Avez-vous entendu parler de ces fameux EDR (Endpoint Detection Response) ? Ils sont décrits comme miracle de la sécurité par leur vendeur mais qu’en est-il de leur vrais atouts et inconvénients ? Sont-ils si importants pour augmenter la sécurité de votre SI ?
Principe de fonctionnement
Les EDR reposent sur le principe de l’analyse comportementale (ou heuristique).
Cette analyse détecte des actions suspicieuses sur un poste de travail ou un serveur.
Cela permet donc de compléter l’action des antivirus classiques, sans pour autant les remplacer.
En plus de son action de défense, l’EDR peut remonter toutes les informations dans un SOC à des fins d’analyse et de corrélation.
Un miracle pour la sécurité…
La différence avec un antivirus
L’antivirus classique analyse uniquement la signature des programmes qui s’exécutent sur la machine, si la signature est connue de la base de l’éditeur, alors le programme est mis en quarantaine. Cela représente un problème, car de nos jours, les pirates possèdent plusieurs moyens pour que leur programme ait une signature inconnue.
De plus, avec l’essor des attaques dites « fileless » (sans fichier), l’antivirus ne peut rien faire tant qu’un fichier n’est pas déposé. C’est donc ici que l’EDR intervient, grâce à son analyse comportementale. Sans EDR, des malwares sophistiqués pourraient donc s’exécuter sur vos machines sans que rien ne puisse les arrêter.
L’analyse heuristique, kézako ?
L’analyse heuristique se base sur une intelligence artificielle, cela permet à l’EDR d’être plus réactif. Néanmoins, il est aussi basé sur la base de connaissance de son éditeur même s’il apprend constamment pour mieux vous protéger.
En plus de l’analyse comportementale, les EDR fournissent un monitoring des différents terminaux de commandes utilisés par les pirates (Powershell, bash, etc.). Grâce à cette détection, l’EDR peut alors renter dans sa phase de remédiation. Tout est automatisé, sans que la DSI ait à intervenir sur une de vos machines.
…Ou un mirage ?
Un EDR n’est rien sans règle
Les EDR peuvent sembler être un miracle jusqu’ici mais certaines choses sont à prendre en compte avant de penser à en déployer un dans votre SI. De nombreux éditeurs vous vendront un EDR avec des règles pré-définies, cela ne sera pas adapté à votre besoin.
Il est donc indispensable de définir des règles afin de faire fonctionner votre EDR. Sans règles, l’EDR ne saura ni analyser ni intervenir. La définition des règles sera cruciale pour rendre votre EDR pertinent et vraiment utile à votre organisation.
Pas adapté à tous les SI
L’EDR ne représente pas une brique de sécurité prioritaire à déployer dans votre SI. Il est donc indispensable d’avoir une bonne hygiène de sécurité informatique de base avant de déployer ce genre de solution.
Pour conclure, les EDR sont une bonne solution pour augmenter la sécurité sur ses machines à condition d’avoir une maturité informatique suffisante avant de les déployer afin de bien le paramétrer et de définir les règles qui y sont associées.
A termes, cela vous permettra de gagner en visibilité sur la sécurité de vos terminaux.
