Qu'est-ce que la DRT ?
June 22, 2023
La détection et la réponse aux menaces sur les terminaux, généralement abrégées en « DRT », est un nouveau concept de logiciel anti-malware. Cependant, il ne s'agit pas de répondre à tous les besoins possibles comme le prétendent les applications anti-malware « classiques ». La DRT, comme vous pouvez le comprendre à partir de l'abréviation, est un système qui doit protéger les terminaux plutôt que les ordinateurs individuels. Les principales faiblesses des systèmes de sécurité séparés pour chaque ordinateur de l'entreprise étaient le manque d'action conjointe pour chaque appareil attaqué, le manque de contrôle de toutes les surfaces d'attaque possibles et l'absence de journalisation. Mais examinons chaque élément pas à pas.
Qu'est-ce que la détection et la réponse aux terminaux ?
Il est bon de définir la différence entre les produits. Cependant, cela ne clarifie pas encore quelle est l'idée principale des solutions DRT et comment elles fonctionnent. Les solutions de sécurité des terminaux sont généralement conçues pour effectuer une analyse continue des terminaux et de tous les autres éléments du réseau (contrôleur de domaine et ordinateurs des utilisateurs connectés au terminal) afin de détecter les menaces possibles et de créer une réponse compétitive. La surveillance constante des événements nécessite de nombreux modules supplémentaires par rapport au moteur anti-malware « classique » et un contrôle permanent d'un spécialiste de la sécurité. Certains fournisseurs proposent même leurs produits DRT sous forme de logiciel en tant que service.
Les solutions EDR détectent la menace en fonction de son comportement. En plus des règles heuristiques de base, le programme s'appuie également sur des réseaux neuronaux. Les sources, cependant, peuvent être différentes des "processus en cours" habituels - les solutions de protection des points de terminaison supposent plusieurs autres façons d'obtenir des informations sur les événements. Ensuite, elle vérifie l'élément détecté avec une méthode classique basée sur une base de données. Si elle trouve une signature correspondante, elle supprime instantanément la menace, la considérant comme un virus. Sinon, elle la bloque simplement, donnant à un être humain le droit de gérer la suppression. Un tel dôme couvrant tous les éléments d'un système d'entreprise lui permet de faire face même aux menaces liées aux êtres humains - telles que les initiés ou même les menaces persistantes avancées.
Pour rendre la gestion de la sécurité plus efficace, la plupart des solutions divisent le réseau protégé en petites parties appelées nœuds. Cela permet d'appliquer des restrictions/privilèges de sécurité individuels à une machine spécifique ou même à l'application choisie. De plus, le fait de diviser l'ensemble du réseau en plusieurs parties facilite grandement l'analyse des journaux d'événements - il est beaucoup plus facile de comprendre quelle était la surface d'attaque et comment l'attaquant a agi.
Antivirus vs EDR.
Dans le paragraphe précédent, vous avez pu voir trois problèmes majeurs des logiciels anti-malware "classiques" qui les rendent moins utiles pour la protection des entreprises. Ils sont vrais. Cependant, un problème beaucoup plus grave rend leur comparaison encore plus difficile. Les solutions de détection et de réponse aux points de terminaison sont censées être une chose captivante qui protège l'ensemble du réseau d'entreprise. Trouver et configurer une solution équivalente en termes de couverture et basée sur l'antivirus classique est réalisable, mais son efficacité sera probablement remise en question. Comme le montre la pratique, il est assez difficile d'apprendre de nouveaux tours à un vieux chien. C'est pourquoi ces astuces doivent être réalisées par quelque chose conçu à l'origine à cet effet.
Pourquoi EDR est-il meilleur que l'antivirus classique ?
Antivirus
- Peut protéger efficacement les ordinateurs autonomes ;
- Prend en charge Windows ou macOS (parfois les deux simultanément) ;
- Le principal moyen de contrôle est l'interface graphique sur chaque ordinateur. Certains d'entre eux sont capables de contrôle à distance, ce qui nécessite généralement une version d'application spéciale ;
- Scans à la demande, détection basée sur une base de données. Des heuristiques sont appliquées en mode de protection proactive ;
- La journalisation est primitive, basée sur les événements lors des scans et de la protection proactive.
Détection et réponse aux points de terminaison
- Efficace pour protéger le point de terminaison et les éléments associés, y compris les serveurs et le contrôleur de domaine ;
- Prend en charge tous les systèmes d'exploitation *NIX possibles ainsi que Windows ;
- Le contrôle centralisé à distance est le principal moyen de gestion. Seules des ajustements locaux peuvent être apportés aux éléments du système ;
- Les règles heuristiques sont le principal moyen de détection des logiciels malveillants. La solution surveille en permanence le point de terminaison et tous les éléments associés.
- Journalise tous les événements observés dans le réseau protégé, quel que soit le moment.
Maintenant, examinons l'importance des problèmes mentionnés ci-dessus. La séparation des systèmes de sécurité pour chaque système est essentielle pour établir une protection fiable contre les logiciels malveillants. Le regroupement est bon dans la conception des réseaux, mais pas dans les structures qui nécess itent de l'homogénéité. Et la protection contre les logiciels malveillants en est exactement un exemple. Différents systèmes avec des configurations de protection différentes pour chacun d'entre eux réduisent l'efficacité de la protection de manière significative. Bien sûr, il est possible de configurer tous les systèmes de manière similaire. Mais cette similitude ne durera pas longtemps si quelqu'un utilise cet ordinateur au moins une fois par semaine.
