qui se passe.
- Avec l’analyse des journaux et des audits, qui renforcent encore la protection des endpoints. Chaque entreprise est unique, tout comme ses menaces. Cela signifie que nous devons savoir exactement ce qui se passe dans notre infrastructure, ses particularités et ses écarts suspects par rapport à la norme, qui seront différents de ceux d’autres organisations.
- Avec une corrélation avancée des événements de sécurité, pour identifier efficacement ces anomalies dans notre cas spécifique et y répondre de manière appropriée.
- Avec une intégration transparente aux dispositifs réseau et aux firewalls, garantissant un fonctionnement harmonieux de l’ensemble de l’infrastructure.
- Avec une collecte d’événements depuis des agents sur des endpoints multiplateformes (Windows, macOS ou Linux).
Comme nous l’avons vu, pour une organisation qui prend la sécurité au sérieux, l’utilisation d’un EDR couplée à une stratégie SIEM est indispensable.
Le contexte des cybermenaces évolue rapidement. Les attaques sont de plus en plus fréquentes et les acteurs malveillants deviennent plus sophistiqués.
Grâce à l’essor des IA, même les adversaires ayant peu de compétences techniques peuvent modifier des malwares pour compromettre les défenses et contourner les systèmes de détection traditionnels comme les antivirus, voire créer de nouveaux programmes malveillants à partir de zéro.
Ainsi, des menaces qui étaient auparavant réservées à des acteurs très qualifiés et motivés sont désormais à la portée de nombreux individus.
D’où l’importance de concevoir notre infrastructure en pensant à la résilience et d’intégrer des mesures de sécurité capables de prévoir ce contexte changeant.
Sans cela, nous nous exposerons chaque jour à un environnement plus hostile et complexe que jamais.
Siempre con un teclado entre manos, desde el primer ZX Spectrum que abrí de par en par para ver cómo funcionaba, la tecnología ha sido mi pasión y trabajo, de lo que hablo y lo que escribo.
Always with a keyboard in my hands, ever since I opened up my first ZX Spectrum wide to see how it worked, technology has been my passion and my work, what I speak about and what I write about.
