dusanpetkovic1 - stock.adobe.com
Acronis ajoute l’EDR à la sécurité des points finaux
Acronis EDR utilise la technologie de détection des menaces d’Intel pour découvrir des attaques sophistiquées, telles que les logiciels malveillants sans fichier, mais il doit également faire face à la concurrence sur un marché encombré.
Acronis a lancé une plateforme de détection et de réponse pour Acronis Cyber Protect Cloud. Elle vient compléter le portefeuille de sécurité d’Acronis dans sa volonté de proposer une plateforme complète pour les fournisseurs de services managés, les revendeurs à valeur ajoutée et les entreprises. Mais l’éditeur s’invite là sur un marché déjà encombré.
La plateforme EDR est conçue pour détecter les comportements et les événements anormaux des utilisateurs sur les terminaux des entreprises, y compris les ordinateurs portables et les appareils mobiles, dans le but de découvrir et de contenir d’éventuelles cyberattaques. Elle fonctionne en parallèle avec les autres technologies de sécurité des terminaux d’Acronis, y compris les anti-malwares basés sur les signatures et les heuristiques, afin de fournir une visibilité sur les attaques plus complexes, telles que celles exploitant des vulnérabilités inédites, dite zero-day.
Acronis EDR est également intégré à la technologie de détection des menaces (TDT) d’Intel, un système sur une architecture de puce utilisé pour découvrir des attaques telles que les logiciels malveillants sans fichier qui se déploient dans la mémoire.
Les analystes considèrent que cette nouvelle technologie de sécurité des terminaux comble une lacune dans le portefeuille d’Acronis, mais ils estiment que le fournisseur devra faire face à une forte concurrence de la part d’acteurs bien établis.
« Le défi consiste à convaincre [les clients] que c’est dans leur intérêt », a déclaré Michael Suby, analyste chez IDC : « je ne dis pas qu’ils n’y parviendront pas. Mais il s’agit d’un petit acteur sur un grand marché ».
Rattraper le retard et rivaliser
La plateforme EDR s’ajoute à la plateforme de sécurité et de protection des points de terminaison (EPP, en anglais, Endpoint Protection Platform) d’Acronis et contribue à uniformiser les règles du jeu avec d’autres acteurs du marché, notamment Trend Micro, Trellix, CrowdStrike, SentinelOne, Microsoft et Broadcom, selon Matthew Ball, analyste monde de la recherche sur l’infrastructure, le cloud et la cybersécurité chez Canalys.
« Un grand nombre de produits existants n’offrent que la partie protection », estime Matthew Ball. Or selon lui, « ce dont ils ont besoin, c’est d’une détection et d’une réponse continues aux incidents. C’est là que se trouve le marché actuellement. Acronis est en train de rattraper son retard dans ce domaine ».
Plutôt que de travailler avec un fournisseur tiers, Acronis a construit sa propre plateforme d’EDR – une décision qui renforce son offre globale de sécurité, car l’EPP et l’EDR sont complémentaires.
« La combinaison de l’EPP et de l’EDR induit une sorte de cycle d’apprentissage », observe Matthew Ball, « car je peux prendre ce que j’ai appris dans l’EDR et améliorer mon EPP ».
Parce que la pile technologique d’Acronis inclut des fonctionnalités de sauvegarde de fichiers et de reprise après sinistre, le fournisseur offre également un chemin intégré vers la remédiation – un atout pour Acronis sur le marché de l’EDR, selon les analystes.
« Je ne connais personne d’autre qui dispose d’une solution de sauvegarde et de récupération », relève ainsi Matthew Ball : « en ajoutant la sécurité, cela aide [les fournisseurs de services managés] à consolider les fournisseurs avec lesquels ils doivent travailler ».
Cela permet potentiellement de consolider le nombre de plateformes entre lesquelles les clients doivent jongler. Elle offre également un produit qui s’aligne sur le cadre de risque de cybersécurité NIST américain consistant à identifier, protéger, détecter, répondre et récupérer, selon Christophe Bertrand, analyste au sein de l’Enterprise Strategy Group (ESG) de TechTarget.
Pour lui, « l’idée est de fournir une sorte de guichet unique pour toutes ces capacités », faisant référence à la combinaison de sauvegarde, de récupération et de cybersécurité d’Acronis.
Aucun fournisseur – y compris Acronis – ne peut fournir un produit qui réponde totalement au cadre NIST et les entreprises doivent penser en termes d’écosystème, selon Christophe Bertrand. Mais, a-t-il noté, la plateforme EDR d’Acronis reflète ce cadre en mettant l’accent sur la détection.
Ajout d’Intel
L’intégration de la plateforme avec Intel TDT (Threat Detection Technology) constitue une source de détections. Les attaques sans fichier représentent aujourd’hui 71 % de toutes les attaques de logiciels malveillants, selon un rapport de CrowdStrike sur la chasse aux menaces datant de 2022. Mais elles sont déployées en mémoire, ce qui les rend difficiles à détecter et exige beaucoup de ressources de traitement.
TDT décharge l’analyse de la mémoire du CPU vers le GPU, ce qui permet aux utilisateurs de continuer à travailler sur leur ordinateur tout en stimulant la technologie d’analyse, a déclaré Todd Cramer, directeur du développement commercial pour les écosystèmes de sécurité chez Intel, lors d’une conférence de presse.
« En tirant parti de ce GPU intégré, il est possible d’effectuer des analyses plus fréquentes pour détecter les premiers indicateurs d’attaques. C’est un avantage, car cela empêche les logiciels malveillants de s’implanter avant qu’ils n’atteignent le système et ne s’y étendent », estime-t-il.
Michael Suby considère l’utilisation de la technologie TDT comme un facteur de différenciation potentiel de l’EDR : « TDT permet aux éditeurs de logiciels indépendants comme Acronis d’exploiter les capacités matérielles pour réaliser des activités informatiques plus sophistiquées et plus gourmandes en ressources afin de pouvoir détecter différents types d’activités adverses qu’ils ne pourraient pas détecter autrement ».
Mais l’intégration n’est pas triviale, estime-t-il. Acronis doit modifier son logiciel pour tirer parti de la technologie, ce qui le met en phase avec BlackBerry, Check Point, CrowdStrike, Cybereason, Eset, Fidelis et Microsoft, mais qui n’est pas encore omniprésent parmi les fournisseurs de solutions EDR.
Michael Suby note que l’intégration avec Intel TDT limite la fonctionnalité aux terminaux alimentés par des puces Intel. Les autres capacités de détection qui résident dans la couche du système d’exploitation ou à un niveau plus élevé continueront à fonctionner, quel que soit le matériel.
Intel avait présenté TDT au printemps 2018 avec pour objectif de mettre à profit ses processeurs graphiques pour accélérer l’analyse de la mémoire et décharger le CPU dans le cadre de la recherche de menaces en mémoire vive. L’annonce de l’intégration de TDT à la nouvelle génération de processeurs vPro est survenue lors de l’édition virtuelle 2021 du CES. Cybereason avait alors été l’un des premiers à répondre présent. Il n’a été rejoint par Check Point qu’en décembre dernier.