EDR vs. antivirus pour entreprises : Quelle est la différence ?
In eigener Sache
EDR, ou Endpoint Detection and Response, est un substitut moderne aux suites de sécurité antivirus. Pendant des décennies, les organisations et les entreprises ont investi dans des suites antivirus dans l'espoir de résoudre les défis de sécurité de l'entreprise. Mais avec la sophistication et la propagation croissantes des menaces de logiciels malveillants au cours de la dernière décennie, les insuffisances des solutions antivirus dites "héritées" n'ont été que trop évidentes.
En réaction, certains fournisseurs ont repensé les défis de la sécurité des entreprises et ont développé de nouvelles solutions pour pallier les insuffisances des antivirus. En quoi l'EDR diffère-t-il de l'antivirus ? Comment et pourquoi l'EDR est-il plus efficace que l'AV ? Et de quoi faut-il tenir compte si vous remplacez votre AV par un EDR avancé ? Vous trouverez les réponses à toutes ces questions et plus encore dans cet article.
En quoi l'EDR est-il différent de l'antivirus ?
Pour protéger correctement votre entreprise ou votre organisation contre les menaces, il est important de comprendre la différence entre l'EDR et l'antivirus traditionnel ou "ancien". Ces deux approches de la sécurité sont fondamentalement différentes et seule l'une d'entre elles est adaptée à la gestion des menaces modernes.
Caractéristiques de l'antivirus
À l'époque où le nombre de nouvelles menaces de logiciels malveillants par jour pouvait être facilement compté dans une feuille de calcul, Antivirus offrait aux entreprises un moyen de bloquer les logiciels malveillants connus en examinant - ou en analysant - les fichiers pendant qu'ils étaient écrits sur le disque dur d'un périphérique informatique. Si le fichier était "connu" dans la base de données des fichiers malveillants de l'analyseur AV, le logiciel empêchait l'exécution du fichier malveillant.
La base de données antivirus traditionnelle se compose d'une série de signatures. Ces signatures peuvent contenir des hachages d'un fichier malveillant et/ou des règles contenant une série de caractéristiques auxquelles le fichier doit correspondre. Ces caractéristiques comprennent généralement des chaînes de caractères ou des séquences d'octets lisibles par l'homme, trouvées dans le fichier exécutable du logiciel malveillant, le type de fichier, la taille du fichier et d'autres types de métadonnées de fichier.
Certains antivirus peuvent également effectuer des analyses heuristiques primitives des processus en cours et vérifier l'intégrité des fichiers système importants. Ces contrôles "after-the-fact" ou post-infection ont été ajoutés à de nombreux produits AV après que le déluge de nouveaux échantillons de logiciels malveillants quotidiens a dépassé la capacité des fournisseurs AV à maintenir leurs bases de données à jour.
Face à l'augmentation des menaces et à la baisse d'efficacité de l'approche antivirus, certains fournisseurs ont tenté de compléter l'antivirus par d'autres services tels que le contrôle des pare-feu, le cryptage des données, les listes d'autorisation et de blocage des processus et d'autres outils de "suite" AV. Ces solutions, communément appelées "EPP" ou Endpoint Protection Platforms, restent fondamentalement basées sur une approche par signatures.
Caractéristiques de l'EDR
Alors que toutes les solutions AV se concentrent sur les fichiers (potentiellement malveillants) qui sont introduits dans le système, un EDR se concentre au contraire sur la collecte de données à partir du point final et sur l'examen de ces données à la recherche de modèles malveillants ou anormaux en temps réel. Comme son nom l'indique, l'idée d'un système EDR est de détecter une infection et de déclencher une réaction. Plus un système EDR peut le faire rapidement, sans intervention humaine, plus il est efficace.
Un bon système EDR dispose également de fonctions permettant de bloquer les fichiers malveillants, mais surtout, les EDR reconnaissent que toutes les attaques modernes ne sont pas basées sur des fichiers. En outre, les EDR proactifs offrent aux équipes de sécurité des fonctionnalités importantes que l'on ne trouve pas dans les antivirus, telles que des réponses automatisées et une visibilité complète sur les modifications de fichiers effectuées sur le terminal, la création de processus et les connexions réseau : Cela est essentiel pour la recherche de menaces, la réponse aux incidents et la criminalistique numérique.
Les pièges de l'antivirus
Il y a de nombreuses raisons pour lesquelles les solutions antivirus ne peuvent pas suivre le rythme des menaces auxquelles les entreprises sont aujourd'hui confrontées. Tout d'abord, comme nous l'avons déjà mentionné, il y a chaque jour plus de nouveaux modèles de logiciels malveillants qu'une équipe humaine de signaleurs ne peut en gérer.