L'absence d'action conjointe pendant l'attaque est liée au paragraphe précédent. Les cyberattaques contre les entreprises visent rarement un seul ordinateur - elles attaquent généralement l'ensemble du réseau. Et cela nécessite que tous les éléments de ce réseau réagissent simultanément et de manière identique. Un tel problème est moins critique puisque même certains systèmes EDR supposent une réponse asymétrique dans certaines situations. Mais il est important d'avoir cette capacité, et les solutions de sécurité dispersées n'en offrent pas.
La journalisation est une chose très sous-estimée, qui ne se trouve dans aucun logiciel anti-malware standard sous une forme utilisable. Les journaux de scan/protection ne fournissent toujours pas suffisamment d'informations pour analyser la situation actuelle ou l'incident cybernétique passé. Les informations sur la manière dont cela s'est produit, seconde par seconde, étape par étape, aideront les spécialistes de la cybersécurité à apporter les ajustements nécessaires pour une meilleure protection.
Principes clés de la détection et de la réponse aux points de terminaison (EDR)
Tout comme tout produit d'entreprise à grande échelle, l'EDR repose sur plusieurs principes clés, indépendamment du fournisseur. Il s'agit d'une liste de règles de base qui doivent être suivies pour pouvoir qualifier votre produit de solution EDR. Ces principes peuvent également être interprétés comme des exigences minimales pour le produit logiciel prétendant être un programme anti-malware à l'échelle de l'entreprise.
Réponse coordonnée de toutes les surfaces d'attaque. Comme mentionné précédemment, il est important de répondre simultanément à tous les éléments du système lors d'une attaque. Le système EDR doit fournir cette capacité par défaut ou après une configuration spécifique.
Gestion basée sur le cloud du système. Les solutions EDR doivent être contrôlables à distance pour contrer l'attaque et analyser la situation depuis n'importe quel endroit et à tout moment. Selon les statistiques, la plupart des cyberattaques se produisent après les heures de travail - lorsque personne ne surveille supposément le réseau de l'entreprise.
Taux de protection élevés. À quoi sert-il d'avoir un système de sécurité coûteux et difficile à configurer s'il ne peut pas contrer les menaces modernes ? C'est une question rhétorique. La protection dans les solutions de sécurité des points de terminaison doit s'appuyer sur des mécanismes de détection heuristique et basés sur une base de données, et éventuellement sur des réseaux neuronaux. Des organisations comme AV-Comparatives testent régulièrement les solutions disponibles et publient donc leur propre classement pour chaque système EDR.
Quelles menaces vise l'EDR ?
Les systèmes de détection des points de terminaison sont capables de détecter et de supprimer toute menace - c'est pour cela que vous payez. Depuis les adwares les plus simples jusqu'aux logiciels espions ou aux malwares de porte dérobée obscurcis, il peut arrêter n'importe lequel de ces éléments. Cependant, il diffère considérablement dans la compréhension que l'attaque est en cours. Les entreprises sont rarement attaquées pour injecter des adwares ou d'autres virus "légers" - elles reçoivent généralement des rançongiciels ou d'autres choses désagréables. Et la manière dont l'EDR l'arrête est différente de la simple détection basée sur une base de données ou de la recherche heuristique.
Vous pouvez déjà deviner à partir des principes clés du système EDR ce qui est signifié. Ces systèmes de sécurité sont conçus pour arrêter l'attaque à un stade initial - par exemple, la force brute des mots de passe RDP ou l'exécution d'exploits de navigateur. À cette fin, les systèmes de détection des points de terminaison disposent d'un journal de tous les événements dans le système. De plus, la journalisation permet aux systèmes EDR de contrer de manière efficace les menaces les plus dangereuses - les fameuses menaces persistantes avancées, par exemple. Les autres éléments durables, tels que les portes dérobées et les logiciels espions, qui essaient généralement de persister dans le système le plus longtemps possible, seront également efficacement vaincus.
L'EDR en vaut-il la peine ?
Cette question dépend de trop nombreux facteurs pour avoir une seule réponse. Par conception, l'EDR est plus coûteux et plus complexe que les logiciels antivirus réguliers. En même temps, il est beaucoup plus efficace contre les menaces réelles. Les adwares et les pirates de navigateur sont plus comparables à un simple rhume, tandis que les attaques de ransomware ou de logiciels espions sont aussi graves qu'une pneumonie. Mais cette comparaison n'est pas toujours vraie.
Quand vous avez une petite entreprise - par exemple, une chaîne de boulangeries dans votre ville/région, le rapport prix/bénéfice de l'achat de l'EDR est trop faible pour vous. Vous n'avez pas autant d'ordinateurs et de serveurs à protéger avec une solution haut de gamme, et vos données et votre activité ne sont pas un point d'intérêt pour les cybercriminels. Espérer ne pas être attaqué ne signifie pas que vous ne le serez jamais. Mais néanmoins, l'objectivation de vos besoins est essentielle lorsqu'il s'agit de dépenses importantes.
Même les petites entreprises peuvent être dans le viseur des fraudeurs. Les cabinets de comptabilité et de compensation qui peuvent collaborer avec des banques régionales et de petites sociétés de courtage ont des informations sensibles qui transitent par leur stockage. Il en va de même pour les cliniques, les agences gouvernementales locales et les agences bancaires. Certains groupes de rançongiciels ont convenu d'éviter d'attaquer les entreprises d'infrastructures critiques, les agences gouvernementales, les établissements médicaux et éducatifs. Mais cela ne signifie jamais que vous êtes à 100% en sécurité - même certains des plus grands groupes ont choisi d'ignorer ces règles de "hacking éthique".