Lorsque les mécanismes de prévention échouent, les outils EDR - Endpoint Detection and Response - permettent une réaction rapide qui réduit au minimum les dommages.
En cas de cyberattaque, chaque seconde compte. Les pertes dues à une attaque peuvent se multiplier à chaque minute qui passe. C'est pourquoi la détection précoce est essentielle pour minimiser l'impact d'une cyberattaque. Les outils EDR sont un allié précieux lorsqu'il s'agit d'atténuer rapidement un danger incident de cybersécurité.
Importance de réagir à temps

Plus les cybercriminels passent inaperçus sur un réseau d'entreprise, plus ils collectent de données et plus ils se rapprochent des actifs critiques de l'entreprise. C'est pourquoi les entreprises devraient freiner cyber-attaques en réduisant le temps d'exposition et les arrêter avant que les dommages ne soient irréparables.
En 2013, le cabinet de conseil Gartner Group a défini les outils EDR comme une nouvelle technologie de cybersécurité qui surveille les terminaux sur un réseau, offrant un accès immédiat aux informations sur une attaque en cours. Selon Gartner, en plus de donner de la visibilité aux informations d'attaque, les outils EDR aident le personnel de sécurité informatique à réagir rapidement, soit en mettant en quarantaine l'appareil attaqué, en bloquant les processus malveillants ou en exécutant des procédures de réponse aux incidents.
Qu'est-ce qu'un périphérique d'extrémité?
In de mise en réseau, un point de terminaison est défini comme tout appareil connecté aux bords d'un réseau de données. Cela comprend tout, depuis les ordinateurs, les téléphones et le service client kiosques, aux imprimantes, aux terminaux de point de vente (POS) et aux appareils IoT (Internet des objets). Collectivement, les terminaux posent des défis aux administrateurs de sécurité réseau, car ils constituent la partie la plus exposée du réseau et créent des points de pénétration potentiels pour les cyberattaquants.
Composants de base de l'EDR
Les outils EDR sont constitués de trois composants nécessaires:
- Collecte de données - des composants logiciels qui s'exécutent sur les terminaux et collectent des informations sur les processus en cours d'exécution, les connexions et les canaux de communication ouverts.
- Détection - qui analyse l'activité régulière du terminal, détecte les anomalies et signale celles qui pourraient signifier un incident de sécurité.
- L'analyse des données - qui regroupe les informations de différents points de terminaison et fournit des analyses en temps réel sur les incidents de sécurité à travers le réseau de l'entreprise.
L'une des caractéristiques souhaitables d'une solution EDR est l'identification intelligente des Indicateurs de compromis (IoC) sur les terminaux. Ces indicateurs permettent de comparer les informations d'un incident en cours avec les données enregistrées lors d'événements précédents, d'identifier rapidement la menace et de ne pas perdre de temps avec l'analyse qui ne serait pas utile pour arrêter l'attaque.
Les autres aspects clés des solutions EDR sont analyse médico-légale et des alertes qui informent le personnel informatique lorsqu'un incident se produit, leur donnant un accès rapide à toutes les informations sur l'incident. Un contexte adéquat et facilement accessible de l'incident est essentiel pour que le personnel de sécurité dispose de tout ce dont il a besoin pour enquêter. Il est également important que la solution EDR fournisse une fonctionnalité de suivi, à la fois pour identifier les autres points de terminaison affectés par l'attaque et pour déterminer le point de terminaison utilisé pour pénétrer le réseau.
Les réponses automatisées sont également un aspect souhaitable d'une solution EDR. Ces réponses consistent en des initiatives proactives, telles que le blocage de l'accès au réseau, le blocage de processus individuels ou la prise d'autres mesures susceptibles de contenir ou d'atténuer l'attaque.
Jetons un coup d'œil à certains des meilleurs outils EDR que vous pouvez utiliser.
Heimdal Security
Heimdal propose une approche multicouche de l'EDR à travers une pile de technologies qui peuvent être personnalisées pour s'adapter à n'importe quel scénario d'entreprise et couvrir toutes les failles de sécurité potentielles. La solution EDR offre une chasse aux menaces, une surveillance continue, une analyse locale et cloud et un blocage des menaces avec la télémétrie du trafic de nouvelle génération.
La solution de Heimdal fusionne EPP avec EDR, obtenant un modèle de sécurité appelé E-PDR: Endpoint Prevention, Detection, and Response. E-PDR utilise une protection contre les attaques et des correctifs basés sur DNS, combinés à des stratégies de réponse immédiate qui repoussent les cybermenaces avancées de toutes sortes.

