Aujourd’hui, nous entendons beaucoup parler de cybersécurité, de la nécessité de protéger les postes de travail et les serveurs.
Les termes très souvent utilisés sont « endpoint security », AV, EPP, EDR, XDR, SIEM et SOAR. … pourquoi tout ça?
Les logiciels Antivirus, la technologie historique.
L’antivirus, ou simplement AV, est le premier programme de protection des postes de travail depuis son apparition en mars 1988. Il a évolué dans la détection et la neutralisation des virus et des malwares, mais sa technologie reste presque inchangée depuis sa création, que des améliorations.
La technologie et le mode de fonctionnement de l’AV est simple basé sur des analyses régulières de la machine. L’AV recherche simplement sur l’ordinateur d’un utilisateur les logiciels malveillants tels que les vers, les chevaux de Troie, les logiciels publicitaires, les rançongiciels et autres.
Qu’est-ce que l’EPP ?
Endpoint Protection Platform (EPP) est une solution déployée sur les dispositifs d’extrémité pour prévenir les attaques de logiciels malveillants basés sur des fichiers, détecter les activités malveillantes et fournir les capacités d’investigation et de remédiation nécessaires pour répondre aux incidents et alertes de sécurité dynamiques, traditionnellement appelée Antimalware. Selon la solution, nous trouvons aussi la protection Pare-feu local et la Protection et gestion des périphériques (USB, bluethooth).
Ces solutions sont composées de plusieurs moteurs de protection :
- Moteur basé sur des signatures (hash), statique (heuristique), réputation (score),
- Analyse comportementale (post-exécution), ou
- Machine Learning ou IA
- Protection de la mémoire contre les exploits.
Qu’est-ce que l’EDR ?
Le terme Endpoint Detection and Response est introduit pour la première fois en 2013 par Anton Chuvakin, un chercheur de Gartner.
EDR (Endpoint Detection and Response) est une solution permettant de
- Surveiller toutes les activités sur un système (processus, ouverture de fichier) dans le but de détectée une attaque ciblée et avancée ;
- Les techniques d’analyse des données et l’intelligence artificielle (IA) sont utilisées pour identifier les menaces avancées, les logiciels malveillants jamais vus et les comportements suspects des systèmes ;
- Investiguer sur une machine ou sur l’ensemble du parc ;
- Recherche et alertes sur des IOCs (indices de compromission) ;
- Réagir en isolant une machine du réseau.
Il existe des solutions purement EDR et des solutions EPP + EDR, proposant un haut niveau de protection et une visibilité avancée avec des moyens techniques pour réagir rapidement, voire des actions de réponses automatisées.
Qu’est-ce que l’XDR ?
Extended Detection, and Response (XDR) font référence à la détection et à la réponse dans des systèmes et des réseaux plus larges. Le » X » peut signifier » n’importe quoi « .
Le terme de XDR est introduit pour la première fois en 2018 par Nir Zuk (fondateur de Palo Alto Networks).
- XDR est une solution technologique émergente qui peut unifier plusieurs points de contrôle.
- Un XDR va collecter ces données pour augmenter les capacités d’un EDR et faciliter la détection de menaces ou apporter du contexte dans l’investigation et les décisions.
- Les principaux avantages de l’XDR consistent à combiner les signaux faibles provenant de plusieurs composants pour fournir des alertes rapides et précises, ainsi que des connaissances et une assistance sur les options de réponse.
Et le SIEM dans tout ça ?
Lorsque nous parlons de XDR, certaines personnes pensent que nous décrivons de manière différente un outil de gestion des informations et des événements de sécurité (Security Information & Event Management -SIEM). Mais XDR et SIEM sont deux choses différentes.
Le SIEM, qui est introduit pour la première fois en 2005 par Gartnet, collecte, agrège, analyse et stocke de grands volumes de données de logs provenant de toute l’entreprise
- Vue d’ensemble des événements notables de votre environnement
- Détail de tous les événements notables identifiés dans votre environnement
- Registre de toutes les investigations en cours
- Analyse des risques
- Intelligence des menaces
- Renseignement sur les protocoles et sur les utilisateurs
- Intelligence Web pour analyser le trafic web sur votre réseau.
Enfin, le SOAR ?
Les plates-formes SOAR (Security Orchestration & Automated Response) sont utilisées par des équipes d’opérations de sécurité matures pour construire et exécuter des playbooks à plusieurs étapes qui automatisent des actions dans un écosystème de solutions de sécurité connectées par API.
SOAR est complexe, coûteux et nécessite un SOC très mature pour mettre en œuvre et maintenir les intégrations et les playbooks des partenaires. XDR se veut un » SOAR-lite » : une solution simple, intuitive et sans code qui permet d’agir depuis la plateforme XDR sur les outils de sécurité connectés.
Pour aller plus loin :
N’hésitez pas à contacter nos experts si vous souhaitez d’avantages d’informations.
