Comparaison d’outils d’EDR pour Windows Server
Windows Server 2022 embarque nativement des technologies de sécurité visant à protéger l’entreprise. L’investissement dans un outil de détection et de réponse sur l’hôte (EDR) peut néanmoins se justifier.
Les produits de détection et de réponse sur les hôtes (serveurs comme postes de travail) représentent une avancée par rapport aux produits antivirus historiques, utilisant notamment l'apprentissage automatique pour combattre les menaces émergentes.
Les entreprises qui s'appuient sur Windows Server voudront mobiliser plusieurs couches de protection pour empêcher que leurs traitements critiques ne soient pris en otage par des acteurs malveillants. En plus des mesures de protection contre les logiciels malveillants, de nombreux outils de protection et de réponse sur les hôtes (EDR) ont d'autres fonctionnalités, telles que l'analyse de données, pour identifier un comportement suspect. D'autres iront encore plus loin et fourniront aux administrateurs des remédiations automatisées.
EDR et Windows Server 2022
Bien que les outils d’EDR puissent améliorer considérablement la sécurité d'une organisation, vous ne trouverez pas de véritables capacités EDR intégrées dans le système d'exploitation Windows Server 2022.
Cela ne signifie pas que Windows Server manque de capacités similaires à l'EDR. Par exemple, presque toutes les offres EDR ont des capacités de prévention des malwares et des attaques. Windows Server 2022 inclut une protection contre les virus et les menaces avec Microsoft Defender Antivirus, anciennement connu sous le nom de Windows Defender. Ces capacités anti-malware natives sont similaires à celles que l'on trouve dans Windows 10 et Windows 11.
En plus de la protection de base contre les logiciels malveillants, Windows Server 2022 offre également une protection du firmware sur les serveurs à cœur sécurisé. La plupart des produits antivirus ne peuvent pas analyser le firmware d'un serveur à la recherche de signes de falsification, mais Microsoft offre aux administrateurs une autre couche de protection de sécurité avec cette fonctionnalité native.
De plus, Windows Server 2022 embarque Control Flow Guard, un mécanisme de protection basé sur la virtualisation, qui empêche les modifications non autorisées du code. Cela protège les systèmes contre les vulnérabilités de corruption de mémoire tout en protégeant également la fonctionnalité Credential Guard.
La plupart des produits d’EDR incluent un pare-feu d’hôte. Windows Server 2022 comprend le pare-feu Windows Defender, qui est similaire au pare-feu de base inclus avec les versions de bureau de Windows.
Bien que Windows Server 2022 inclut certaines fonctionnalités utilisées dans les offres d’EDR, elles ne sont pas exhaustives. La meilleure option pour les organisations qui ont besoin de capacités d’EDR est d'investir dans un produit distinct qui renforce les fonctionnalités de sécurité natives de Windows Server 2022.
Microsoft Defender for Endpoint
Bien que les capacités antimalware natives de Windows Server soient limitées, Microsoft propose un ensemble de fonctionnalités plus étendu dans son produit Microsoft Defender for Endpoint.
Microsoft en propose deux versions. L’éditeur inclut Microsoft Defender for Endpoint P1 dans les abonnements Microsoft 365 E3. Il comprend le logiciel antimalware de nouvelle génération de Microsoft, un pare-feu d’hôte, un filtrage web basé sur des catégories et des politiques d'accès conditionnel basées sur l'appareil. Microsoft Defender for Endpoint P1 ajoute également d'autres fonctionnalités, notamment l'accès contrôlé aux dossiers, le contrôle des appareils (comme la protection pour les périphériques USB), les règles de réduction de la surface d'attaque et le contrôle des applications.
Microsoft Defender for Endpoint P2 est inclus dans les abonnements Microsoft 365 E5. Il comprend toutes les fonctionnalités présentes dans Microsoft Defender for Endpoint P1 mais ajoute d'autres capacités, comme la détection et la réponse sur l’endpoint, ainsi que l'investigation et la remédiation automatisées. Microsoft Defender for Endpoint P2 propose également des analyses de menaces et un environnement isolé (sandbox) pour une analyse approfondie. Microsoft Defender for Endpoint P2 est plus un véritable produit EDR que son homologue P1.
Microsoft propose un essai gratuit de Defender for Endpoint.
VMware Carbon Black EDR
L'EDR Carbon Black de VMWare, qui était auparavant filiale de Bit9, propose une approche multifacette de la protection des hôtes.
Comme d'autres outils EDR, la protection contre les logiciels malveillants est l'une des compétences clés de Carbon Black. Plutôt que de se fier uniquement à la détection basée sur les signatures, Carbon Black vérifie les modèles d'attaque. Cela l'aide à trouver des incidents provenant de logiciels malveillants traditionnels et sans fichier. Carbon Black ne se concentre pas uniquement sur les logiciels malveillants, mais offre plutôt aux administrateurs un moyen d'auditer les appareils de point de terminaison en temps réel et de remédier à toute vulnérabilité de sécurité qu'il détecte.
VMware propose un laboratoire pratique gratuit pour les entreprises souhaitant essayer Carbon Black.
Falcon de CrowdStrike
La plateforme Falcon de CrowdStrike répond à une grande variété de menaces en mode cloud et à travers l'entreprise. Les capacités EDR ne sont qu'une petite partie de la plateforme Falcon plus vaste et sont intégrées dans Falcon Endpoint Protection Enterprise.
Falcon Endpoint Protection Enterprise agit comme un remplacement pour les antivirus traditionnels, mais révèle toutes sortes d'attaques, pas seulement celles liées à une infection par logiciel malveillant. Falcon Endpoint Protection Enterprise utilise des analyses de menaces basées sur l'apprentissage automatique pour détecter les menaces en temps réel. Le logiciel travaille à remédier et à aider aux enquêtes d'incidents. En plus de bloquer les attaques, Falcon Endpoint Protection Enterprise tente de faire le ménage et d'annuler les modifications de registre et les fichiers laissés par le logiciel malveillant.
CrowdStrike propose un essai gratuit de sa plateforme Falcon.
Plateforme Singularity de SentinelOne
La plateforme Singularity for Endpoint de SentinelOne agit comme une plateforme de sécurité d'entreprise complète. Le principal argument de vente derrière le produit Singularity est qu'il fonctionne de manière autonome, détectant et se défendant contre les attaques plus rapidement qu'un humain ne le pourrait.
Comme d'autres outils d’EDR tiers, la plateforme de protection des endpoints utilise l'apprentissage automatique pour ses capacités de détection d'attaques plutôt que de se reposer sur une base de données de signatures. Lorsqu'elle détecte une menace, le logiciel assemble les étapes de l'attaque en une histoire, reconstituant toute la cinétique d’attaque du début à la fin. De plus, les points d'extrémité affectés par une attaque peuvent être corrigés en un seul clic.
Vous pouvez demander une démonstration sur le site web de SentinelOne.