Face à l’apparition de schémas d’attaques de plus en plus sophistiqués, de nouveaux outils ont émergé – accompagnés d’une multitude d’acronymes parfois complexes à distinguer. Décodage par Joffrey Chambon, consultant sécurité opérationnelle chez l’intégrateur Synetis.
Les solutions EDR – appelées Endpoint Detection and Response – permettent la surveillance, comme son nom l’indique, des « endpoints » ou terminaux, c’est-à-dire l’ensemble des périphériques au sein d’un même système d’information (postes de travail, serveurs, téléphones portables, tablettes, etc.).
Pour ce faire, l’EDR utilise diverses sources d’informations présentes sur les terminaux – comme par exemple les journaux d’évènements ou les processus s’exécutant sur le poste – pour mettre en avant les comportements suspects. En cas de détection d’un élément malveillant sur l’un des terminaux, la solution EDR a la capacité de mener différents types d’actions pour remédier efficacement à cette menace (mise en quarantaine d’un élément ou du terminal, retour à un état antérieur de la machine, etc.).
EDR et NDR, deux approches complémentaires
De par le volume d’informations collectées, les solutions EDR peuvent se révéler complexes à configurer et à ajuster. En effet, le nombre de faux positifs (alertes liées à une application ou à un processus légitime) peut rapidement devenir difficile à maîtriser sur de larges périmètres. C’est pour cette raison que de nombreux acteurs cyber proposent aujourd’hui des prestations de type EDR-as-a-Service – qui incluent non seulement le déploiement de la solution d’EDR mais également son exploitation afin de maintenir une configuration adéquate au regard du contexte de l’entreprise. Cela permet alors de minimiser le nombre de faux positifs et de concentrer les analyses dédiés sur des alertes pertinentes.
Si l’EDR supervise les terminaux, les communications entre ces derniers sont, elles, sous l’étroite surveillance du NDR – également nommé Network Detection and Response. Les solutions NDR ont, elles, pour vocation de détecter des flux réseaux inhabituels au sein du système d’information (SI) en se basant sur d’autres critères précis – comme le volume, la fréquence, la date ou encore la source des échanges. En cas de comportement suspect, le NDR est également en mesure de mener des actions sur le réseau pour endiguer une éventuelle menace (mise en quarantaine d’une partie du réseau, coupure de certains types d’échanges, etc.). Tandis que l’EDR détecte les évènements se déroulant sur un poste, le NDR remonte ceux se produisant entre chaque poste.
MDR et XDR, l’union fait la force
Les technologies EDR et NDR nous permettent aujourd’hui de surveiller deux périmètres distincts d’un SI. Cependant, sans analyse humaine, aucune corrélation n’est possible entre ceux-ci. De plus, certaines entreprises ne disposent pas des ressources suffisantes pour exploiter pleinement ces différents outils. C’est pour répondre à ces deux problématiques que l’XDR – Extended Detection and Response – et le MDR – Managed Detection and Response – ont émergé.
Les outils XDR, en premier lieu, rassemblent plusieurs concepts de surveillance en une seule solution. Ce regroupement permet aux entreprises et organisations de se focaliser sur une unique solution pour gérer la sécurité de leur SI et, ainsi, éviter une dispersion de leurs ressources d’analyse liée à la multiplication des outils de sécurité.
Un XDR pourra à la fois surveiller les terminaux, les échanges entre ceux-ci mais il pourra également utiliser des sources d’informations externes afin d’ajouter encore davantage de contexte aux évènements se produisant sur le SI – grâce à la Cyber Threat Intelligence (CTI). Les solutions XDR sont donc en mesure d’identifier le schéma d’attaque d’un groupe d’attaquants et de réagir en conséquence. En outre, cette réaction peut être personnalisée grâce aux différentes options de réactions proposées par l’XDR – souvent plus approfondies que celles proposées indépendamment par un EDR ou un NDR.
Et le MDR dans tout cela ?
Il s’agit tout simplement de la notion du service associé à ces différentes technologies, et donc de la délégation de la gestion complète d’un ou plusieurs outils de sécurité à une équipe d’experts extérieure formée sur ces technologies – et au fait des bonnes pratiques concernant les procédures de gestion des alertes. Le traitement des alertes est ainsi accéléré et les équipes internes se voient soulagées d’une partie de la charge d’analyse.
Ces technologies, qui de prime abord pourraient sembler similaires, ont toutes leurs particularités. Elles répondent à des problématiques et enjeux spécifiques. Outils de sécurité (EDR, NDR, XDR) – permettant de superviser tout ou partie d’un système d’information – ou services d’exploitation de ces derniers (EDR-as-a-Service, MDR), faire la distinction entre ces différents concepts est essentiel pour adopter une bonne stratégie de supervision. Finalement, une bonne connaissance de ses actifs et de ses besoins en termes de sécurité constitue aujourd’hui une condition indispensable dans l’élaboration de cette stratégie.