Ladétection et la réponse au niveau des terminaux (EDR) restent un élément fondamental de la cybersécurité moderne. Elle offre une visibilité approfondie de l'activité des terminaux tels que les ordinateurs portables, les serveurs et les postes de travail, ce qui permet aux équipes de sécurité de détecter les comportements suspects, d'enquêter sur les incidents et de répondre aux menaces plus efficacement qu'avec les outils antivirus traditionnels.

Les limites de l'EDR

Cependant, l'évolution rapide des techniques d'attaque a mis en évidence les limites d'une sécurité centrée uniquement sur les points d'accès. Aujourd'hui, les cyberattaques se produisent rarement sur un seul appareil. Au contraire, elles se déploient dans des environnements hybrides complexes qui incluent des services en nuage, des utilisateurs distants, des plateformes SaaS, des technologies opérationnelles et des appareils non gérés.

Dans cet environnement, les attaquants n'ont plus besoin de franchir un seul périmètre. Il leur suffit d'obtenir un accès quelque part dans l'environnement et de commencer à s'y déplacer.

C'est la raison pour laquelle les organisations reconnaissent de plus en plus que l'EDR ne peut à lui seul fournir la visibilité nécessaire pour stopper les cyberattaques modernes. Pour détecter et répondre efficacement, les équipes de sécurité doivent étendre la visibilité au réseau lui-même en utilisant la détection et la réponse réseau (NDR).

 

edr-1

 

Le réseau moderne est une gigantesque surface d'attaque

Il fut un temps où les réseaux d'entreprise étaient relativement simples. Les organisations opéraient à partir d'une poignée de bureaux connectés à un centre de données central. Les stratégies de sécurité étaient axées sur la défense d'un périmètre clairement défini.

Ce modèle a largement disparu.

Les environnements des entreprises d'aujourd'hui sont distribués, hybrides et en constante expansion. Les données résident sur des plateformes en nuage et dans des infrastructures sur site. Les employés travaillent à distance en utilisant des appareils personnels et professionnels. Les applications SaaS sont adoptées rapidement dans tous les services. Les dispositifs de l'Internet des objets, la technologie opérationnelle et les intégrations de tiers introduisent une complexité supplémentaire.

Du point de vue d'un défenseur, ces environnements peuvent apparaître comme des domaines distincts tels que les terminaux, le cloud, l'identité et le réseau. Les attaquants ne les voient pas de cette manière.

Pour un attaquant, l'ensemble de l'environnement représente une surface d'attaque unique et connectée.

Leur objectif est simple : prendre pied quelque part dans le réseau et commencer à élargir l'accès.

Comment les attaquants contournent les contrôles des terminaux

L'EDR reste une capacité défensive puissante, mais les acteurs de la menace conçoivent de plus en plus leurs techniques pour éviter ou désactiver les contrôles des points finaux.

Les attaquants sont devenus très efficaces dans l'exploitation des lacunes dans la visibilité des terminaux. De nombreux systèmes au sein des environnements modernes ne peuvent pas exécuter d'agents EDR, notamment les dispositifs d'infrastructure réseau, les systèmes hérités, les équipements IoT et les plateformes technologiques opérationnelles. Ces appareils peuvent constituer des points d'entrée idéaux dans le réseau.

Même lorsque l'EDR est déployé, les attaquants s'appuient fréquemment sur des techniques conçues pour échapper à la détection. Les attaques de type "Living off the land" utilisent des outils administratifs légitimes déjà présents sur les systèmes pour mener des activités malveillantes. Comme ces outils sont reconnus par le système d'exploitation, ils peuvent être difficiles à classer comme malveillants par les outils d'extrémité.

Dans certains cas, les attaquants désactivent les agents de sécurité après avoir obtenu un accès privilégié. Dans d'autres cas, ils opèrent entièrement en mémoire, évitant ainsi les fichiers malveillants traditionnels que les solutions EDR sont conçues pour détecter.

Les recherches menées par l'industrie mettent en évidence l'ampleur de ce défi. Plus de 50 % des violations majeures impliquent des attaquants qui contournent les contrôles des terminaux. De nombreuses attaques modernes couvrent également plusieurs domaines, impliquant simultanément la compromission des terminaux, l'abus d'identité, les mouvements de réseau et l'exploitation du cloud.

Le cahier des charges des attaquants : désactiver, éviter, tromper

Malgré la complexité des attaques modernes, la stratégie sous-jacente utilisée par de nombreux acteurs de la menace est étonnamment simple.

