Accueil Protection du endpoint, l'EDR se démocratise

Protection du endpoint, l’EDR se démocratise

La protection du poste client relève de l’incessante lutte entre le glaive et le bouclier. Via les solutions d’EDR (Endpoint Detection & Response), l’Intelligence Artificielle semble redonner l’avantage aux défenseurs, mais l’imagination des attaquants est sans limite !

 

> Avec GravityZone XDR, Bitdefender cultive le concept de « l’EDR pour tous » : un client et une console unique.

Devant la masse des malwares lancés jour après jour par les hackers mais aussi devant le besoin des utilisateurs à mettre en œuvre un nombre croissant de services Cloud public, accroitre la sécurité au niveau du endpoint est plus que jamais une nécessité. Après avoir multiplié le nombre de moteurs de détection dans les logiciels de protection, l’heure est maintenant à l‘unification entre les clients des solutions d’EPP (Endpoint protection Platform) et EDR (Endpoint Detection & Response). « Mettre en œuvre des techniques de détection de plusieurs générations permet de tirer parti des avantages de chacune » résume Renaud Bidou, directeur technique Europe du Sud de Trend Micro. « Si le mécanisme de détection par signature peut être facile à contourner, il n’en reste pas moins rapide, fiable et très peu consommateur en ressources. » Ainsi, l’agent ApexOne proposé par l’éditeur implémente les techniques de détection les plus récentes comme l’analyse comportementale ou l’intelligence artificielle, mais aussi du contrôle d’application, la prévention des mouvements latéraux ou de la fuite d’information (DLP – Data Leak Prevention).

L’IA, alliée des RSSI

Désormais, tous les spécialistes de la protection endpoint alignent une solution d’EDR à leur catalogue, et avec Windows Defender Advanced Threat Protection (ATP), Microsoft suit la même voie. Pour Michel Lanaspèze, directeur marketing de Sophos pour l’Europe du sud, l’arrivée de l’IA est un réel atout dans la protection des postes client : « La mise en œuvre de technologies de Deep Learning permet d’affecter une priorité aux codes à examiner, et donne des éléments de comparaison avec les codes malveillants et légitimes les plus proches, guidant ainsi le travail d’analyse et améliorant la compréhension. »

Les éditeurs travaillent aujourd’hui à la bonne intégration de leur EDR au sein de leur propre portefeuille produits, mais aussi avec les autres briques de l’écosystème de cybersécurité. Ainsi, SonicWall travaille sur l’intégration d’un moteur d’antivirus de nouvelle génération, d’une détection d’ATP et du firewall SonicWall. Luis Fisas, directeur Europe du Sud de l’éditeur, explique : « SonicWall Capture Client est une offre de terminaux unifiés offrant de multiples fonctionnalités de protection. Combinant le moteur antivirus de nouvelle génération (NGAV) alimenté par SentinelOne et l’ATP (Capture Advanced Threat Protection) de SonicWall, Capture Client applique des techniques avancées de protection contre les menaces multicouches, comme le renseignement sur les menaces, les analyses statiques et comportementales basées sur l’IA, les analyses des logiciels malveillants dans le Cloud, qui permettent de détecter les variantes les moins connues et le retour du système à la normale qui permet un nettoyage efficace. »

Outre ce travail d’intégration, on commence à voir émerger des offres d’EDR (Endpoint Detection and Response) managées. En début d’année, Symantec a dévoilé le service Managed Endpoint Detection and Response (MEDR). Celui-ci repose sur la toute dernière version 4.0 de son offre EDR, sur son SOC Cyber Security Services et enfin sa plateforme de threat intelligence Global Intelligence Network. Sophos s’apprête à lancer une offre MEDR en s’appuyant sur les acquisitions de DarkBytes en janvier 2019 et de Rook Security en juin 2019. Dans le même but, l’éditeur SentinelOne s’est tourné vers SNS, une société de services spécialisée partenaire de Fortinet, afin de proposer à son tour des services managés de protection des postes de travail s’appuyant sur son EDR. Ces services managés vont donner accès aux EDR à toutes les entreprises. Si, avec les EDR et les moteurs d’IA, les entreprises augmentent une nouvelle fois le niveau de sécurité de leurs postes clients, les pirates ne restent pas désarmés face à la technologie. Le cabinet spécialisé Skylight a dévoilé au cours de l’été une nouvelle approche afin de berner la technologie d’IA mise en œuvre par la solution Blackberry Cylance. Les chercheurs ont démontré qu’il était possible de contourner la protection apportée par l’IA en manipulant la liste blanche du logiciel. L’éditeur a immédiatement rétorqué aux chercheurs que la technique mise en œuvre n’était pas universelle et exploitait des circonstances très particulières afin de manipuler le score de confiance des fichiers infectés.

> A l’image du Capture Client SonicWall, la tendance est clairement à l’intégration d’un maximum de fonctions de protection au sein d’un même logiciel client facile à déployer sur les postes.