Pour comprendre le besoin d’une fonctionnalité Endpoint Detection and Response (EDR), commençons par une présentation de l’environnement cybersécurité.
Pour donner une idée de l’échelle, nos propres experts en cybersécurité des SophosLabs traitent chaque jour 500 000 échantillons de malwares jamais vus auparavant. En 2018, le National Institute of Standards and Technology (NIST) a signalé que 16 451 vulnérabilités logicielles avaient été découvertes. Les défis pour les défenseurs ne cessent d’augmenter, débouchant ainsi inévitablement sur une forte demande pour une meilleure visibilité et de meilleures capacités de détection.
Les entreprises doivent faire face à de multiples menaces en essayant de pénétrer quotidiennement dans leur environnement. Naturellement, beaucoup de ces menaces sont stoppées net par de puissantes défenses au niveau cybersécurité. Mais celles qui sont évasives, peu communes ou peu claires peuvent passer au travers, c’est là que la fonctionnalité EDR entre en jeu. Cette dernière est née de la nécessité de compléter les outils de protection des systèmes endpoint existants.
Pour faciliter la compréhension de cette fonctionnalité EDR, utilisons un exemple visuel :
1. Inoffensif (BENIGN)
Ce sont des programmes non malveillants qui font partie de la vie quotidienne de la grande majorité des entreprises, telles que Microsoft Word, Outlook ou Google Chrome. Nous ne voulons pas interférer avec eux, car cela perturberait l’activité de l’entreprise au niveau global.
2. Zone grise ou “le gap” (THE GAP)
Ce domaine concerne les éléments qui ne sont manifestement ni bons ni mauvais. Nous ne savons donc pas si nous pouvons les laisser passer ou bien si nous devons les bloquer sans procéder à une vérification manuelle plus approfondie.
La fonctionnalité EDR a été développée pour investiguer ce gap. Ces éléments sont-ils réellement malveillants, nécessitant des actions telles que l’isolement des périphériques affectés ou un nettoyage ? S’agit-il d’Applications Potentiellement Indésirables (PUA) ? Ou bien d’éléments inoffensifs qui peuvent être ignorés ?
À mesure que les menaces évoluent, un bon nombre d’entre elles deviennent de plus en plus furtives et utilisent des méthodes spécifiques pour tromper les solutions antivirus. La fonctionnalité EDR fournit aux entreprises les outils nécessaires pour rechercher des Indicateurs de Compromission (IOC) suspects et détecter ces menaces cachées.
3. Malveillant (MALICIOUS)
Les fichiers malveillants doivent être stoppés net par des défenses puissantes au niveau des systèmes endpoint et des serveurs. Ces derniers sont considérés comme malveillants et ne nécessitent pas d’interaction humaine. Malheureusement, certains outils EDR traditionnels échouent à ce stade, laissant passer des malwares qui auraient dû être détectés. En effet, ces outils s’appuient sur une détection post-événement plutôt que sur une protection préventive.
Quels sont les critères importants dans le choix d’une solution EDR
Les outils EDR peuvent varier énormément en termes de facilité d’utilisation et de granularité d’analyse. Les questions clés à se poser lors de l’évaluation d’une solution EDR sont les suivantes :
- Des ressources supplémentaires sont-elles nécessaires ou pouvez-vous la mettre en œuvre avec votre équipe actuelle ?
- Cette solution vous aide-t-elle à prioriser votre temps en vous identifiant les éléments les plus suspects ?
- Pouvez-vous voir comment une menace potentielle a réussi à pénétrer au sein de votre système et avec quoi elle a interagi ?
- Obtenez-vous des informations sur l’élément suspect, par exemple auprès de spécialistes en apprentissage automatique ou en cybersécurité ?
- Est-il facile d’agir lorsque vous avez pris une décision ? Par exemple, bloquer une menace ou isoler un périphérique ?
Lisez le livre blanc sur les 5 principales raisons pour lesquelles vous avez besoin d’une fonctionnalité EDR afin d’obtenir plus de détails sur celle-ci et comprendre pourquoi elle est devenue une nécessité pour la plupart des entreprises. Jetez ensuite un coup d’œil à Sophos Intercept X avec EDR, qui associe une protection de dernière génération à des fonctionnalités EDR puissantes et simples d’utilisation.
Billet inspiré de Why organizations need intelligent EDR, sur le Blog Sophos.