Les attaquants s'appuient généralement sur trois approches de base pour échapper à la détection :

  • Désactiver les contrôles de sécurité dans la mesure du possible.
  • Éviter les mécanismes de détection en utilisant des outils légitimes et des processus fiables.
  • Tromper les systèmes de sécurité en mêlant une activité malveillante à un comportement normal.

Grâce à cette approche, les attaquants peuvent contourner les technologies de prévention, échapper à la détection EDR et opérer discrètement dans l'environnement d'une organisation.

La vitesse accroît encore le défi pour les défenseurs. Une étude de CrowdStrike indique que les attaquants peuvent se déplacer latéralement sur les réseaux en seulement 48 minutes après la compromission initiale. Dans le même temps, le temps moyen dont disposent les organisations pour identifier et contenir les brèches peut s'étendre sur plusieurs mois.

Sans une visibilité plus large de l'environnement, les attaquants peuvent rester non détectés suffisamment longtemps pour escalader leurs privilèges, exfiltrer des données ou déployer des ransomwares.

Pourquoi la visibilité de l'EDR n'est pas suffisante

L'EDR fournit une vision détaillée de l'activité sur les systèmes individuels. Cependant, il ne permet pas toujours de saisir la trajectoire plus large de l'attaque lorsque les attaquants se déplacent dans l'environnement.

Les cyberattaques modernes impliquent généralement des déplacements latéraux dans les systèmes internes, l'utilisation abusive d'informations d'identification privilégiées et des communications secrètes avec des infrastructures de commandement externes. Ces activités génèrent souvent des signaux dans le trafic réseau plutôt que sur les terminaux eux-mêmes.

Par exemple, des schémas d'authentification inhabituels, des connexions internes inattendues et des transferts de données anormaux peuvent tous indiquer l'activité d'un attaquant. Sans visibilité sur le réseau, ces signaux peuvent rester cachés.

Cela crée un dangereux angle mort. Les équipes de sécurité peuvent surveiller de près les terminaux alors que les attaquants se déplacent discrètement sur le réseau.

Comment la NDR comble les lacunes en matière de détection

La détection et la réponse réseau comblent ces lacunes en matière de visibilité en analysant le trafic réseau dans l'ensemble de l'environnement. Plutôt que de s'appuyer sur les agents des terminaux, NDR observe les communications entre les systèmes, ce qui lui permet de détecter les comportements suspects sur les appareils gérés et non gérés.

Comme NDR se concentre sur le comportement du réseau, il peut identifier les activités des attaquants qui resteraient autrement invisibles pour les outils des points d'extrémité. Il s'agit notamment de mouvements latéraux entre les systèmes, de comportements d'authentification suspects, de trafic de commande et de contrôle dissimulé et de tentatives d'exfiltration de données sensibles.

Les plateformes NDR avancées utilisent l'analyse comportementale et l'apprentissage automatique pour établir une base de référence de l'activité normale du réseau. En cas d'anomalies, telles que des schémas de communication inhabituels ou des interactions inattendues entre appareils, les équipes de sécurité sont alertées pour enquêter.

Cela permet aux défenseurs d'identifier les attaques plus tôt dans la chaîne d'exécution et de réagir avant que des dommages importants ne se produisent.

Réduire le bruit et améliorer l'efficacité des SOC

La surcharge d'alertes constitue un autre défi majeur pour les centres d'opérations de sécurité. Les environnements de sécurité modernes génèrent un grand nombre d'alertes provenant de multiples outils à travers les couches endpoint, cloud, identité et réseau.

Chaque système peut produire des signaux précieux, mais lorsqu'elles sont considérées isolément, ces alertes manquent souvent de contexte. Les analystes doivent passer beaucoup de temps à enquêter sur les faux positifs et à corréler les événements entre les différents outils.

En introduisant la NDR, les organisations obtiennent une vision plus large de l'activité dans l'ensemble de l'environnement. La visibilité du réseau fournit un contexte qui aide les analystes à relier les événements suspects, à identifier plus rapidement les attaques réelles et à réduire le temps passé à enquêter sur des activités bénignes.

Les équipes chargées des opérations de sécurité gagnent ainsi en efficacité et en efficience.

Renforcer la résilience au-delà de la prévention

Les stratégies de sécurité se sont traditionnellement concentrées sur l'empêchement des attaquants de pénétrer dans l'environnement. Si la prévention reste essentielle, les responsables de la sécurité moderne reconnaissent de plus en plus que les capacités de détection et de réponse sont tout aussi importantes.

L'EDR joue un rôle essentiel dans la prévention et l'investigation de la compromission des terminaux. Cependant, une sécurité résiliente nécessite également la capacité de détecter les attaquants qui ont déjà obtenu un accès.

