D’où vient l’acronyme « EDR » ?

L’EDR a été inventé par Anton Chuvakin (Gartner Blog Network), en 2013, pour définir un nouvel ensemble d’outils et de fonctionnalités destinés à détecter les activités malveillantes sur les terminaux. Ces outils se distinguaient alors des solutions de sécurité existantes car au-delà de l’identification des logiciels malveillants, ils cherchaient plutôt à détecter les activités « anormales ». Résolument à part, leur objectif consistait à alerter les experts sécurité afin qu’ils déclenchent des enquêtes plus approfondies) et ne se limitent pas simplement à repérer et mettre en quarantaine un fichier suspect.

Pourquoi des solutions EDR ont-elles été créées ?

Avant l’avènement des solutions EDR, la plupart des entreprises s’appuyaient sur une protection antivirus traditionnelle qui avait atteint ses limites. En 2014, un cadre de Symantec confiait d’ailleurs au New York Times que les antivirus étaient inefficaces à 49 %. Un aveu pour le moins surprenant de la part d’un éditeur de logiciels antivirus qui, à l’époque, détenait 25 % des parts de marché.
Le problème des solutions antivirus traditionnelles résidait dans leur mode de détection des fichiers malveillants par le biais de signatures. Cette approche a, en effet, révélé plusieurs faiblesses.

Tout d’abord, les hackers se sont mis à contourner facilement la détection basée sur la signature, en ajoutant des octets supplémentaires aux fichiers afin de modifier le hachage ou en combinant différentes techniques pour chiffrer les chaînes de caractères, compliquant ainsi l’analyse binaire. Puis, déterminés à mettre la main sur les données ou l’IP de l’entreprise, voire à lui causer préjudice à grand renfort de rançongiciels, ils ne se sont plus bornés à accéder au disque de leur victime pour y déposer des fichiers malveillants. Leurs tactiques se sont sophistiquées : ils ont lancé des attaques « fileless » en mémoire, mettant à profit des applications et processus intégrés légitimes (selon une technique LotL, Living off the Land) et compromettant la sécurité des réseaux en s’appropriant les identifiants d’utilisateurs via des techniques d’hameçonnage ou en volant des ressources par crypto-minage. Les solutions antivirus en place n’avaient tout simplement pas les ressources nécessaires pour faire face à cette nouvelle vague de techniques et procédures.

Plate-forme de protection des terminaux (EPP) – l’antivirus traditionnel tente d’évoluer

Leur existence étant menacée, les solutions antivirus traditionnelles ont commencé à offrir des services complémentaires — pare-feu, chiffrement des données, prévention de la perte de données (DLP) via le blocage d’appareils —ainsi qu’une panoplie d’autres outils intéressants pour l’administration informatique sans pour autant être centrés sur la sécurité elle-même. Quoi qu’il en soit, fondamentalement basée sur les signatures, cette plate-forme de protection des terminaux (EPP) n’a pas véritablement résolu le problème inhérent à l’antivirus traditionnel.

Les failles n’ont fait que se multiplier avec le temps. WannaCry, EternalBlue, NotPetya… occasionnant des pertes considérables chez les victimes. Par la suite, les cyberattaques visant Target, Equifax et Marriott Hotels, dont la détection a pris plusieurs mois, ont permis aux hackers de s’emparer de données à caractère personnel d’une grande partie des américains. Enfin, les attaques plus récentes liées à l’émergence d’États-nations, la guerre cybernétique et le commerce des technologies de piratage sur le darknet ont fait prendre conscience aux entreprises qu’il leur fallait autre chose : de la visibilité.

L’EDR, une lumière au bout du tunnel

En plus d’être basé sur la signature, ce qui distingue l’EDR de l’EPP et des anciens systèmes anti-virus, c’est que ces solutions étaient basées sur la prévention, là où l’EDR fournit à l’entreprise une visibilité sur ce qui se passe sur le réseau.

Quelques tentatives « maison » ont vu le jour avant que les éditeurs de logiciels de sécurité ne prennent le taureau par les cornes. Plusieurs centaines de référentiels GitHub ont ainsi proposé des outils open source, multi plateformes pour certains, dédiés à la visibilité tel OSQUERY de Facebook. Mais l’utilisation de telles solutions nécessitait des experts qualifiés capables de coder, d’intégrer, de développer et de mettre au point un processus durable pour sensibiliser l’entreprise aux attaques le plus rapidement possible.

Cette approche a intéressé le secteur des antivirus et une nouvelle gamme de produits a ainsi fait son apparition. Centrée sur la détection des activités inhabituelles et la mise en place de mesures elle incitait l’analyste en sécurité à pousser plus loin les investigations.

Par essence, ces solutions EDR donnent à l’entreprise une visibilité sur les événements intervenant sur le réseau. D’aucuns affirmeront que le casse-tête est plus facile à démêler que celui de la protection puisque cette mission incombe à un intervenant humain et se limite à générer des alertes. C’est oublier que si l’heuristique est médiocre et la modélisation des données insuffisante, l’équipe du centre opérationnel de sécurité (SOC) risque d’avoir alors à gérer un flux incessant d’alertes et/ou un nombre élevé de faux positifs. Mais ce qui faisait surtout défaut au marché EDR, c’était un moyen de contextualiser la quantité de données affluant perpétuellement des terminaux.

Et aujourd’hui ?

Une visibilité accrue implique une plus grande quantité de données et, par conséquent, un volume d’analyses plus conséquent. Pour cette raison, la plupart des solutions EDR proposées aujourd’hui ne sont pas évolutives. Elles nécessitent trop de ressources – temps, argent, bande passante, personnel qualifié – dont les entreprises manquent.

En outre, l’EDR, sous sa forme actuelle, nécessite une connexion cloud et, à ce titre, assurera toujours une protection en différé des terminaux. Si la solution retenue n’est pas embarquée, il faudra inévitablement composer avec une « période d’incubation » — le temps qui s’écoule entre l’infection et la découverte de l’activité malveillante. Pourtant une attaque peut compromettre une machine, exfiltrer ou chiffrer des données, et supprimer toute trace de son passage en une fraction de seconde. Attendre qu’une riposte s’opère depuis le cloud ou qu’un analyste prenne des mesures à bref délai n’est tout simplement pas réaliste dans le contexte actuel des menaces.

La cybersécurité est un jeu sans fin du chat et de la souris. Face à des cybercriminels qui font monter les enchères, en développant de nouvelles compétences et en déployant de nouvelles tactiques et techniques, la défense s’efforce de rattraper son retard. Les solutions axées sur la sécurité des terminaux sont à la traîne depuis bien longtemps, mais avec l’avènement d’une technologie capable, en quelques secondes, de prévenir, détecter et répondre aux attaques les plus avancées que le terminal soit ou non connecté au cloud, l’avantage reviendra peut-être- enfin à la défense !