Les attaques informatiques n’ont jamais été aussi courantes et virulentes. Les entreprises, premières victimes en termes de coûts, ont un besoin croissant d’établir une stratégie cyber adaptée. Au centre de toute stratégie de sécurité se trouve les capacités de détection et réponse à incidents, permettant de bloquer les attaques ayant outrepassées les contremesures classiques. Dans cet article, nous allons nous intéresser à une catégorie d’outils de détection et de réaction, que l’on appelle aussi souvent les « anti-virus nouvelle génération » : EDR (Endpoint Detection and Response), XDR (Extended Detection and Response), EPP (Endpoint Protection Plateforme), NDR (Network Detection and Response), MDR (Managed Detection and Response). Ces outils peuvent être complémentaires : ils assurent chacun à leur manière une surveillance et une protection continue du système informatique, du réseau et des interfaces.
Les antivirus nouvelle génération (NGAV)
Tous les outils dont nous allons parler rentrent dans la catégorie ou s’appuie sur les technologies des NGAV.
Un antivirus de nouvelle génération utilise des technologies récentes pour améliorer la détection des virus. Un antivirus classique (ancienne génération), lui, fonctionne à l’aide de bases de signatures de virus (un bout de code extrait des lignes de code du virus), mises à jour régulièrement. Quand les chercheurs découvrent un nouveau virus, une signature est prélevée sur ces virus et ajoutée à la base de code de l’antivirus. En cas d’infection par ce virus, l’antivirus compare le code du programme malveillant à sa base virale et s’il découvre une similarité, le programme est mis en quarantaine.
Le fonctionnement de cet antivirus dépend donc de la mise à jour fréquente de la base, et ne permet pas d’arrêter des virus nouveaux qui n’ont encore jamais été ajoutés aux bases. À l’inverse de ces outils, les antivirus NGAV déploient des mécanismes qui vont au-delà de la comparaison passive et qui permettent, par l’analyse du programme, de définir s’il est malveillant ou non, sans recours à une connaissance préalable de ce programme.
Détection des comportements, sandboxing (faire tourner un programme dans une machine virtuelle pour analyser son comportement avant de le relâcher dans le vrai système), intelligence artificielle et algorithmes de machine learning, réactions automatisées, apprentissage des rapports d’incidents, construction de bases de données d’incidents dynamique… sont autant de mécanismes adoptés par ces outils afin d’anticiper les menaces et de détecter des virus inconnus.
De plus, les NGAV sont basés dans le cloud, ce qui permet de les déployer en quelques heures plutôt qu’en plusieurs mois, tout en supprimant la charge de travail liée à la maintenance des logiciels, à la gestion de l’infrastructure et à la mise à jour des bases de données de signatures.
Ces NGAV se différencient en plusieurs catégories selon les services qu’ils offrent.
Qu’est-ce que l’EDR ?
L’Endpoint Detection and Response est une technologie récente assurant une surveillance continue et centralisée des terminaux mobiles (postes de travail, serveurs, machines virtuelles…).
Agissant en complément d’un antivirus ou d’un EPP, l’EDR a la capacité de détecter les comportements considérés comme suspects sur les terminaux et d’automatiser les réactions face à ces comportements. La détection ne porte donc plus uniquement sur les fichiers, mais aussi sur les utilisations illégitimes du système d’information.
Prenons comme exemple un employé cliquant sur un mail de phishing. Ce mail contient un malware de surveillance, qui à la suite du clic, s’introduit subrepticement dans sa machine. L’EDR installé sur le poste est capable de reconnaître le malware grâce à sa base de signatures (en comparant les données de la base à la signature spécifique du virus), et de mettre en place des actions empêchant sa propagation, par exemple l’isolement de l’ordinateur du reste du réseau.
Cet outil s’appuie sur des algorithmes de reconnaissance et de prédiction, ainsi que sur sa gestion des incidents précédents pour analyser et stopper les actions malveillantes. Il utilise une forme d’intelligence artificielle qui analyse en direct les terminaux et les actions faites sur ceux-ci, lance des alertes de détection, enregistre des journaux d’évènements pour emmagasiner des informations.
Par la suite, l’EDR va agréger l’ensemble de ces données dans un inventaire centralisé pour se construire une base de données comparative, sur laquelle il s’appuiera pour ses analyses ultérieures. Bien évidemment, ces informations seront remontées après traitement au SOC (Security Operations Center) afin de permettre la surveillance humaine des incidents.
Cet outil ne se substitue pas à l’intervention humaine dans le cas d’une menace grave, car selon leur criticité, une action immédiate peut être nécessaire (arrêt de serveurs, scan, …). Au contraire même, grâce aux tableaux de bord centralisés mis à disposition de l’équipe de sécurité, l’EDR est une aide cruciale à la réaction, mais nécessite des ressources afin de traiter les alertes et, en cas d’attaque, de compléter la réaction automatique avec des actions humaines plus appropriées.
Qu’est-ce que L’EPP ?
L’Endpoint Protection Platform est une technologie, elle aussi, déployée sur les endpoints. Contrairement à l’EDR, qui part du principe que l’attaque a déjà eu lieu et qui se concentre sur l’analyse de la menace pour définir la meilleure manière d’agir, l’EPP est un outil de prévention. Il concentre des mécanismes d’analyse comportementale, de bases d’antivirus, d’analyse statique et de bac à sable. Il ajoute à cela des mesures de protection spécifiques : pare-feu, chiffrement, surveillance de fuites de données.
