EDR (Endpoint Detection and Response)

Qu’est-ce que la détection et la réponse sur les endpoints (EDR) ?

La détection et la réponse sur les endpoints – EDR, ou hôtes, en français – consistent à collecter et analyser des informations relatives aux menaces de sécurité touchant postes de travail et serveurs d’un système d’information, dans le but de détecter les violations de sécurité dès qu’elles surviennent et de faciliter une réponse rapide. Le terme « détection et réponse sur les endpoints » décrit les capacités générales d’un ensemble d’outils, dont les détails et les fonctionnalités peuvent varier considérablement selon les implémentations.

Une implémentation d’EDR peut être :

• un outil dédié ;
• une petite partie d’un outil de surveillance de la sécurité plus vaste ;
• une collection d’outils utilisés ensemble pour accomplir ces fonctions.

Alors que les attaquants améliorent continuellement leurs méthodes et capacités, les systèmes de protection traditionnels peuvent être insuffisants. L’EDR combine l’analyse des données et du comportement, ce qui les rend efficaces contre les menaces émergentes et les attaques en cours, telles que :

• les malwares nouveaux ;
• les chaînes d’exploitation émergentes ;
• les ransomwares ;
• les menaces persistantes avancées (APT).

Quelles sont les capacités des systèmes d’EDR ?

L’EDR se concentre principalement sur les endpoints, ce qui recouvre les postes de travail des utilisateurs finaux et les serveurs, notamment. Les systèmes d’EDR peuvent superviser et protéger la plupart des systèmes d’exploitation (Windows, macOS, Linux, BSD, etc.), mais n’incluent pas la surveillance réseau.

Un système qui recueille des informations provenant de nombreuses sources, telles que des endpoints, des pare-feu, des analyses de réseau et des journaux internet, est considéré comme un système de gestion des informations et des événements de sécurité (SIEM). Les fournisseurs de sécurité peuvent proposer l’EDR dans le cadre d’un package SIEM, destiné à être utilisé par un centre des opérations de sécurité (SOC) pour enquêter et répondre aux menaces.

L’EDR est une partie intégrante d’une posture complète de sécurité de l’information. Il ne s’agit pas de logiciels antivirus, mais il peut avoir des capacités antivirus ou utiliser des données d’un produit antivirus tiers. Les logiciels antivirus sont principalement responsables de la protection contre les logiciels malveillants connus, tandis qu’un programme de protection et de réponse des endpoints bien exécuté détecte les nouvelles exploitations en cours et l’activité malveillante d’un attaquant lors d’un incident actif. Cela permet à l’EDR de détecter les attaques de malware sans fichier et les attaquants utilisant des informations d’identification volées, que l’antivirus traditionnel ne pourra pas arrêter. De nombreux systèmes EDR font partie des produits antivirus de nouvelle génération.

Les organisations disposent de plusieurs outils pour protéger les endpoints, mais peuvent également rencontrer des défis avec la détection et la réponse sur les endpoints (EDR).

Le rôle d’un système EDR se divise en deux grandes catégories :

• la collecte et l’analyse d’informations ;
• la réponse aux menaces.

Étant donné que les capacités de l’EDR peuvent varier considérablement d’un fournisseur à l’autre, une organisation qui recherche des systèmes EDR doit examiner attentivement les capacités de tout système proposé. Elle doit également prendre en compte la manière dont il peut s’intégrer à ses capacités de sécurité globales actuelles.

Les capacités de collecte et d’analyse d’informations de l’EDR rassemblent et organisent des données provenant des endpoints, puis utilisent ces informations pour identifier des irrégularités ou des tendances. Il utilise de nombreuses sources de télémétrie provenant d’un endpoint, qui peuvent inclure :

• les journaux ;
• la surveillance des performances ;
• les détails des fichiers ;
• les processus en cours d’exécution ;
• les données de configuration ou autres informations.

Un agent dédié installé sur le endpoint peut collecter ces données, ou le système peut utiliser les capacités intégrées de l’OS et d’autres programmes auxiliaires.

Les systèmes EDR organisent et analysent les données collectées. Un appareil client peut effectuer une partie de cette tâche, mais généralement, un système central – appareil matériel, serveur virtuel ou service cloud – exécute ces fonctions.

Les systèmes EDR simples peuvent se contenter de collecter et d’afficher ces données ou de les agréger et de montrer des tendances. Les opérateurs peuvent trouver difficile de suivre et de prendre des décisions basées sur ce type de données.

Les systèmes EDR avancés peuvent inclure l’apprentissage automatique et l’IA pour identifier et alerter automatiquement sur les nouvelles menaces émergentes. Ils peuvent également utiliser des informations agrégées du fournisseur de produits pour mieux signaler les menaces. Certains systèmes permettent la cartographie des comportements suspects observés suivant le framework MITRE ATT&CK pour aider à détecter des schémas.

Les capacités de réponse aux menaces de l’EDR aident l’opérateur à prendre des mesures correctives, à diagnostiquer d’autres problèmes et à effectuer des analyses a posteriori, ce qui peut permettre le suivi des problèmes et peut aider à détecter des activités similaires ou à soutenir une enquête. Les capacités médico-légales aident à établir des chronologies, à identifier les systèmes affectés après une violation et peuvent être en mesure de recueillir des artefacts ou d’enquêter sur la mémoire système en direct dans les endpoints suspects. La combinaison de données historiques et de données situationnelles actuelles aide à fournir une image plus complète lors d’un incident.

