Endpoint Detection and Response, est une notion assez récente qui désigne un logiciel permettant de détecter les menaces complexes connues et inconnues présentes sur les terminaux. Cette technologie a été utilisée pour la première fois en juillet 2013 par Anton Chuvakin, A cette époque le Gartner a estimé que le marché des logiciels antivirus traditionnel devient obsolète et que pour les années à venir les sociétés doivent migrer vers des solutions plus intelligentes telles que l’EDR.

De nos jours avec un nombre croissant d’appareils connectés et des cyberattaques de plus en plus fréquentes et complexes, une solution EDR est une approche nécessaire et émergente pour la sécurité informatique de chaque entreprise.

 

 Comment ça marche ?

Qu’est-ce que la détection et la réponse des points d’accès (EDR)?

C’est une solution basée sur de l’intelligence artificielle capable de détecter et d’empêcher les menaces les plus complexes sans signature connue ,c’est donc un outil puissant face aux attaques zéro-day et contre les APT Advanced Persistent Threat menaces (Malwaresvirus, attaques zero Daymenaces persistantes avancées, …).

L’EDR a la capacité d’agir en mode monitoring, mais peut également proposer des capacités de mise en quarantaine, du sandboxing afin d’apporter des capacités de réponses supplémentaires face aux menaces.

La différence entre AV et EDR

  •  Les solutions antivirus traditionnelles : gèrent la sécurité en surveillant les fichiers potentiellement malveillants sur un réseau ou un point final. Il utilise une base de données de fichiers historiquement malveillants et analyse le réseau pour identifier les menaces et les supprimer.
  • L’EDR surveille le comportement sur un réseau au lieu de s’appuyer sur une base de données historique. Il surveille et collecte les données des points de terminaison et signale toute activité malveillante.

Ainsi, la recherche de menaces via une solution EDR permet aux services informatiques d’enquêter et de résoudre de manière proactive les menaces.

Les méthodes utilisées par la solution EDR

• Surveillance et analyse 24h/24h des données des terminaux
• Agents de collecte de données
• Actions système automatisées basées sur des règles
• Moteurs d’analyse en temps réel

 

Pourquoi la solution EDR est la nouvelle norme en matière de sécurité ?

Nouvelles conditions

• Développement du travail à distance
• Généralisation des appareils mobiles
• Des hackers de plus en plus dangereux et motivés par le gain d’argent
• Augmentation des cyberattaques de plus en plus sophistiquées

Désormais, les attaquants utilisent des techniques qui permettent de passer outre les logiciels antivirus et les systèmes de détection des intrusions traditionnels.

Les forces de l’EDR

L’ EDR est caractérisé par ses capacités de détection, dinvestigation et enfin de remédiation.

  • Une détection intelligente en temps réel

Grâce à la surveillance des activités et à l’analyse comportementale, L’EDR détecte les incidents avant qu’elles n’agissent afin d’isoler l’appareil cible pour éviter que

la menace ne se répande dans le réseau. Il garde l’appareil en isolement jusqu’à ce que la menace soit prise en charge.

  • Investigation intuitive et complète

Grâce au recueil des informations sur les menaces et à une visibilité détaillée, l’EDR facilite les investigations. En effet les

évènements relatifs à l’ensemble des terminaux du parc informatique sont corrélés et remontés dans une plateforme centralisée qui permet d’étendre

l’apprentissage.

  • Remédiation Efficace

Les alertes en temps réel que l’EDR fournit aux équipes de sécurité peuvent aider l’organisation à repérer les premiers stades d’une menace, et à agir pour

éviter l’attaque. En cas d’attaque L’EDR fournit des fonctionnalités qui facilitent grandement les investigations et les mesures de remédiation.

Grâce à la détection des anomalies par apprentissage automatique, Endpoint Detection and Response offre une détection, un isolement et une prévention

rapide des menaces, ainsi qu’une remédiation efficace, sans affecter la performance des points de terminaison.

Fonctions principales

1. Une collecte des données télémétriques qui est généralement assurée par un agent installé sur chaque terminal
2. Envoi des données de chaque agent de terminal à la plateforme EDR centrale
3. Corrélation et analyse des immenses quantités de données collectées à l’aide d’algorithmes et de moteurs de machine learning.
4. Signalement et traitement des activités suspectes en cas d’événement ou d’activité jugés suspects par la plateforme EDR
5. Rétention des données en vue de leur réutilisation à traquer les menaces de manière proactive

 

Comment exploiter au maximum une solution EDR ?

L’organisation doit :

1. Externaliser la solution EDR à une société experte en sécurité
Les solutions de sécurité EDR peuvent générer des dizaines de milliers d’alertes chaque jour, dont la plupart seront au final des faux positifs. Pour exploiter les avantages de la solution, les organisations doivent avoir les compétences humaines nécessaires en sécurité, Cet investissement est souvent coûteux, entre l’acquisition de la solution et le recrutement d’un analyste qualifié.
Un service managé par une société spécialisée en sécurité sera la meilleure solution pour réduire les coûts et pour une sécurité optimale.
Cliquez ici, pour en savoir plus sur notre service managé Proximity secure.

2. Choisir la solution en fonction de leurs besoins précis
Les entreprises doivent passer du temps à étudier les produits proposés par différents éditeurs pour faire le bon choix.

3. Utiliser l’EDR en complément
L’EDR est un excellent complément qui s’intégrera parfaitement avec l’antivirus traditionnel.

 

En conclusion

La solution EDR est la nouvelle norme en matière de sécurité. En effet, elle est mieux adaptée à la prévention des cyberattaques que les antivirus classiques, grâce à la surveillance et à la collecte des données elle donne aux services informatiques un moyen d’enquêter et de résoudre de manière proactive les menaces avant qu’elles ne conduisent à une violation de données.

Cliquez ici pour plus de détails sur Notre service managé de sécurité informatique