En utilisant une approche globale de l'analyse des données et en comparant les données collectées à partir des terminaux avec des sources de renseignements sur les menaces, Heimdal suit toutes les activités des terminaux et répond aux incidents de sécurité. En ajoutant l'option de gestion des droits de bureau, il couvre toutes les recommandations de projet de sécurité de Gartner dans une seule solution: # 1, Gestion des accès privilégiés, #2, Gestion de la vulnérabilitéet # 3 Détection et réponse.
Avantages
- Darklayer GUARD prend en charge le filtrage du trafic DNS, pour assurer la prévention, la détection et le blocage des menaces.
- VectorN Detection applique la détection comportementale d'apprentissage automatique pour rechercher intelligemment les menaces.
- X-Ploit Resilience effectue un inventaire automatisé des logiciels, une gestion des vulnérabilités et des correctifs logiciels automatisés.
- Thor AdminPrivilege est le module de gestion des accès de Heimdal, offrant une sécurité accrue des terminaux et une gestion des droits d'administration.
Kaspersky
La solution EDR de Kaspersky vise principalement à atténuer les attaques à large spectre et à plusieurs étapes. Implémenté sur la même plate-forme que Kaspersky Anti Targeted Attack (KATA), KEDR peut être combiné avec KATA pour détecter et répondre efficacement aux attaques dirigées contre l'infrastructure des terminaux du réseau.

La complexité des attaques à large spectre rend impossible leur identification au niveau du serveur ou du poste de travail individuel. Pour cette raison, KEDR automatise les processus de collecte de données et analyse automatiquement les activités suspectes tout au long de l'infrastructure des terminaux, en utilisant une combinaison d'apprentissage automatique, de big data et d'expertise humaine. En parallèle, la technologie System Watcher surveille le comportement de chaque application après son démarrage sur un serveur ou un terminal, afin d'identifier les comportements malveillants.
KEDR utilise une console unique pour la visualisation et la surveillance détaillées de tous les événements, y compris les détections reçues et les résultats de l'analyse des points finaux des indicateurs de compromission (IoC). Kaspersky compte un grand nombre de clients dans le segment des entreprises, ce qui maintient son réseau de sécurité alimenté par le type de menaces que les grandes entreprises doivent endurer.
Avantages
- Détection de comportement avec retour arrière automatique.
- Défenses mobiles contre les menaces et intégration EMM.
- Prévention d'intrusion basée sur l'hôte (HIPS).
- Évaluation des vulnérabilités et gestion des correctifs.
- Contrôle des applications avec liste blanche basée sur les catégories.
Bitdefender
Bitdefender GravityZone vise à minimiser la surface d'attaque des points de terminaison d'un réseau, ce qui rend difficile la pénétration des attaquants. Pour minimiser la surcharge au niveau du terminal, la solution offre des analyses des risques de comportement des terminaux et des utilisateurs dans un seul agent et une seule architecture de console.
Cette approche intégrée de la sécurité des terminaux réduit le nombre de fournisseurs, le coût global de possession et le temps nécessaire pour répondre aux menaces.

