Détection et réponse aux terminaux (DRT)

La DRT est une solution de sécurité spécifique qui protÚge non pas des ordinateurs isolés, mais l'ensemble du réseau à l'intérieur de l'entreprise.

Qu'est-ce que la détection et la réponse aux terminaux ? Définition de la DRT | Gridinsoft

Qu'est-ce que la DRT ?

June 22, 2023

Les applications de détection et de réponse aux terminaux, ou DRT, sont un concept relativement nouveau de logiciel anti-malware. La définition exacte de ce type d'outil de sécurité est apparue en 2013.

La détection et la réponse aux menaces sur les terminaux, généralement abrégées en « DRT », est un nouveau concept de logiciel anti-malware. Cependant, il ne s'agit pas de répondre à tous les besoins possibles comme le prétendent les applications anti-malware « classiques ». La DRT, comme vous pouvez le comprendre à partir de l'abréviation, est un systÚme qui doit protéger les terminaux plutÎt que les ordinateurs individuels. Les principales faiblesses des systÚmes de sécurité séparés pour chaque ordinateur de l'entreprise étaient le manque d'action conjointe pour chaque appareil attaqué, le manque de contrÎle de toutes les surfaces d'attaque possibles et l'absence de journalisation. Mais examinons chaque élément pas à pas.

Qu'est-ce que la détection et la réponse aux terminaux ?

Il est bon de dĂ©finir la diffĂ©rence entre les produits. Cependant, cela ne clarifie pas encore quelle est l'idĂ©e principale des solutions DRT et comment elles fonctionnent. Les solutions de sĂ©curitĂ© des terminaux sont gĂ©nĂ©ralement conçues pour effectuer une analyse continue des terminaux et de tous les autres Ă©lĂ©ments du rĂ©seau (contrĂŽleur de domaine et ordinateurs des utilisateurs connectĂ©s au terminal) afin de dĂ©tecter les menaces possibles et de crĂ©er une rĂ©ponse compĂ©titive. La surveillance constante des Ă©vĂ©nements nĂ©cessite de nombreux modules supplĂ©mentaires par rapport au moteur anti-malware « classique » et un contrĂŽle permanent d'un spĂ©cialiste de la sĂ©curitĂ©. Certains fournisseurs proposent mĂȘme leurs produits DRT sous forme de logiciel en tant que service.

Qu'est-ce que la DRT
Principes clés du systÚme de détection et de réponse aux terminaux

Les solutions EDR dĂ©tectent la menace en fonction de son comportement. En plus des rĂšgles heuristiques de base, le programme s'appuie Ă©galement sur des rĂ©seaux neuronaux. Les sources, cependant, peuvent ĂȘtre diffĂ©rentes des "processus en cours" habituels - les solutions de protection des points de terminaison supposent plusieurs autres façons d'obtenir des informations sur les Ă©vĂ©nements. Ensuite, elle vĂ©rifie l'Ă©lĂ©ment dĂ©tectĂ© avec une mĂ©thode classique basĂ©e sur une base de donnĂ©es. Si elle trouve une signature correspondante, elle supprime instantanĂ©ment la menace, la considĂ©rant comme un virus. Sinon, elle la bloque simplement, donnant Ă  un ĂȘtre humain le droit de gĂ©rer la suppression. Un tel dĂŽme couvrant tous les Ă©lĂ©ments d'un systĂšme d'entreprise lui permet de faire face mĂȘme aux menaces liĂ©es aux ĂȘtres humains - telles que les initiĂ©s ou mĂȘme les menaces persistantes avancĂ©es.

Pour rendre la gestion de la sĂ©curitĂ© plus efficace, la plupart des solutions divisent le rĂ©seau protĂ©gĂ© en petites parties appelĂ©es nƓuds. Cela permet d'appliquer des restrictions/privilĂšges de sĂ©curitĂ© individuels Ă  une machine spĂ©cifique ou mĂȘme Ă  l'application choisie. De plus, le fait de diviser l'ensemble du rĂ©seau en plusieurs parties facilite grandement l'analyse des journaux d'Ă©vĂ©nements - il est beaucoup plus facile de comprendre quelle Ă©tait la surface d'attaque et comment l'attaquant a agi.

Antivirus vs EDR.

Dans le paragraphe prĂ©cĂ©dent, vous avez pu voir trois problĂšmes majeurs des logiciels anti-malware "classiques" qui les rendent moins utiles pour la protection des entreprises. Ils sont vrais. Cependant, un problĂšme beaucoup plus grave rend leur comparaison encore plus difficile. Les solutions de dĂ©tection et de rĂ©ponse aux points de terminaison sont censĂ©es ĂȘtre une chose captivante qui protĂšge l'ensemble du rĂ©seau d'entreprise. Trouver et configurer une solution Ă©quivalente en termes de couverture et basĂ©e sur l'antivirus classique est rĂ©alisable, mais son efficacitĂ© sera probablement remise en question. Comme le montre la pratique, il est assez difficile d'apprendre de nouveaux tours Ă  un vieux chien. C'est pourquoi ces astuces doivent ĂȘtre rĂ©alisĂ©es par quelque chose conçu Ă  l'origine Ă  cet effet.

