Il fut un temps où seules les grandes entreprises étaient la cible d’APT (Advanced Persistent Threat). Mais ce n’est plus le cas aujourd’hui. L’ouverture massive des réseaux des entreprises pour répondre aux besoins de travail à distance, l’utilisation des équipements professionnels à des fins personnelles ou inversement, la multiplication des accès à distance, le recours au cloud et aux applications en mode SaaS ou encore l’utilisation des visioconférences sont des fonctionnements désormais confortablement installés dans nos usages collectifs.
Des études récentes révèlent que 30% des intrusions connues impliquent l’installation de logiciels malveillants au niveau des points de terminaison (endpoint en anglais : ordinateurs, serveurs, tablettes, téléphones…). La protection des points de terminaison doit faire partie des éléments clés d’une stratégie de cybersécurité.
Les solutions EDR (Endpoint Detection Response) sont une des réponses possibles pour la protection des points de terminaison. Elles analysent leurs usages en surveillant l’exploitation de failles de sécurité et les comportements anormaux. La détection de ces menaces est permise grâce à l’analyse comportementale qui étudie les événements systèmes du terminal (exécution de processus, appel système, création de tâche, etc.) afin de détecter des comportements déviants.
Ainsi, les outils EDR permettent aux entreprises de se protéger contre les APT (Advanced Persistent Threats). Ces derniers utilisent souvent des techniques d’attaque sans malware et des failles de sécurité pour accéder au système d’information ; ce que les antivirus classiques, en se basant sur des signatures connues de malware, ne détectent pas.
Intégrer une solution EDR au SIEM (Security Information Event Management, une solution permettant la collecte, l’agrégation, la normalisation, l’analyse, la corrélation et l’archivage de journaux d’événements) permet une investigation plus approfondie des équipes d’analystes qui peuvent retracer le cheminement de l’attaque et sa propagation sur le réseau. En récupérant les données sur les actions des points de terminaison, l’EDR a la capacité de modéliser un comportement ou un enchaînement d’actions correspondant à un scénario d’attaque. Certaines actions peuvent être gérées automatiquement tandis que d’autres nécessiteront une investigation et une levée de doutes notamment dans le cas de faux positifs. Dans ce dernier cas, il est nécessaire qu’une analyse soit faite par le biais d’un SOC.
SERMA Safety and Security vous propose l’intégration de solutions EDR et l’analyse de vos points de terminaison ou ceux qui peuvent se connecter à votre réseau grâce à son équipe d’analystes SOC.