Denys Rudyi - Fotolia
L’EDR, avant tout un outil de visibilité
Gartner vient de publier une comparaison des outils de détection et réponse aux menaces sur les points de terminaison. Pour lui, si l’EDR vise les mêmes budgets que les suites classiques de protection du poste de travail, il s’apparente plus à un complément.
Non, les systèmes de détection des menaces et de réponse au niveau des points de terminaison (EDR, pour Endpoint Dectection and Response) – serveurs comme postes de travail – n’ont pas vocation à remplacer les dispositifs de protection locaux (EPP, pour Endpoint Protection Platform). C’est en tout cas le regard que portent dessus Augusto Barros et Anton Chuvakin, du cabinet Gartner, dans leur toute récente comparaison des technologies et solutions d’EDR. Et cela même si certains questionnent aujourd’hui la valeur des solutions d’EPP, en particulier du fait de l’efficacité toujours plus limitée des systèmes basés sur des listes de signatures.
Etendre et affiner la visibilité
Pour eux, il apparaît important de ne pas considérer l’EDR comme « un remplacement des autres outils de sécurité des points de terminaison. C’est souvent un complément de détection et de visibilité ». De manière sommaire, ils expliquent que « l’EDR se concentre sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées », quand l’EPP relève de « l’hygiène » de base pour protéger contre les menaces bien connues.
Et de recommander, dès lors, de ne surtout pas se jeter sur l’EDR si le seul objectif consiste « à améliorer les capacités de prévention des plateformes d’EPP présentes ». En particulier, les outils d’EDR sont conçus pour détecter des activités malicieuses et seulement des logiciels malveillants : « un attaquant humain exécutant des commandes via un accès distant devrait être découvert par l’EDR (ou au moins enregistré) ».
Pour les deux analystes, l’EDR « permet à une organisation d’atteindre une visibilité complète sur ses points de terminaisons, d’améliorer ses capacités de détection des activités malicieuses, et de simplifier la réponse aux incidents ». Ils complètent ainsi une panoplie où figurent aussi les équipements de sécurité réseau ou encore les systèmes de gestion des informations et des événements de sécurité (SIEM).
Ainsi, pour Augusto Barros et Anton Chuvakin, l’EDR apparaît principalement attirer les organisations « les plus matures, qui ont des processus de réponse aux incidents bien établis ». Mais les entreprises les moins matures peuvent aussi en retirer des bénéfices, du fait de « capacités de détection – voire même de protection pour certains outils – étendues susceptibles de combler les éventuelles faiblesses d’autres outils déjà déployés ».
Des outils inégaux
Si SentinelOne était mentionné par Peter Firstbrook et Neil MacDonald, également analystes au sein du cabinet Gartner, parmi les acteurs de l’EDR en décembre dernier, Augusto Barros and Anton Chuvakin l’appréhendent plutôt comme une solution d’EPP, à l’instar de Cylance. Ces deux éditeurs figurent d’ailleurs parmi les visionnaires du Magic Quadrant de Gartner pour l’EPP, daté du 1er février 2016.
En matière d’EDR, les clients de Gartner apparaissent mentionner en priorité Carbon Black, Cisco (avec AMP for Endpoints), Confer, CounterTack, CrowStrike, Cyberreason, FireEye, Guidance Software, RSA (avec Ecat), et Tanium. Pour leur comparaison, les analystes se penchent sur les capacités de chacun pour cinq usages : l’enquête après incident, le tri parmi des alerte et la validation de suspicion d’activités malveillantes, la détection de telles activités, l’exploration de données et la chasse aux menaces cachées, et enfin le blocage d’activités malicieuses.
Et là, les solutions de Carbon black, de CounterTack, de CrowdStrike et de Cybereason sortent nettement du lot : ils ressortent comme « forts » pour chacun des cas d’usage envisagés, alors que les produits concurrents s’affichent seulement « moyens » dans certains domaines. Il en va ainsi de Cisco AMP et de Tanium pour la détection d’activité suspecte, ou encore de la solution de Confer pour la chasse aux menaces, voire de celle de FireEye pour le blocage d’activités malicieuses.
Un marché en pleine évolution
Reste qu’une forme de convergence entre EDR et EPP apparaît, à terme, relativement inévitable. Augusto Berros et Anton Chuvakin soulignent ainsi que « la résistance naturelle des organisations à installer de nouveaux agents sur leurs points de terminaison a également contribué à faire pression sur les éditeurs d’EDR pour intégrer des capacités additionnelles ».
D’ailleurs, pour les analystes, « il est naturel de s’attendre à ce que les grands éditeurs de l’EPP entrent sur le marché de l’EDR, soit par acquisitions, soit en développant leurs propres produits, ou en intégrant des capacités d’EDR au sein de leurs plateformes d’EPP existantes ». Et de souligner qu’Intel Security, Symantec et Trend Micro ont déjà commencé à avancer dans cette direction.
Mais il faudra aussi compter avec Microsoft. Comme le soulignent les analystes de Gartner, l’éditeur a déjà mis un pied dans l’EDR avec son service Windows Defender Advanced Threat Protection. Dévoilé en début d’année, il affiche l’ambition d’aider « les entreprises à détecter, enquêter et répondre aux attaques avancées sur leurs réseaux », en s’appuyant sur les informations remontées par les postes de travail Windows 10 à moteur analytique en mode Cloud. Le tout combiné à des sources de renseignement sur les menaces et au graph de sécurité interne à l’éditeur.