Pourquoi EDR est-il meilleur que l'antivirus classique ?

Antivirus

  • Peut protĂ©ger efficacement les ordinateurs autonomes ;
  • Prend en charge Windows ou macOS (parfois les deux simultanĂ©ment) ;
  • Le principal moyen de contrĂŽle est l'interface graphique sur chaque ordinateur. Certains d'entre eux sont capables de contrĂŽle Ă  distance, ce qui nĂ©cessite gĂ©nĂ©ralement une version d'application spĂ©ciale ;
  • Scans Ă  la demande, dĂ©tection basĂ©e sur une base de donnĂ©es. Des heuristiques sont appliquĂ©es en mode de protection proactive ;
  • La journalisation est primitive, basĂ©e sur les Ă©vĂ©nements lors des scans et de la protection proactive.

Détection et réponse aux points de terminaison

  • Efficace pour protĂ©ger le point de terminaison et les Ă©lĂ©ments associĂ©s, y compris les serveurs et le contrĂŽleur de domaine ;
  • Prend en charge tous les systĂšmes d'exploitation *NIX possibles ainsi que Windows ;
  • Le contrĂŽle centralisĂ© Ă  distance est le principal moyen de gestion. Seules des ajustements locaux peuvent ĂȘtre apportĂ©s aux Ă©lĂ©ments du systĂšme ;
  • Les rĂšgles heuristiques sont le principal moyen de dĂ©tection des logiciels malveillants. La solution surveille en permanence le point de terminaison et tous les Ă©lĂ©ments associĂ©s.
  • Journalise tous les Ă©vĂ©nements observĂ©s dans le rĂ©seau protĂ©gĂ©, quel que soit le moment.

Maintenant, examinons l'importance des problÚmes mentionnés ci-dessus. La séparation des systÚmes de sécurité pour chaque systÚme est essentielle pour établir une protection fiable contre les logiciels malveillants. Le regroupement est bon dans la conception des réseaux, mais pas dans les structures qui nécess itent de l'homogénéité. Et la protection contre les logiciels malveillants en est exactement un exemple. Différents systÚmes avec des configurations de protection différentes pour chacun d'entre eux réduisent l'efficacité de la protection de maniÚre significative. Bien sûr, il est possible de configurer tous les systÚmes de maniÚre similaire. Mais cette similitude ne durera pas longtemps si quelqu'un utilise cet ordinateur au moins une fois par semaine.

L'absence d'action conjointe pendant l'attaque est liĂ©e au paragraphe prĂ©cĂ©dent. Les cyberattaques contre les entreprises visent rarement un seul ordinateur - elles attaquent gĂ©nĂ©ralement l'ensemble du rĂ©seau. Et cela nĂ©cessite que tous les Ă©lĂ©ments de ce rĂ©seau rĂ©agissent simultanĂ©ment et de maniĂšre identique. Un tel problĂšme est moins critique puisque mĂȘme certains systĂšmes EDR supposent une rĂ©ponse asymĂ©trique dans certaines situations. Mais il est important d'avoir cette capacitĂ©, et les solutions de sĂ©curitĂ© dispersĂ©es n'en offrent pas.

La journalisation est une chose trÚs sous-estimée, qui ne se trouve dans aucun logiciel anti-malware standard sous une forme utilisable. Les journaux de scan/protection ne fournissent toujours pas suffisamment d'informations pour analyser la situation actuelle ou l'incident cybernétique passé. Les informations sur la maniÚre dont cela s'est produit, seconde par seconde, étape par étape, aideront les spécialistes de la cybersécurité à apporter les ajustements nécessaires pour une meilleure protection.

Principes clés de la détection et de la réponse aux points de terminaison (EDR)

Tout comme tout produit d'entreprise Ă  grande Ă©chelle, l'EDR repose sur plusieurs principes clĂ©s, indĂ©pendamment du fournisseur. Il s'agit d'une liste de rĂšgles de base qui doivent ĂȘtre suivies pour pouvoir qualifier votre produit de solution EDR. Ces principes peuvent Ă©galement ĂȘtre interprĂ©tĂ©s comme des exigences minimales pour le produit logiciel prĂ©tendant ĂȘtre un programme anti-malware Ă  l'Ă©chelle de l'entreprise.

Réponse coordonnée de toutes les surfaces d'attaque. Comme mentionné précédemment, il est important de répondre simultanément à tous les éléments du systÚme lors d'une attaque. Le systÚme EDR doit fournir cette capacité par défaut ou aprÚs une configuration spécifique.

Principes simplifiés de l'EDR
Schéma de protection EDR

Gestion basĂ©e sur le cloud du systĂšme. Les solutions EDR doivent ĂȘtre contrĂŽlables Ă  distance pour contrer l'attaque et analyser la situation depuis n'importe quel endroit et Ă  tout moment. Selon les statistiques, la plupart des cyberattaques se produisent aprĂšs les heures de travail - lorsque personne ne surveille supposĂ©ment le rĂ©seau de l'entreprise.