Grâce à une liste hiérarchisée compréhensible, le moteur d'analyse des risques de Bitdefender aide à renforcer les erreurs de configuration et de paramètres de sécurité des terminaux, en plus d'identifier les comportements des utilisateurs qui créent des risques de sécurité pour l'organisation. Bitdefender ajoute une nouvelle couche de sécurité des points finaux appelée Network Attack Defense, conçue pour empêcher les tentatives d'attaque utilisant des vulnérabilités connues.
Les attaques basées sur le flux réseau, telles que les mouvements latéraux, la force brute ou les voleurs de mots de passe, sont bloquées avant de pouvoir s'exécuter.
Avantages
- Protection des données via cryptage complet du disque module complémentaire.
- Apprentissage automatique ajustable, inspection des processus en temps réel et analyse du bac à sable pour fournir une détection et une élimination avant exécution des logiciels malveillants.
- Visibilité des attaques avant et après compromis.
- Recherche de données actuelles et historiques basée sur les IOC, les balises MITRE, les processus, les fichiers, les entrées de registre ou d'autres paramètres.
Snort
Renifler est un système de détection d'intrusion réseau (NIDS) open-source créé par Cisco Systems.
Il fonctionne comme un renifleur de paquets, qui examine les données lorsqu'elles circulent sur le réseau. Snort a son propre format de données, utilisé par de nombreux autres développeurs de systèmes de détection d'intrusion pour échanger des informations sur les menaces. Snort capture paquets réseau, les analyse et enregistre les résultats de l'analyse dans un fichier journal ou les affiche dans une console.

Snort peut également être utilisé simplement pour appliquer un ensemble de règles aux packages réseau et alerter l'utilisateur au cas où il identifierait un contenu malveillant. Il peut être utilisé sur un système de bureau individuel pour la protection personnelle, mais il peut prendre beaucoup de travail pour le configurer correctement pour l'utiliser efficacement.
De plus, il n'y a pas d'interface graphique standard pour faire toutes les configurations, donc ce n'est pas précisément un produit pour les débutants. Un grand nombre de documentation et d'exemples de fichiers de configuration peuvent être trouvés sur le site Web de Snort, ce qui simplifie le travail des administrateurs de la sécurité.
Avantages
- Système de prévention des intrusions le plus largement déployé: plus de 5 millions de téléchargements et plus de 600,000 XNUMX utilisateurs enregistrés.
- Compatible avec les systèmes d'exploitation x86 - Linux, FreeBSD, NetBSD, OpenBSD, Windows - et Sparc Solaris, PowerPC MacOS X, MkLinux, PA-RISC HP-UX.
- Nécessite une deuxième interface Ethernet pour «sniffer» et un gros disque dur pour enregistrer les données du journal.
- Il peut être utilisé pour détecter différents types d'attaques par injection SQL.
SentinelOne
Singularité, de SentinelOne, est une plate-forme complète de protection des points de terminaison (EPP) qui inclut la fonctionnalité EDR. Il offre certaines fonctionnalités qui le distinguent des autres. Parmi ceux-ci, notons la fonctionnalité de restauration des ransomwares, un processus de restauration qui annule les dommages causés par les attaques de ransomwares.

Les agents SentinelOne peuvent être facilement installés sur toutes sortes de points de terminaison: machines Windows ou Linux, périphériques POS, IoT, entre autres. Le processus d'installation est simple et rapide; les utilisateurs rapportent qu'il ne faut que deux jours pour que les agents soient opérationnels sur des centaines ou des milliers de terminaux tout au long de leurs réseaux d'entreprise.
L'interface utilisateur de SentinelOne offre une visibilité sur les processus sur chacun des points d'extrémité, ainsi que des outils de recherche et d'analyse médico-légale pratiques. L'évolution du produit est continue, avec l'ajout de nouvelles fonctionnalités à un rythme étonnant.
Avantages
- Technologie à agent unique: utilise un moteur IA statique pour la protection avant exécution.
- L'IA remplace la détection traditionnelle basée sur les signatures.
- IA comportementale pour l'exécution de processus, couvrant tous les vecteurs: malware basé sur fichier / sans fichier, documents, scripts, etc.
- Actions EDR automatisées: isolation du réseau, immunisation automatique des points de terminaison, retour des points de terminaison à l'état pré-infecté.
Sophos
Sophos Intercept X est une solution rapide, légère et à faible encombrement qui protège les points de terminaison d'un réseau contre les menaces auxquelles ils sont exposés. Sa principale qualité est de fournir des mécanismes de protection efficaces qui consomment peu de ressources sur les appareils clients.
Intercept X agit comme un agent de sécurité extrêmement dévoué, ce qui est excellent du point de vue de la défense. Mais les utilisateurs signalent qu'il peut bloquer plus d'événements qu'il ne le devrait, ce qui peut conduire à de nombreux faux positifs lors de l'identification des menaces.