Comme les solutions AV ne peuvent inévitablement pas détecter un grand nombre de ces modèles, les entreprises doivent s'attendre à être confrontées à une menace que l'antivirus ne peut pas détecter.
Deuxièmement, la détection par les signatures antivirus peut souvent être facilement contournée par les acteurs de la menace, même sans qu'ils aient à réécrire leurs logiciels malveillants. Comme les signatures ne se concentrent que sur quelques caractéristiques de fichiers, les auteurs de logiciels malveillants ont appris à créer des logiciels malveillants avec des caractéristiques changeantes, également connus sous le nom de logiciels malveillants polymorphes. Les hachages de fichiers, par exemple, font partie des caractéristiques d'un fichier les plus faciles à modifier, mais les chaînes de caractères internes peuvent également être randomisées, voilées et cryptées différemment avec chaque construction du malware.
Troisièmement, les acteurs de la menace motivés par des raisons financières, tels que les opérateurs de ransomware, sont allés au-delà des simples attaques de malware basées sur des fichiers. Les attaques de ransomware menées par des humains, comme Hive, ainsi que les attaques de "double chantage", comme Maze, Ryuk et d'autres, qui commencent par des informations d'identification compromises ou forcées ou par l'exploitation de vulnérabilités RCE (Remote Code Execution), peuvent conduire à la compromission et à la perte de propriété intellectuelle par l'exfiltration de données, sans aucune détection basée sur les signatures antivirus.
Avantages de l'EDR
En mettant l'accent sur la fourniture d'une visibilité aux équipes de sécurité des entreprises et sur les réponses de détection automatique, EDR est bien mieux équipé pour faire face aux acteurs de la menace d'aujourd'hui et aux défis de sécurité qui en découlent.
En se concentrant sur la détection d'activités inhabituelles et en fournissant une réponse, EDR ne se limite pas à la détection de menaces connues basées sur des fichiers. Au contraire, le principal avantage de l'EDR réside dans le fait qu'il n'est pas nécessaire de définir précisément la menace, comme c'est le cas avec les solutions antivirus. Une solution EDR peut rechercher des modèles d'activité inattendus, inhabituels et indésirables et émettre une alerte qui peut être examinée par un analyste de sécurité.
Étant donné que les EDR collectent un grand nombre de données de tous les points finaux protégés, elles offrent aux équipes de sécurité la possibilité de visualiser ces données dans une interface pratique et centralisée. Les équipes informatiques peuvent intégrer ces données à d'autres outils pour une analyse plus approfondie afin d'améliorer la situation générale de l'entreprise en matière de sécurité et de définir la nature des futures attaques potentielles. Les données complètes d'un EDR permettent également une chasse et une analyse des menaces a posteriori.
L'un des plus grands avantages d'un EDR avancé est peut-être sa capacité à prendre ces données, à les contextualiser sur l'appareil et à désamorcer la menace sans intervention humaine. Cependant, tous les EDR ne sont pas en mesure de le faire, car nombre d'entre eux doivent transférer les données EDR vers le cloud pour une analyse à distance (et donc avec un délai).
Comment EDR Antivirus complète
Malgré leurs limites lorsqu'ils sont utilisés seuls ou dans le cadre d'une solution EPP, les moteurs antivirus peuvent être des compléments utiles aux solutions EDR, et la plupart des EDR contiennent un élément de blocage basé sur les signatures et les hachages dans le cadre d'une stratégie de "défense en profondeur".
En intégrant les moteurs antivirus dans une solution EDR plus efficace, les équipes de sécurité des entreprises peuvent profiter des avantages du blocage simple des logiciels malveillants connus et les combiner avec les fonctionnalités avancées offertes par les EDR.
Éviter la lassitude des alertes avec Active EDR
Comme nous l'avons déjà mentionné, les EDR offrent aux équipes de sécurité et d'informatique des entreprises une visibilité complète sur tous les points finaux du réseau de l'entreprise, ce qui présente à son tour un certain nombre d'avantages. Toutefois, malgré ces avantages, de nombreuses solutions EDR n'ont pas eu l'impact escompté par les équipes de sécurité des entreprises, car leur gestion nécessite des ressources humaines importantes : Des ressources qui sont souvent indisponibles en raison de restrictions de personnel ou de budget, ou qui ne sont pas disponibles en raison de la pénurie de spécialistes en cybersécurité.
Au lieu de se réjouir d'une sécurité accrue et d'une réduction de la charge de travail pour leurs équipes informatiques et de sécurité, de nombreuses entreprises qui ont investi dans l'EDR ont simplement dû réaffecter des ressources d'une tâche de sécurité à une autre : passer du traitement des appareils infectés à celui d'une montagne d'alertes EDR.