Taux de protection Ă©levĂ©s. À quoi sert-il d'avoir un systĂšme de sĂ©curitĂ© coĂ»teux et difficile Ă  configurer s'il ne peut pas contrer les menaces modernes ? C'est une question rhĂ©torique. La protection dans les solutions de sĂ©curitĂ© des points de terminaison doit s'appuyer sur des mĂ©canismes de dĂ©tection heuristique et basĂ©s sur une base de donnĂ©es, et Ă©ventuellement sur des rĂ©seaux neuronaux. Des organisations comme AV-Comparatives testent rĂ©guliĂšrement les solutions disponibles et publient donc leur propre classement pour chaque systĂšme EDR.

Quelles menaces vise l'EDR ?

Les systĂšmes de dĂ©tection des points de terminaison sont capables de dĂ©tecter et de supprimer toute menace - c'est pour cela que vous payez. Depuis les adwares les plus simples jusqu'aux logiciels espions ou aux malwares de porte dĂ©robĂ©e obscurcis, il peut arrĂȘter n'importe lequel de ces Ă©lĂ©ments. Cependant, il diffĂšre considĂ©rablement dans la comprĂ©hension que l'attaque est en cours. Les entreprises sont rarement attaquĂ©es pour injecter des adwares ou d'autres virus "lĂ©gers" - elles reçoivent gĂ©nĂ©ralement des rançongiciels ou d'autres choses dĂ©sagrĂ©ables. Et la maniĂšre dont l'EDR l'arrĂȘte est diffĂ©rente de la simple dĂ©tection basĂ©e sur une base de donnĂ©es ou de la recherche heuristique.

Vous pouvez dĂ©jĂ  deviner Ă  partir des principes clĂ©s du systĂšme EDR ce qui est signifiĂ©. Ces systĂšmes de sĂ©curitĂ© sont conçus pour arrĂȘter l'attaque Ă  un stade initial - par exemple, la force brute des mots de passe RDP ou l'exĂ©cution d'exploits de navigateur. À cette fin, les systĂšmes de dĂ©tection des points de terminaison disposent d'un journal de tous les Ă©vĂ©nements dans le systĂšme. De plus, la journalisation permet aux systĂšmes EDR de contrer de maniĂšre efficace les menaces les plus dangereuses - les fameuses menaces persistantes avancĂ©es, par exemple. Les autres Ă©lĂ©ments durables, tels que les portes dĂ©robĂ©es et les logiciels espions, qui essaient gĂ©nĂ©ralement de persister dans le systĂšme le plus longtemps possible, seront Ă©galement efficacement vaincus.

L'EDR en vaut-il la peine ?

Cette question dĂ©pend de trop nombreux facteurs pour avoir une seule rĂ©ponse. Par conception, l'EDR est plus coĂ»teux et plus complexe que les logiciels antivirus rĂ©guliers. En mĂȘme temps, il est beaucoup plus efficace contre les menaces rĂ©elles. Les adwares et les pirates de navigateur sont plus comparables Ă  un simple rhume, tandis que les attaques de ransomware ou de logiciels espions sont aussi graves qu'une pneumonie. Mais cette comparaison n'est pas toujours vraie.

Quand vous avez une petite entreprise - par exemple, une chaĂźne de boulangeries dans votre ville/rĂ©gion, le rapport prix/bĂ©nĂ©fice de l'achat de l'EDR est trop faible pour vous. Vous n'avez pas autant d'ordinateurs et de serveurs Ă  protĂ©ger avec une solution haut de gamme, et vos donnĂ©es et votre activitĂ© ne sont pas un point d'intĂ©rĂȘt pour les cybercriminels. EspĂ©rer ne pas ĂȘtre attaquĂ© ne signifie pas que vous ne le serez jamais. Mais nĂ©anmoins, l'objectivation de vos besoins est essentielle lorsqu'il s'agit de dĂ©penses importantes.

MĂȘme les petites entreprises peuvent ĂȘtre dans le viseur des fraudeurs. Les cabinets de comptabilitĂ© et de compensation qui peuvent collaborer avec des banques rĂ©gionales et de petites sociĂ©tĂ©s de courtage ont des informations sensibles qui transitent par leur stockage. Il en va de mĂȘme pour les cliniques, les agences gouvernementales locales et les agences bancaires. Certains groupes de rançongiciels ont convenu d'Ă©viter d'attaquer les entreprises d'infrastructures critiques, les agences gouvernementales, les Ă©tablissements mĂ©dicaux et Ă©ducatifs. Mais cela ne signifie jamais que vous ĂȘtes Ă  100% en sĂ©curitĂ© - mĂȘme certains des plus grands groupes ont choisi d'ignorer ces rĂšgles de "hacking Ă©thique".