L'outil offre une plateforme cloud de gestion centralisée, qui offre un emplacement unique à partir duquel contrôler la protection des serveurs et des points de terminaison. Cette plate-forme simplifie le travail des administrateurs système en facilitant la vérification de l'état des menaces détectées, l'analyse des accès aux URL bloquées, etc. De plus, elle offre une fonctionnalité de pare-feu qui complète son utilité en tant que antivirus.
Avantages
- Conçu pour les analystes de sécurité et les responsables informatiques.
- Disponible pour Windows, macOS et Linux.
- Requêtes SQL personnalisables pour accéder jusqu'à 90 jours de données historiques et en direct.
- Hiérarchisation des incidents basée sur l'apprentissage automatique.
CrowdStrike
Pour les petites et moyennes entreprises qui ne peuvent pas se permettre une équipe de spécialistes en sécurité informatique, Faucon de CrowdStrike terminé La solution offre de faibles coûts d'acquisition, de déploiement et de maintenance.
Malgré ses faibles coûts, son efficacité n'est pas inférieure à celle des autres solutions. Les utilisateurs de Falcon Complete soulignent sa rapidité et sa proactivité, garantissant que dès que les administrateurs système sont avertis d'une menace, celle-ci a déjà été bloquée et supprimée par l'outil EDR.

En complément de la solution EDR Falcon, CrowdStrike propose un service géré de détection, de chasse et de suppression des menaces qui se distingue par sa rapidité et sa précision. Le service est idéal pour libérer le personnel des systèmes de l'entreprise cliente pour des tâches plus étroitement liées à son entreprise, plutôt que de perdre du temps à gérer des menaces que les analystes de CrowdStrike savent repousser.
Avantages
- Utilisation des IOA (indicateurs d'attaque) pour identifier automatiquement le comportement des attaquants et envoyer des alertes prioritaires à l'interface utilisateur.
- La hiérarchisation des incidents réduit la fatigue des alertes (exposition continue à des alarmes fréquentes) de 90% ou plus.
- Cadre de détection basé sur MITRE et CrowdScore Incident Workbench.
- Le pilote en mode noyau de Falcon Insight capture plus de 400 événements bruts et les informations associées nécessaires pour retracer les incidents.
Carbon Black
De nombreux outils de sécurité utilisent un mécanisme de détection des menaces basé sur les signatures. Ce mécanisme obtient la signature de chaque menace éventuelle et la recherche dans une base de données, pour l'identifier et déterminer comment la neutraliser. Le principal problème de ce mécanisme est que lorsqu'une nouvelle menace survient, il faut du temps pour obtenir sa signature et pour que les outils de détection conventionnels apprennent à l'identifier.

Pour éviter le problème de la détection basée sur les signatures, des solutions telles que Noir de carbone utiliser des méthodes heuristiques pour détecter les menaces potentielles. Dans le cas particulier de Carbon Black, les utilisateurs affirment que l'outil est capable de détecter et de bloquer de nombreuses menaces avancées, bien avant que leurs signatures ne soient disponibles. Les outils d'analyse médico-légale de Carbon Black sont également très appréciés des utilisateurs en raison de la profondeur de leur analyse et du niveau de détail de leurs rapports.
L'outil VMware est idéal pour les équipes de sécurité avancées, vous permettant de définir des règles détaillées pour intercepter les attaques sur les terminaux, ainsi que de fournir des outils pour mener une recherche manuelle des menaces.
Avantages
- Sur site, cloud privé virtuel, SaaS ou MSSP.
- Automatisation via des intégrations et des API ouvertes.
- Remédiation à distance: Live Response permet aux intervenants en cas d'incident de créer une connexion sécurisée avec les hôtes infectés pour extraire ou pousser des fichiers, tuer des processus et effectuer des vidages de mémoire.
- Les données de point final enregistrées en continu fournissent aux professionnels de la sécurité les informations dont ils ont besoin pour chasser les menaces en temps réel.
Cynet 360
EDR de Cynet produit se distingue par l'utilisation de leurres de tromperie pour capturer et neutraliser les menaces. Les leurres peuvent être des fichiers, des comptes d'utilisateurs et des comptes d'appareils, qui sont installés sur le réseau autour des zones les plus sensibles, attirant des attaquants potentiels et les empêchant de pénétrer le réseau.

