l'EDR pour tous

  Posted On   By Bitdefender Team   Cybersécurité pour les entreprises

 

 

 

Le dernier pourcentage

Nous avons tous vu les titres des unes. De grandes enseignes victimes de violations. Exfiltration des données confidentielles d’une entreprise et de celles de ses clients. Des attaques très sophistiquées, parfois même commanditées par des États, sont la crème de la crème des malwares. Ils représentent le dernier pour cent des attaques que de nombreux produits de sécurité des endpoints traditionnels (comme la prévention basée sur les bases de signatures), actuellement déployés dans la plupart des entreprises n’ont pas pu bloquer. Un certain nombre d’autres produits auxiliaires basés sur les endpoints – anti-exploit, machine-learning paramétrable – ont été créés pour combler le vide qui existe dans la prévention. Malgré cela, les véritables attaques sophistiquées ont pu échapper à ces défenses.

 

L’émergence de l’EDR

Maintenant, une nouvelle technologie – Endpoint Detection and Response, ou EDR – a émergé sur les bases d’un principe fondamentalement diffèrent, selon lequel il n’est pas possible de prévenir 100% des menaces. L’objectif d’EDR est de fournir une détection précoce et de minimiser le temps d’incubation des infections et les dommages subséquents. Il s’agit d’une approche rafraîchissante mais point d’emballement, nous devons clarifier comment cela peut fonctionner dans le monde réel.

 

L’EDR dans le monde réel

L’EDR peut-il remplacer toutes les autres solutions de protection des endpoints qui l’ont précédé ? Absolument pas. Cela reviendrait à recourir à des soldats d’élite pour combattre le vol à l’étalage ; Non seulement cela coûte cher, mais cela détourne aussi l’attention des menaces réelles qui nécessitent des moyens plus importants. Allons-nous plutôt superposer l’EDR pur sur du Big Antivirus, en plus de l’outil anti-exploit et tous les autres agents possibles que nous avons sur nos endpoints ? Les entreprises ont tenté de le faire et certaines avec succès, en particulier dans les organisations disposant déjà d’un SOC (Security Operations Center) doté d’importantes ressources. Mais ça n’a pas été le cas pour tout le monde.

La gestion de plusieurs agents la complique davantage et EDR étant généralement intrusif, une équipe informatique déjà débordée et manquant de ressources sera obligée de prendre des décisions basées sur des informations venant d’investigations erronées, en ignorant simplement les alertes aux applications en liste blanche qui compromettent le réseau, et la décision d’investir pour l’EDR en premier lieu.

 

L’EDR pour tous

Selon nous, il y a un autre moyen d’améliorer la viabilité de l’EDR pour la sécurité des endpoints, et pas seulement pour les entreprises et organisations « riches » disposant de SOC aux ressources considérables et bien financés. L’EDR ne devrait pas être lâché dans la nature sans aide. Au contraire, si une approche en entonnoir est adoptée, avec des contrôles préventifs tels que le machine learning et la surveillance comportementale au tout début du cycle de surveillance des attaques, un pourcentage élevé de menaces connues peut être écarté de l’équation et la couche d’EDR peut être dirigée vers la partie resserrée et filtrée de l’entonnoir, permettant un niveau de fiabilité beaucoup plus élevé dans les enquêtes sur les incidents.

Si les couches d’EDR et de prévention préalable font également partie de la même solution intégrée, cela permet aux verdicts IOC actuels du module EDR d’entraîner les couches de prévention à effectuer des détections futures lors de la pré-exécution elle-même. En d’autres termes, pour garder une longueur d’avance sur ces menaces hautement sophistiquées et insaisissables et permettre à TOUT LE MONDE de bénéficier de la valeur de l’EDR, il faut une solution intégrée de prévention, d’investigation, de détection et de réponse. Cela aura pour effet de réduire le bruit inutile des fausses alarmes ou des menaces triviales, et permet à la couche d’EDR de se concentrer sur le réel et le dangereux.

 

 

 

GravityZone XDR

 

Nous avons ainsi développé notre solution de sécurité avec cette vision de « l’EDR pour tous ». Aujourd’hui, nous sommes fiers d’annoncer la sortie de GravityZone XDR – plateforme de sécurité pour endpoints qui combine tous les contrôles préventifs sans signature en mode pré-exécution et à l’exécution, avec des capacités de détection et de réponse anticipées disponibles au sein d’un seul agent et une seule console.

 

 

GravityZone XDR (intégré à la suite GravityZone Ultra) est basé sur une approche intégrée : prévention-détection-investigation-réponse-évolution :

 

Prévention : bloque tout ce qui est connu comme étant malveillant en mode pré-exécution, sans saturer le moteur d’analyse EDR d’alertes et d’incidents inutiles.
Détection : basée sur l’intelligence intégrée des moteurs de protection contre les menaces et l’analyse d’un flux d’événements comportementaux défini à partir d’un enregistreur d’événements.

 

Investigation : grâce à des informations contextuellement pertinentes sur le type de menace détectée (via l’intelligence intégrée), la raison de la détection (via l’analyse des menaces) et le verdict final (via une sandbox intégrée).

 

Réponse : grâce une interface de remédiation aux incidents qui permet de définir des actions correctives intelligentes, instantanément et au niveau de l’entreprise dans sa globalité.

 

Évolution : fournit des informations sur la détection actuelle à la prévention future grâce au paramétrage et au renforcement des politiques de sécurité.

 

GravityZone XDR est une solution unique permettant la réduction de la surface d’attaque (pare-feu, contrôle d’application, contrôle de contenu et patch management), la protection des données (chiffrement de disque), le blocage des menaces en mode pré-exécution et la prévention contre les attaques (surveillance des process en temps réel et analyse en sandbox), et désormais la détection automatisée, l’investigation facile et la remédiation grâce à l’enregistreur de données et les composants d’analyse des menaces. Le résultat : une prévention transparente des menaces, une détection précise des incidents et une réponse intelligente pour minimiser l’exposition aux infections et stopper les violations de données.

 

N’hésitez pas à nous contacter si vous souhaitez en savoir plus sur GravityZone XDR (intégré à la suite GravityZone Ultra).