Certains systèmes de détection et de réponse sur les endpoints peuvent effectuer des activités de remédiation automatique, telles que déconnecter ou arrêter des processus compromis ou alerter l’utilisateur ou le groupe de sécurité de l’information. Ils peuvent également être capables d’isoler ou de désactiver activement des endpoints ou des comptes suspects. Un bon système de réponse aux incidents aidera également à coordonner les équipes lors d’un incident actif, aidant à réduire son impact.

EDR ou antivirus ?

Historiquement, les systèmes d’EDR étaient complémentaires des antivirus, apportant des capacités de détection et de visibilité additionnelles. De manière sommaire, l’EDR se concentrait sur la réponse aux incidents et sur la découverte d’activités malicieuses sophistiquées, quand l’antivirus relevait de « l’hygiène » de base pour protéger contre les menaces bien connues.

Graduellement, l’EDR s’est imposé dans l’arsenal de détection des menaces, au point que la fusion entre antivirus traditionnel et EDR s’est imposée comme une évidence au marché de la protection des endpoints. Ce rapprochement à commencé à se faire dès 2019.

Historiquement, la réponse à la question « EDR ou antivirus » a été « antivirus et EDR ». Mais l’évolution des produits offerts par le marché tend à rendre cette réponse de moins en moins pertinente, notamment dans les grandes organisations disposant des moyens nécessaires pour souscrire à des offres d’EDR parfois onéreuses et dont il n’est véritablement possible de retirer toute la valeur ajoutée qu’à condition de disposer des équipes nécessaires au traitement des alertes générées – en interne ou en ayant recours à prestataire de services managés.

Comment choisir un EDR ?

Choisir une solution de détection et de réponse sur les postes de travail et les serveurs – que l’on nomme génériquement endpoints, d’où le terme Endpoint Detection and Response (EDR) – peut s’avérer épineux. L’expérience de SeLoger.com l’illustre bien : son équipe de sécurité a commencé par essayer de confronter des EDR à des logiciels malveillants connus et inconnus pour découvrir des taux de détection extrêmement bas et, de prime abord, décevants. Conclusion de son RSSI, Gilles Lorrain, lors d’un atelier organisé à l’occasion de l’édition 2022 des Assises de la Sécurité : « il ne faut pas tester un EDR comme un antivirus ».

Comme pour toute solution de cybersécurité, un démonstrateur est généralement plus que bienvenu. Mais encore faut-il avoir compris ce que peut apporter la solution et, en parallèle, ce que l’on en attend. Toutefois, avant de se lancer, quelques éléments peuvent aider, au-delà des témoignages de pairs.

En 2018, le MITRE a ainsi réussi à confronter des EDR à la réalité, en s’appuyant sur sa base de connaissances ATT&CK. Ouverte au public, elle fait un inventaire des tactiques et des techniques mises en œuvre par les attaquants, jusqu’aux plus avancés d’entre eux. Elle s’alimente auprès des travaux d’éditeurs, d’équipementiers, mais également d’institutions publiques et de chercheurs.

La première session de test avait réuni sept éditeurs. Leurs solutions avaient été confrontées aux techniques, tactiques et procédures (TTPs) d’APT3/Gothic Panda. Un autre round a rassemblé, courant 2019, 21 éditeurs. Là, c’est une émulation du groupe APT29, aussi appelé Cozy Bear, qui a été utilisée pour les épreuves.

L’édition 2023 des évaluations s’est appuyée sur les TTPs du groupe Turla (aussi connu sous le nom de Venomous Bear). Une trentaine d’éditeurs s’étaient engagés à y participer, jusqu’aux jeunes pousses françaises HarfangLab et Tehtris. La première s’est distinguée par une performance plus qu’honorable, pour une première participation.

Mais puisque la valeur nominale d’un EDR réside dans la visibilité qu’il apporte, pourquoi ne pas également se pencher sur la télémétrie produite par les différents outils concurrents ? C’est l’angle qu’a choisi de retenir Kostas T., chercheur senior en cybermenaces, en lançant l’EDR Telemetry Project.

Lancé début 2023, ce projet vise à faire l’inventaire des catégories et sous-catégories de télémétrie supportées par une quinzaine de produits d’EDR concurrents – dont le Français HarfangLab. De quoi procéder à une première présélection sur la base des données nécessaires à ses besoins de détection.

Les données de ce projet sont libres et accessibles à tous, sous forme de tableur comme de fichier JSON à récupérer sur l’entrepôt GitHub du projet.

Comment mettre en œuvre un EDR ?

Le déploiement d’une solution d’EDR n’est pas comparable à celui d’un antivirus n’a rien d’anodin. L’impact peut être très important selon l’étendue d’un projet qu’il convient donc, en définitive, de planifier soigneusement.

Il est nécessaire de bien penser ces infrastructures en amont, car l’analyse des informations relatives aux endpoints nécessite d’accaparer une partie significative de la puissance de calcul des outils de recherches d’indicateurs de compromission (IoC) et de corrélation. Il convient donc de créer un écosystème qui intègre d’autres fonctions de collecte de traces d’activité à partir d’équipements actifs et des autres mécanismes de sécurité du système d’information.

Dans une approche de défense en profondeur, si les analyses de risques le confirment et dans le cadre d’une stratégie de protection des données et processus les plus sensibles, il peut être préférable de cibler dans un premier temps ces périmètres.

Un déploiement initial sur un périmètre restreint permettra aux équipes opérationnelles de s’approprier la solution et d’appréhender les informations remontées. Dans ce type de déploiement, les populations les plus sensibles devraient être les premières couvertes (comité exécutif, ressources humaines, finances), car elles demeurent les points d’entrée privilégiés des attaques ciblées.

À terme, toutefois, la généralisation est le seul moyen de se protéger efficacement, notamment pour détecter les déplacements latéraux en cas d’attaque.