Les utilisateurs de Cynet 360 soulignent la facilité d'installation des agents sur les terminaux, ainsi que sa console bien présentée, qui offre des résultats détaillés et faciles à comprendre. L'outil logiciel est soutenu par un SOC (centre d'opérations de sécurité) composé d'ingénieurs malwares et de hackers éthiques, qui se mettent immédiatement en action lorsqu'un incident survient chez l'un de leurs clients.
L'architecture multi-tenant de la plate-forme Cynet convient aux revendeurs car elle simplifie le support pour de nombreux clients. D'autre part, les applications personnalisées qui affichent l'état de sécurité de toute l'entreprise sur les appareils Android, iOS et smart-TV permettent aux revendeurs d'offrir plus facilement Cynet 360 à leurs clients.
Avantages
- Déploiement à grande vitesse: jusqu'à 50 XNUMX hôtes / serveurs en une journée.
- Découverte et auto-déploiement automatisés sur de nouvelles machines.
- Protection des hôtes, des serveurs et des environnements virtuels.
- Compatibilité avec Windows, macOS et cinq versions de Linux.
Cytomic
Panda Security's Cytomique business unit propose une plateforme de sécurité spécialement conçue pour les grandes entreprises qui ont besoin de protéger les terminaux sur des réseaux répartis sur différents continents, avec différentes équipes opérationnelles sur chacun. La solution permet au personnel informatique de l'entreprise d'avoir une vision complète de la posture de sécurité à partir d'un point central, tandis que l'administration et le travail quotidien sont délégués aux équipes locales de chaque pays, chacune avec sa propre console d'administration.

Le déploiement des agents de sécurité sur les postes de travail et serveurs Windows s'effectue sans problème, bien que la compatibilité Linux ne soit pas garantie pour toutes les distributions. Un service de recherche de menaces fourni directement par Panda Security est un complément précieux à l'outil, car ils offrent une équipe de support toujours disponible, attentive et prête à vous aider en cas d'incident. Le coût de la solution est parmi les plus bas pour la gamme de produits adaptés aux entreprises.
Avantages
- Le service de chasse aux menaces est inclus dans les produits.
- Les attaques basées sur des exploits sont bloquées.
Recherche IoC rétrospective et en temps réel. - Les alertes avancées sont hiérarchisées et mappées sur le framework MITRE ATT & CK.
MVISION
Avec MVISION, McAfee propose une solution cloud nécessitant peu de maintenance qui permet aux analystes de sécurité de se concentrer sur la défense stratégique des réseaux, plutôt que de consacrer leur temps à des tâches d'administration de routine. Avec une technologie d'investigation des menaces basée sur l'intelligence artificielle, MVISION parvient à réduire les temps de détection et de réponse, en priorisant les incidents qui doivent être traités avec la plus grande urgence.