Et pourtant, cela ne doit pas être le cas. Le potentiel le plus précieux de l'EDR réside peut-être dans sa capacité à désamorcer les menaces de manière autonome, sans intervention humaine. En exploitant la puissance de l'apprentissage automatique et de l'intelligence artificielle, Active EDR allège la charge de travail de l'équipe SOC et est capable d'atténuer les événements sur le point final de manière autonome, sans dépendre des ressources du cloud.
Cela signifie que les menaces sont contrées à la vitesse de la machine - plus rapidement que n'importe quelle analyse cloud à distance - et sans effort humain.
Ce qu'Active EDR signifie pour votre équipe
Imaginez le scénario typique suivant : Un utilisateur ouvre un onglet dans Google Chrome, télécharge un fichier qu'il pense être sécurisé et l'exécute. Le programme utilise PowerShell pour supprimer les sauvegardes locales, puis commence à chiffrer toutes les données sur le disque.
Le travail d'un analyste de sécurité qui utilise des solutions EDR passives peut être difficile. Il est submergé d'alertes et doit rassembler les données dans un rapport utile. Avec Active EDR, ce travail est plutôt effectué par l'agent sur le point final. Active EDR connaît l'ensemble de la situation et désamorce la menace en cours d'exécution, avant même que le chiffrement ne commence.
Une fois la menace désamorcée, tous les éléments de cette menace sont pris en compte, jusqu'à l'onglet Chrome que l'utilisateur a ouvert dans son navigateur. Pour ce faire, le même ID de storyline est attribué à chaque élément de l'histoire. Ces stories sont ensuite envoyées à la console d'administration, ce qui permet aux analystes de sécurité et aux administrateurs informatiques d'identifier et de détecter facilement les menaces.
Améliorer votre sécurité avec EDR
Après avoir identifié les avantages évidents d'un système EDR par rapport à un antivirus, quelle est l'étape suivante ? Pour choisir le bon système EDR, il faut connaître les besoins de votre entreprise et les possibilités offertes par le produit proposé.
Il est également important d'effectuer des tests, mais de s'assurer que ces tests sont appliqués dans la pratique. Comment le produit est-il utilisé par votre équipe dans ses activités quotidiennes ? Est-il facile à apprendre ? Protégera-t-il votre entreprise même si tous les services en nuage dont elle dépend sont hors ligne ou inaccessibles ?
Il est également important de prendre en compte le déploiement et le déploiement. Pouvez-vous automatiser le déploiement dans votre parc ? Qu'en est-il de la compatibilité des plateformes ? Le fournisseur que vous avez choisi accorde-t-il la même importance à Windows, Linux et macOS ? Chaque point final doit être protégé. Ceux qui sont laissés derrière peuvent constituer une porte dérobée dans votre réseau.
Ensuite, vous devez penser à l'intégration. La plupart des entreprises ont une pile logicielle complexe. Votre fournisseur propose-t-il une intégration puissante mais simple pour les autres services dont vous dépendez ?
Plus que l'EDR | XDR pour une visibilité et une intégration maximales
Alors qu'Active EDR est la prochaine étape pour les entreprises qui n'ont pas encore dépassé l'antivirus, celles qui ont besoin d'un maximum de visibilité et d'intégration sur l'ensemble de leur parc devraient penser à Extended Detection and Response, ou XDR.
XDR fait passer l'EDR au niveau supérieur en intégrant tous les contrôles de visibilité et de sécurité dans une vue complète et holistique de ce qui se passe dans votre environnement. Avec un seul pool de données brutes comprenant des informations provenant de l'ensemble de l'écosystème, XDR permet une détection et une réponse aux menaces plus rapides, plus approfondies et plus efficaces qu'EDR, en collectant et en combinant des données provenant d'un plus grand nombre de sources.
Conclusion
Les acteurs de la menace ont depuis longtemps dépassé le stade de l'antivirus et de l'EPP, et les entreprises doivent être conscientes que ces produits ne sont pas à la hauteur des menaces actuelles. Même un coup d'œil rapide aux gros titres montre comment les grandes entreprises non préparées sont surprises par des attaques modernes comme les ransomwares, même si elles ont investi dans des contrôles de sécurité. C'est à nous, en tant que défenseurs, de veiller à ce que nos logiciels de sécurité ne soient pas seulement adaptés aux attaques d'hier, mais aussi à celles d'aujourd'hui et de demain.
Si vous êtes intéressé par une solution EDR ou XDR, nous nous ferons un plaisir de vous conseiller sur le choix de la solution la mieux adaptée à votre entreprise. Contactez-nous simplement par téléphone, par e-mail ou via notre formulaire de contact. Nous nous réjouissons de votre demande.