La NDR fournit cette capacité en identifiant les comportements suspects sur le réseau et en révélant les mouvements des attaquants qui pourraient autrement rester cachés.

Ensemble, l'EDR et la NDR offrent une visibilité complémentaire sur les terminaux et les réseaux, ce qui améliore considérablement la capacité à détecter les menaces, à enquêter sur elles et à y répondre.

Pourquoi la sécurité moderne requiert-elle à la fois l'EDR et la NDR ?

Les cyberattaques sont de plus en plus rapides, furtives et complexes. Les attaquants exploitent les systèmes d'identité, se déplacent latéralement sur les réseaux et utilisent des outils légitimes pour éviter d'être détectés.

Pour se défendre contre ces menaces, les organisations doivent étendre leur visibilité au-delà des appareils individuels et comprendre comment l'activité se déroule dans l'ensemble de l'environnement.

L'EDR reste un élément essentiel de la cybersécurité moderne. Cependant, à lui seul, il ne peut pas fournir la couverture nécessaire pour détecter les attaques modernes.

En combinant la visibilité des terminaux avec la détection des réseaux via la NDR, les organisations obtiennent une image beaucoup plus complète du comportement des attaquants et comblent les lacunes critiques de leur posture de sécurité.

Dans les environnements numériques sans frontières d'aujourd'hui, une cyberdéfense efficace dépend de l'observation non seulement de ce qui se passe sur les terminaux, mais aussi de la façon dont les menaces se déplacent sur le réseau lui-même.

Contactez les experts d'Integrity360 pour connaître vos besoins en matière d'EDR et de NDR et savoir comment nous pouvons aider votre organisation à renforcer sa cybersécurité.

 

Contactez-nous

 

FAQ sur l'EDR et la NDR

Qu'est-ce que l'EDR en cybersécurité ?

Endpoint Detection and Response (EDR) est une technologie de cybersécurité qui surveille les terminaux tels que les ordinateurs portables, les serveurs et les postes de travail afin de détecter les activités malveillantes. Les outils EDR analysent le comportement du système, identifient les processus suspects et permettent aux équipes de sécurité d'enquêter et de répondre aux menaces sur les appareils individuels.

Qu'est-ce que la NDR en cybersécurité ?

La détection et la réponse réseau (NDR) est une technologie de sécurité qui analyse le trafic réseau afin d'identifier les activités suspectes au sein de l'infrastructure d'une organisation. La NDR détecte les menaces telles que les mouvements latéraux, les communications de commande et de contrôle, l'abus d'informations d'identification et l'exfiltration de données en surveillant les communications entre les systèmes.

Quelle est la différence entre EDR et NDR ?

L'EDR se concentre sur la détection des menaces sur les points d'extrémité individuels, tandis que la NDR se concentre sur la surveillance du trafic réseau entre les systèmes. L'EDR offre une visibilité approfondie de l'activité des hôtes, tandis que la NDR révèle comment les attaquants se déplacent sur les réseaux. Ensemble, ils offrent une couverture plus large pour la détection des menaces.

Pourquoi l'EDR ne suffit-il pas à lui seul ?

L'EDR ne peut pas être déployé sur tous les appareils d'un environnement et peut manquer l'activité des attaquants dans le trafic réseau. Les attaquants contournent souvent les contrôles des terminaux en utilisant des techniques telles que les attaques de type "living-off-the-land", l'utilisation abusive d'informations d'identification, ou en ciblant des appareils non gérés.

Pourquoi les entreprises ont-elles besoin à la fois d'un EDR et d'un NDR ?

La combinaison de l'EDR et de la NDR offre une visibilité sur les terminaux et les communications réseau. Cette approche multicouche améliore la précision de la détection, réduit les angles morts et permet aux équipes de sécurité d'identifier les attaques plus tôt dans la chaîne d'attaque.

Comment la NDR aide-t-elle à détecter les attaques de ransomware ?

La NDR peut identifier les premiers indicateurs d'une activité de ransomware, tels que les mouvements latéraux, les connexions internes suspectes ou les transferts de données anormaux. La détection précoce de ces comportements peut aider les organisations à stopper les attaques de ransomware avant que le chiffrement ne commence.

Comment la NDR améliore-t-elle les opérations des socs ?

La NDR fournit un contexte supplémentaire autour de l'activité suspecte, aidant les centres d'opérations de sécurité à corréler les alertes à travers les terminaux, les réseaux et les systèmes d'identité. Cela réduit les faux positifs et permet aux analystes de se concentrer plus efficacement sur les menaces réelles.