EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).
Démo live sur l’efficacité opérationnelle de SEKOIA.IO
EDR est l’acronyme de Endpoint Detection and Response. Le terme EDR est apparu pour la première fois en 2013 dans une analyse de la société de conseil Gartner. Analysant le fait que les hackers ciblent prioritairement les postes de travail des salariés, Gartner a introduit le concept de “Endpoint Detection and Response” pour désigner une solution de sécurité permettant de détecter et de remédier aux cybermenaces ciblant les terminaux (ordinateur, serveur).
Comment fonctionne un EDR ?
Depuis quelques années, les entreprises sont la cible d’attaques sophistiquées à l’aide de menaces connues et inconnues (appelé zero-day ou 0day). Appelée APT pour Advanced Persistent Threat, ces menaces avancées utilisent le plus souvent plusieurs vecteurs d’attaques simultanément permettant à terme d’infecter une machine puis de se propager sur les systèmes informatiques de l’entreprise. Face aux cyber attaques par ransomware, emails (phishing, spear phishing), chevaux de Troie, logiciels-espions, les antivirus traditionnels n’étaient plus en capacité d’endiguer la menace. Et pour cause, les antivirus et autres EPP (Endpoint Protection Platform) fondées sur des signatures ne peuvent détecter que les menaces qui ont déjà été vues telles quelles. Or les groupes d’attaquants sont désormais passés maîtres dans l’art de la dissimulation pour éviter ce type de détection. Rappelons qu’en 2020, 1600 entreprises dans le monde ont annoncé avoir été la cible d’une attaque par ransomware.
EDR vs antivirus
Lorsqu’un logiciel antivirus traditionnel s’appuie sur une base de données de signatures, il n’est pas en capacité de détecter un code malveillant si la signature de ce dernier n’est pas incluse dans sa base de connaissances. Avec l’émergence des malware polymorphes (même souche de virus, mais empreinte différente), l’efficacité d’une analyse antivirus a été fortement réduite. Pour répondre à cette problématique, la technologie ou solution EDR a pour rôle de détecter et d’analyser, d’alerter et de neutraliser la menace sur la base de l’observation comportementale du système couvert. Plutôt que de se reposer sur une base de connaissances, une solution EDR (endpoint detection response) a une capacité d’analyse autonome.
L’EDR, une capacité de détection semi-autonome.
Grâce à des modèles supervisés de données (IA) et à l’aide de l’analyse comportementale, l’EDR recherche des comportements malveillants et scénarios anormaux. Une solution EDR a par exemple, la capacité de détecter les scénarios suivants :
- Compilation d’un exécutable.
- Lancement d’une commande PowerShell avec l’utilisation de paramètres offusqués.
- Modification de la base de registre de Windows.
- Exécution d’une macro à partir d’une pièce-jointe.
- Connexions indésirables.
- Accès à des données sensibles par un individu malveillant.
- Authentification à l’aide d’un mot de passe depuis une IP non autorisée.
La technologie EDR permet une remédiation quasi-instantanée.
Si une machine est infectée, l’EDR a la capacité de remédier automatiquement la menace. Suppression d’un virus, arrêt d’un processus en cours (Kill du PID), l’EDR apporte une capacité de réponse quasi instantanée. Dans le cas d’une intervention humaine, les principales solutions EDR permettent également d’ouvrir un shell et de taper des commandes sur la machine infectée.
Detection engineering : l’art de la création de règles de détection.
EDR vs XDR
L’EDR, un atout précieux pour le Threat Hunting mais à ne pas utiliser tout seul
La technicité et l’évolution rapide des techniques des pirates informatiques démontrent le besoin de recherche, d’analyse et de cartographie de ces stratégies d’attaques. Un outil autonome n’aura jamais la capacité de détecter 100% des menaces potentielles. S’il n’a jamais cartographié préalablement une stratégie similaire, la menace ne sera pas détectée. En collectant des données contextualisées, l’EDR permet d’apporter des informations précieuses aux équipes d’analystes.
Le XDR pour étendre votre capacité de détection des menaces informatiques
Chez SEKOIA.IO, nous mettons à la disposition de nos usagers (des équipes SOC), une plateforme de sécurité opérationnelle SOC regroupant « la puissance d’un SIEM, l’agilité, l’ouverture d’une technologie XDR et l’efficacité d’un SOAR, pilotés par le renseignement ». Grâce à sa capacité à interconnecter toutes vos solutions de sécurité (on-premise ou SaaS), vous disposez d’une visibilité étendue sur l’ensemble des évènements de sécurité pouvant avoir lieu au sein de l’infrastructure numérique. Puis, la présence d’une CTI (Cyber Threat Intelligence) actionnable; matérialisée par des indicateurs de compromission et un moteur de détection en temps réel au format SIGMA correlation, vous permet de détecter les menaces les plus récentes; contextualiser les alertes et enrichir vos investigations autour des scénarios d’attaques très avancées. Enfin, vous trouverez parmi nos playbooks, le moyen d’automatiser une réponse unifiée aux incidents détectés; et ce à partir d’une console unique.
Vous pouvez également consulter notre définition sur le : XDR (eXtended Detection and Response), CTI (Cyber Threat Intelligence).
Vous consultez pour la première fois notre site web ? Sachez que nous sommes un éditeur de logiciels de cybersécurité. Nous fournissons aux équipes cyber et MSSP une plateforme de sécurité opérationnelle clé en main. À travers notre plateforme XDR, notre outil CTI et notre plateforme de Threat Intelligence, nous permettons à nos usagers de neutraliser les menaces informatiques, quelle que soit la surface d’attaque.