Pourquoi choisir de l’EDR 

L’industrie des logiciels antivirus existe depuis plus de trente ans, mais elle n’est pas parfaite. En fait, le système présente encore d’importantes failles de sécurité qui nous rendent vulnérables aux attaques. 

 Le problème est que la plupart des logiciels antivirus reposent sur une détection basée sur les signatures, ce qui signifie qu’ils comparent les fichiers à une base de données de fichiers malveillants connus. Lorsqu’une nouvelle variante de virus apparaît, elle peut causer des dégâts incalculables avant d’être détectée et signalée par les éditeurs de logiciels antivirus. 

Malgré la sophistication des attaques de logiciels malveillants d’aujourd’hui, les logiciels antivirus peuvent être lents et encombrants. 

Les logiciels antivirus sont conçus pour bloquer les attaques individuelles au niveau des postes de travail sans voir le réseau dans son ensemble, ce qui rend difficile la recherche de la source d’une infection. 

De nombreux cybercriminels réutilisent ou achètent des logiciels malveillants et des vulnérabilités, y compris des failles qui datent de plus de dix ans et que nous rencontrons encore aujourd’hui. 

Les pouvoirs de l’EDR  

L’EDR est un outil qui protège contre les menaces inconnues et les logiciels malveillants. Il fonctionne avec l’antivirus NextGen pour bloquer les attaques de type « zero-day ». L’EDR surveille les actions des terminaux (c’est-à-dire des ordinateurs) plutôt que des réseaux. Cela permet de détecter les attaques sans fichier qui utilisent des commandes PowerShell, par exemple. 

L’EDR a trois capacités principales : la recherche, l’enquête et la résolution. 

Recherche 

L’EDR est capable de surveiller la façon dont les pirates exploitent les failles de sécurité d’un ordinateur en analysant les appels au noyau et les différents services qui sont souvent ciblés. Cette capacité à surveiller et à corréler les événements permet à l’EDR de reconnaître les méthodes et les habitudes des pirates, qui sont souvent difficiles à prévenir. 

L’analyse comportementale permet aux EDR de reconnaître et d’arrêter les comportements indésirables. Par exemple, si un attaquant tente d’établir une connexion sur un port standard d’un serveur extérieur au SI, cette séquence d’actions sera considérée comme anormale et sera bloquée par l’EDR. Cette visibilité est une grande force de l’EDR car elle permet une remédiation à la source de l’infection. 

L’Enquête 

Vous pouvez voir les points d’accès affectés et remonter la piste de l’attaque. Il s’agit d’un outil exceptionnel qui s’interface avec votre système de gestion des informations et des événements de sécurité (SIEM) et offre une visibilité sur les terminaux. En outre, votre SOC sera en mesure d’utiliser l’EDR pour récupérer à distance les artefacts de l’attaque. 

Comme vous vous en souvenez peut-être, l’EDR est un outil qui permet d’observer des séquences d’actions aux résultats hautement suspects. Cette visibilité des processus est très utile pour les enquêtes car elle permet de corréler les actions et de les rapporter à une plateforme centralisée qui permet d’étendre l’information à tous les autres terminaux. Si une attaque est détectée sur cinq terminaux, la console centralisée transmettra l’information à tous les autres. 

Résolution 

L’EDR est un outil puissant qui peut vous aider à résoudre les problèmes de votre ordinateur. Il s’apparente à un antivirus de nouvelle génération, qui lui permet de bloquer, de supprimer et de mettre en quarantaine des fichiers. Votre centre de sécurité peut également utiliser cet outil pour nettoyer les clés de registre et même effectuer des opérations ciblées en mémoire pour corriger les actions des logiciels malveillants. 

L’EDR doit être accompagner 

La détection et la réponse des points finaux (EDR) est un outil essentiel pour renforcer la sécurité de vos systèmes d’information. Il ne s’agit pas d’une solution autonome, mais plutôt d’un complément efficace aux solutions de sécurité existantes telles que les antivirus traditionnels, le SIEM et la sécurité du réseau. En étendant la visibilité du système d’information aux points d’extrémité, l’EDR améliore et renforce la sécurité globale du SI, tout en fournissant des capacités supplémentaires à votre centre d’opérations de sécurité.