Un EPP est souvent complémentaire d’un EDR. Il agit en tant que première ligne de défense. L’EPP est capable de repérer des menaces traditionnelles ou plus complexes et d’empêcher leur déploiement sur la machine par des actions de quarantaine classique ou de blacklisting ; l’EDR, lui, prendra les premières mesures de réaction en cas d’infection, analysera dynamiquement les actions de la machine, alertera l’équipe de sécurité et offrira à l’entreprise une vision complète et centralisée de toutes les machines attaquées, permettant une compréhension globale de l’attaque pas seulement limitée au poste protégé.
Dans les faits, les vendeurs proposent souvent des offres qui mêlent les deux outils, ou regroupent sous le seul nom d’EDR les capacités des EPP et des EDR.
Qu’est-ce qu’un NDR ?
Le Network Detection and Response est un outil développé pour analyser le réseau interne d’une organisation et gérer son trafic de manière automatique. Armé d’indicateurs d’attaque, d’un système de détection des anomalies et d’outils d’analyse du comportement utilisateur, il relève les menaces potentielles dans le réseau, mais il assure aussi la fluidité du trafic en automatisant des tâches en fonction de l’environnement. Doté d’un d’algorithme d’intelligence artificielle, le NDR est capable d’apprendre de ses interventions et de prédire les incidents futurs.
Il s’agit donc d’un outil de détection et de réaction comme l’EDR, mais cette-fois-ci déployé sur un réseau et surveillant les flux de données et les communications au sein de ce réseau.
Cet outil se présente comme un indispensable pour l’analyse et la gestion du trafic réseau de son organisation. Il est superposable aux outils présentés précédemment, EDR et EPP, et serait un bon complément à ceux-ci, grâce à sa couverture d’action axé réseau.
Qu’est-ce que MDR ?
Le Managed Detection and Response est un service de détection managée, c’est-à-dire sous-traité à un prestataire. Il comprend :
- La surveillance en continu par un expert en cybersécurité dédié
- L’analyse du réseau et des comportements des utilisateurs et machines sur ce réseau
- La détection d’incidents
- L’investigation des incidents
- Et la réponse aux incidents
Le MDR est en fait construit sur l’utilisation des différents outils mentionnés dans cet article par un prestataire externe, qui réalise pour l’entreprise la surveillance et la configuration de ces outils. Ce service est un bon moyen pour une entreprise n’ayant pas les ressources nécessaires en interne pour traiter le flux d’information des NDR et EDR d’externaliser cette capacité de détection et de réaction.
Qu’est-ce que le XDR ?
L’Extended Detection and Response est une extension de l’EDR. En effet, sa puissance réside dans sa capacité à contextualiser les attaques en traitant les données provenant des terminaux « endpoints », mais aussi des applications, des objets connectées, des mails, du cloud… En bref, il traite les données provenant de tous les éléments connectés au réseau d’une entreprise, assurant la détection des menaces, l’analyse des actions et une réponse cohérente à la menace à laquelle le SI fait face.
La technologie XDR représente un grand pas en avant pour la cybersécurité. Couvrant tous les endpoints de l’outil EDR et plus encore (cloud, réseaux, courriels…), cet enquêteur de l’extrême remonte les menaces tout en s’améliorant constamment grâce à son algorithme d’apprentissage. Il peut fournir la chronologie complète de l’intrusion, de la faille, des impacts, en passant par les actions palliatives, blocage ou isolement.
Le XDR permet donc d’optimiser la détection de menaces sur les appareils connectés aux réseaux d’une organisation équipée d’un SOC. En effet, le SOC reçoit un nombre conséquent d’alertes (intrusion, phishing, interactions suspectes…). Face à cette horde de données à traiter, le XDR répond de manière automatisée aux soupçons en fonction de la configuration de l’outil et assure une hiérarchisation de ces alertes. Du fait de son large terrain d’analyse, il représente un soutien non négligeable pour les analystes de SOC.
En résumé, le XDR permet l’analyse, la gestion des priorités, la mise en place des alertes et des actions correctives pour toutes menaces sur l’intégralité du système d’information.
- Optimisation de la détection
- Collecte de données des précédentes menaces
- Augmentation de la vitesse de détection des menaces critiques
- Mise en place d’alertes
- Création de contexte
- Estimation de l’origine de la menace
- Anticipation des menaces appliquées au cloud
L’objectif de cette technologie n’est pas de remplacer totalement l’humain, mais de mettre en place des actions anticipatives et des mesures après la détection d’une menace sur un système dans son entier. Elle est donc à réserver aux entreprises déjà très matures, disposant d’une équipe d’experts dédiée à la surveillance du système.
En conclusion
Certaines de ces technologies, comme les EPP, sont déjà partiellement utilisées et déployées nativement sur les machines.
Les EDRs permettent d’aller plus loin dans la surveillance et la détection sur les endpoints en ajoutant une centralisation de la surveillance et une couche de réaction automatisée, mais nécessitent des ressources internes pour traiter les alertes générées. Les NDR sont utilisés pour la surveillance réseau, avec les mêmes contraintes que les EDR : les ressources.
Le MDR peut permettre de bénéficier de ces services en les externalisant et représente une option intéressante pour les entreprises peu matures ou de taille réduites.
Le XDR, en revanche, permet de muscler et de structurer ces outils de détection, dans la cadre d’une entreprise déjà très mature et disposant d’un système d’information complexe.
Ces technologies, certes couteuses, sont déjà utilisées dans nombre d’entreprises et sont réellement utiles pour assurer la sécurité du système d’information. Leur multifonctionnalité et leur algorithme d’intelligence artificielle leur confère des capacités non négligeables dans un monde où la cybercriminalité est grandissante et mutante. Il est aujourd’hui difficile de s’en passer !
Article rédigé par : Kévin Rosemond, consultant chez Coralium