EDR et NDR : des technologies complémentaires
EDR et NDR : des technologies complémentaires
Endpoint Detection & Response
Origines de l’EDR
L’Endpoint Detection & Response a été créé pour pallier les limites de l’antivirus classique. En effet, les solutions historiques antivirales ont rapidement perdu de leur pertinence dans un monde où il faut également faire face à des menaces Zero day. Quand les cybermenaces deviennent de plus en plus sophistiquées, il devient nécessaire de pouvoir cibler le plus de types de canaux (ordinateur, mobile, serveur, réseau…) possibles.
L’EDR est aujourd’hui le type de solution de cybersécurité le plus adopté par les entreprises. Il permet à n’importe quelle organisation, de bénéficier d’une simplicité d’installation et de configuration, mais aussi de la couverture de sécurité polyvalente proposée par les acteurs présents sur le segment.
Fonctionnalités de l’EDR
Une solution Endpoint Detection & Response se matérialise sous forme d’un agent de sécurité installé sur les postes de travail et/ou les serveurs. Ce dernier collecte les données remontant des différents canaux analysés et permet une mise en relation pour détecter les activités malveillantes et de prendre des actions de remédiation.
Surveillance en temps réel à 360°
L’EDR étant installé grâce à un agent on-device, tout le flux peut être analysé en temps-réel. Téléchargement de fichiers, navigation internet, paramètres réseau, … tous les canaux, vecteurs de menaces, sont sous surveillance.
Détection des menaces avancées
Les solutions EDR protègent efficacement contre les menaces de type ransomware, botnet, trojan… qu’ils soient connus ou non. Allant bien au-delà de la simple analyse virale, l’analyse comportementale des EDR permet de détecter des indicateurs de menaces beaucoup plus fins et pertinents.
Investigation et remédiation
Le travail d’investigation peut être encore plus poussé. En corrélant plusieurs éléments entre eux, il est possible d’enclencher des actions de remédiation (mise en quarantaine d’un terminal, désinstallation d’un fichier par exemple) et d’informer l’utilisateur sur la menace.
Bénéfices de l’EDR
Visibilité étendue
L’agent de sécurité installé a une vue d’ensemble sur la quasi-totalité du système d’information. La puissance de l’EDR réside aussi dans sa capacité à avoir une vision globale en temps-réel, tout en faisant un focus sur un terminal précis ou une connexion à l’instant T.
Autoapprentissage continue
Les solutions EDR utilisent des principes d’IA et de machine learning pour identifier les menaces connues ou de type Zero Day. En combinant de l’analyse statique et dynamique, les malwares, par exemple, pourront être identifiés avant ou après leur exécution.
Intégration avec l’écosystème existant
Les éditeurs de solutions EDR ont rapidement compris l’intégrer de pouvoir s’intégrer avec d’autres acteurs. Certains éditeurs ont fait le choix d’évoluer leur technologie vers de l’XDR (eXtended Detection & Response). D’autres constructeurs ont pris une autre voie et privilégié une synchronisation par API avec différentes solutions de type SIEM ou SOAR afin que les données puissent être analysées et exploitées à un seul endroit par les équipes de sécurité.
Network Detection & Response
Origines du NDR
Pour analyser le réseau, des solutions d’analyse du trafic sont disponibles depuis de longues années maintenant. Pour autant, celles-ci n’ont pas vocation à agir en profondeur et plus précisément contre les menaces exploitant le réseau. Ce n’est que très récemment, en 2020 avec Gartner, que le terme Network Detection & Response est né.
Fonctionnalités du NDR
Le Network Detection & Response identifie et stoppe les menaces réseau évasives. La solution analyse des données brutes pour détecter les comportements anormaux et prendre des mesures de remédiation.
Contrôle en temps-réel
Avec une visibilité complète sur les échanges réseaux, la moindre anomalie avérée peut remonter sous forme d’alerte sur la plateforme. Le NDR agit notamment lorsqu’il y a tentative d’intrusion. La détection est assurée et permet de prendre très rapidement les mesures correctives qui s’imposent pour stopper net l’attaquant et retracer son parcours.
Analyse de tous les échanges
Quid des échanges chiffrés ? Une grande partie des échanges se font se manière sécurisés mais un NDR est malgré tout capable de déceler de l’information. Au lieu de lire et d’interpréter le contenu d’un paquet réseau, il analyse les métadonnées et identifie les changements de comportements en cours.
Investigation approfondie
Les plateformes NDR collectent une quantité importante d’informations et sont capables de donner du contexte à chaque action. Elles peuvent notamment identifier : les tentatives de reconnaissance du réseau, les identifiants utilisés dans le cadre de mouvement latéral, les accès à des fichiers importants, les sites de Command & Control qui sont contactés, … Avec cette vue d’ensemble, les faux positifs sont réduits et les alertes mieux catégorisées.
Bénéfices du NDR
Surveillance de chaque machine possédant une IP
Contrairement à une solution EDR, la technologie NDR va être directement installée sur les équipements réseaux qui gèrent le traffc : switchs, TAP, … Cela ouvre la possibilité de sécuriser des machines qui étaient jusqu’à là délaissées ou trop peu couvertes : imprimantes, dispositif de domotique, machines industrielles, matériel médical, etc.
Intégration étendue
Les différents acteurs du NDR offrent des intégrations avancées avec des plateformes de centralisation SIEM ou SOAR. Cette fonctionnalité est d’autant plus intéressante que l’entreprise sécurisée possède déjà une solution EDR, MDM etc. et qu’elle souhaite regrouper toutes ses données à un seul et même endroit.
Combiner les deux technologies pour une couverture étendue
Les technologies EDR et NDR protègent les entreprises en analysant des métriques de sécurité et prennent des actions correctives. Elles agissent sur un périmètre différent et sont à ce titre, complémentaires.
Le NDR va se focaliser sur les échanges réseaux entre différentes machines tandis que l’EDR va analyser les différentes actions effectuées sur un ordinateur, un mobile ou un serveur.
La couverture des menaces est également différente :
- EDR : surveille l’apparition de vulnérabilités, le téléchargement de fichiers ou d’exécutables malveillants. Détecte les malwares qui ont une signature virale ou non.
- NDR : Identifie les mouvements latéraux, l’utilisation d’identifiants inappropriés, les communications avec un serveur C&C et plus globalement toute anomalie de communication réseau.
Si disparités il y a, la bonne nouvelle est que les deux technologies fonctionnement parfaitement ensemble. Car en combinant les forces de l’EDR et du NDR, vous profitez d’une couverture étendue de votre système d’information.
