L’EDR est un système permettant de recueillir et d’analyser les informations relatives aux menaces de sécurité provenant de postes de travail informatiques, dans le but de détecter les failles de sécurité au moment où elles se produisent et de faciliter une réponse rapide aux menaces découvertes ou potentielles. Le terme « détection et réponse des terminaux » ne décrit que les capacités globales d’un ensemble d’outils. Par conséquent, les détails et les capacités d’un système EDR peuvent varier considérablement en fonction de la mise en œuvre.
Une implémentation EDR peut être :
- un outil spécifique conçu à cet effet ;
- une petite partie d’un outil de surveillance de la sécurité plus large ; ou
- un ensemble d’outils utilisés ensemble pour accomplir la tâche.
L’EDR une évolution des systèmes de protection traditionnels ?
Comme les attaquants mettent continuellement à jour leurs méthodes et leurs capacités, les systèmes de protection traditionnels risquent de ne pas être à la hauteur. Les EDR combinent les données et l’analyse comportementale, ce qui les rend efficaces contre les menaces émergentes et les attaques actives, telles que :
- les nouveaux logiciels malveillants ;
- les chaînes d’exploitation émergentes ;
- les ransomwares ;
- les menaces persistantes avancées (APT).
Les données historiques recueillies par les EDR peuvent apporter une certaine tranquillité d’esprit et une remédiation aux attaques de type « zero-day » activement exploitées, même lorsqu’aucune mesure d’atténuation n’est disponible. Le secteur de la sécurité informatique considère le système EDR comme une forme de protection avancée contre les menaces.
Utilisation et capacités de l’EDR
Les EDR s’intéressent principalement aux terminaux, qui peuvent être n’importe quel système informatique dans un réseau, comme les stations de travail des utilisateurs ou les serveurs. Ils peuvent protéger la plupart des systèmes d’exploitation (c’est-à-dire Windows, macOS, Linux, BSD, etc.) mais n’incluent pas la surveillance du réseau.
Les antivirus sont principalement responsables de la protection contre les logiciels malveillants connus, tandis qu’un EDR bien exécuté trouve les nouveaux exploits au fur et à mesure de leur exécution et détecte l’activité malveillante d’un attaquant pendant un incident actif. Cela permet à l’EDR de détecter les attaques de logiciels malveillants sans fichier et les attaquants utilisant des informations d’identification volées, ce que l’antivirus traditionnel seul ne pourra pas arrêter. Cependant, de nombreux systèmes EDR font partie des produits antivirus de nouvelle génération.
Le rôle d’un EDR se divise en deux grandes catégories :
- la collecte et l’analyse d’informations ;
- la réponse aux menaces.
Comme les capacités d’un EDR peuvent varier considérablement d’un éditeur à l’autre, une organisation qui recherche un EDR doit étudier soigneusement les capacités de tout système proposé. Elle doit également prendre en considération la façon dont il peut s’intégrer à ses capacités de sécurité globales actuelles.
Les capacités de collecte et d’analyse des informations du système EDR permettent de rassembler et d’organiser les données provenant des terminaux, puis d’utiliser ces informations pour identifier des irrégularités. Elle utilise de nombreuses sources de données provenant d’un terminal, qui peuvent inclure :
- des logs;
- le contrôle des performances ;
- des détails sur les fichiers
- des processus en cours d’exécution ;
- des données de configuration ou d’autres informations.
Un agent dédié installé sur le terminal peut collecter ces données, ou le système peut utiliser les capacités intégrées du système d’exploitation et d’autres programmes d’aide.
Les systèmes EDR organisent et analysent les données collectées. Un dispositif client peut effectuer certaines de ces tâches, mais, en général, un système central (serveur) se charge de ces fonctions.
Les systèmes EDR simples peuvent se contenter de collecter et d’afficher ces données ou de les agréger et de montrer des tendances. Les opérateurs peuvent trouver difficile de suivre et de prendre des décisions sur la base de ce type de données.
Les systèmes EDR avancés peuvent inclure l’apprentissage automatique ou l’intelligence artificielle pour identifier automatiquement et alerter sur les menaces nouvelles et émergentes. Ils peuvent également utiliser des informations agrégées provenant de l’éditeur pour mieux signaler les menaces. Certains systèmes permettent de mettre en correspondance les comportements suspects observés avec le cadre MITRE ATT&CK pour faciliter la détection de modèles.
Certains EDR peuvent effectuer des activités de remédiation automatisées, telles que la déconnexion ou l’arrêt des processus compromis ou l’alerte de l’utilisateur ou du groupe de sécurité de l’information. Ils peuvent également être en mesure d’isoler ou de désactiver activement les points d’extrémité ou les comptes suspects. Un bon système de réponse aux incidents aidera également à coordonner les équipes pendant un incident actif, contribuant ainsi à réduire son impact.