L'outil McAfee se veut un assistant pour les agents SOC en collectant, résumant et permettant la visualisation de l'infrastructure des terminaux à partir de plusieurs sources. De cette manière, il est possible de réduire le nombre de ressources requises dans le SOC. À son tour, pour simplifier l'installation et réduire les coûts de maintenance, MVISION peut être intégré à la plateforme de gestion McAfee ePolicy Orchestrator (ePO), qu'elle soit sur site ou SaaS.
Les utilisateurs de MVISION soulignent les réductions de coûts significatives (matériel, logiciels, consommation d'énergie du centre de données et temps consacré aux tâches de maintenance) obtenues après la mise en œuvre du McAfee Solution ED.
Avantages
- Protection en ligne / hors ligne iOS et Android contre le phishing, les attaques zero-day et la perte de données.
- Apprentissage automatique, défense contre le vol d'informations d'identification et restauration des capacités de sécurité de base du système d'exploitation.
- Gestion d'un seul volet de verre.
- Gestion sur site avec McAfee ePO ou gestion basée sur SaaS avec MVISION ePO.
Cybereason
Cybereason EDR utilise à la fois une approche basée sur les signatures et une approche comportementale pour identifier les menaces et réduire les risques dans son environnement.
Il peut détecter et bloquer automatiquement toutes sortes de ransomwares, y compris les attaques sans fichier. Toutes les informations pertinentes pour chaque attaque sont regroupées dans une vue intuitive appelée Malop - abréviation de Malicious Operation. Le Malop contient tous les éléments d'attaque associés, y compris toutes les machines et utilisateurs affectés, la cause première, les communications entrantes et sortantes, et même une chronologie de l'attaque.

Avec Cybereason EDR, les alertes peuvent être mappées sur le Framework MITRE ATT & CK, où les analystes peuvent comprendre la détection complexe d'un simple coup d'œil. De cette façon, le SOC réduit le temps nécessaire pour trier les alertes, accélérer la priorisation et la correction. Les équipes d'experts de Cybereason surveillent votre environnement 24 heures sur 7, XNUMX jours sur XNUMX, réagissent activement aux menaces et étendent la capacité de votre propre équipe de sécurité.
Une plate-forme de surveillance unique donne une vue de toutes les activités malveillantes sur chaque machine et chaque processus. Les agents de sécurité peuvent afficher l'ensemble de l'arborescence des processus avec une chronologie détaillée des événements et, d'un simple clic, ils peuvent tuer des processus, mettre des fichiers en quarantaine, supprimer des mécanismes de persistance, empêcher l'exécution de fichiers et isoler des machines.
Avantages
- La recherche de fichiers interactive et la prise en charge des règles YARA natives nous permettent de découvrir des fichiers malveillants sur les machines Windows, macOS et Linux.
- Cybereason Deep Response permet à votre équipe d'extraire des vidages de mémoire, des fichiers de registre, des journaux d'événements, MFTet les informations de transaction NTFS.
- Temps de déploiement aussi peu que 24 heures, avec des options cloud ou sur site.
- Le composant Cybereason Threat Finder recherche les activités, tactiques et procédures malveillantes utilisées par les attaquants dans des campagnes réelles.
ESET
Inspecteur d'entreprise ESET fonctionne en collaboration avec ESET Endpoint Protection Platform pour fournir une solution de prévention complète pour se protéger contre les ransomwares, détecter les menaces persistantes avancées, arrêter les attaques sans fichier et bloquer les menaces zero-day. Il utilise un moteur de détection unique basé sur le comportement et la réputation, qui est totalement transparent pour les SOC.
Toutes les règles peuvent être modifiées via des fichiers XML pour permettre un réglage fin.

La solution ESET permet aux développeurs d'intégrer leurs solutions via une API qui permet d'accéder aux données de détection / correction. De cette façon, ils peuvent intégrer des outils tels que des systèmes de billetterie, SIEM (informations de sécurité et gestionnaire d'événements), SOAR (automatisation de l'orchestration de la sécurité et réponse), entre autres.
Une autre fonctionnalité exceptionnelle d'Enterprise Inspector est sa capacité PowerShell à distance, qui permet aux ingénieurs de sécurité d'inspecter et de configurer à distance les points de terminaison.
Conclusion
En laissant de côté les éventuelles différences de coûts, de performances de détection ou de fonctionnalités à valeur ajoutée, tous les outils mentionnés dans cet article remplissent la tâche de protéger l'infrastructure des terminaux d'un réseau. Il est important de choisir l'outil le plus adapté aux besoins de chaque entreprise, mais le plus important est d'agir sans délai, en étant conscient des menaces auxquelles points de terminaison du réseau sont exposés et protégez-les avec un outil EDR d'une efficacité prouvée.
-
Salut, j'aspire à créer des designs conscients qui contribuent à améliorer la vie humaine. C'est tout mon métier principal, en une phrase. lire la suite