EDR : Endpoint Detection & Response

La protection des points de terminaisons des infrastructures (stations, serveurs, mobiles, etc.) devient un axe majeur de la cybersécurité, où le traditionnel antivirus pourra difficilement lutter seul : quand les agents EDR entrent dans la danse pour lutter efficacement contre les menaces techniques du moment…

Depuis plusieurs dizaines d’années, on assiste à une recrudescence et à une amélioration des méthodes et des outils offensifs pour pénétrer dans les points de terminaisons des infrastructures IT : les Endpoints. Dans de nombreuses grandes infrastructures, les forces défensives sont souvent prioritairement orientées sur les moyens périmétriques, afin de lutter en direct contre l’ennemi : firewalls, WAF, proxies, etc. Mais, telle une ligne Maginot qui serait contournée par des chuteurs opérationnels, ces éléments sont de plus en plus évités lors d’attaques ayant lieu derrière ces défenses initiales. On se retrouve envahi de nuisances : malwares, backdoors, rebonds internes, etc. Comment lutter et se défendre ? Les fonctions de sécurité locale des systèmes d’exploitation et des applications, et des outils spécifiques comme le traditionnel antivirus, sont prêts à en découdre. Mais que se passe-t-il lorsque la menace est nouvelle, inconnue, furtive, violente, persistante, intelligente, voire adaptée ? Rappelons-nous quelques exemples publics : Wannacry, NotPetya, etc. Dans cet article, nous allons aborder la thématique des agents EDR, et leurs méthodes complémentaires de détection, de protection et d’intervention : la défense en profondeur.

1. A PROPOS DES EDR

Contexte

Il serait impossible de couvrir tous les aspects liés à la protection des points de terminaison d’une infrastructure IT, ici, sur un seul article, mais pour ouvrir l’appétit à ceux qui souhaitent aller plus en avant, nous porterons donc nos réflexions sur les agents EDR en priorité, afin d’initier le lecteur qui ne connaîtrait pas encore tous ces points assez intéressants au niveau tactique et stratégique.

Pour ceux qui auraient déjà de nombreuses connaissances sur ce sujet, ils pardonneront l’humble auteur de ne pas pouvoir rentrer dans chaque détail.

Souhaitez-vous équiper votre SOC/CSIRT d’outils qui vont bien plus loin que la simple collecte de logs (SIEM) ou que les analyses de flux (NIDS), afin de commencer à faire du combat avec vos ennemis cachés dans vos OS ? Les EDR pourraient alors vous intéresser, et nous allons essayer de vous apporter quelques clefs de lecture. Certains responsables orientés résultats opérationnels commencent à préférer déployer des EDR (HIPS++) plutôt que des NIDS ou du SIEM, déportant ainsi leurs efforts sur les entités actuellement vulnérables et ciblées.

A propos des endpoints

Mais que sont les Endpoints sur lesquels il est vivement conseillé de positionner des agents de sécurité ? Les termes évoluent et se mélangent. On parle souvent des composants qui vont traiter de la data en terminaison d’une infrastructure, et avec un processeur : ordinateur portable, station de travail, serveur, téléphone portable, tablette, objet connecté, automate, etc.

Vaste chantier que de vouloir unifier la sécurité d’un composant d’une usine Industrie 4.0, d’une voiture connectée, du tout dernier smartphone, du serveur web d’une société, et des laptops qui entrent et sortent des locaux, etc. Les menaces sont évidemment différentes en fonction du contexte. Les systèmes d’exploitation actuels n’hébergent pas les applications et les données proprement, sans parler des risques au niveau matériel. Une présence logicielle bas-niveau semble nécessaire pour assurer la détection, la protection ou même la gestion technique d’incidents.

infrastructures edr

Cette mission sera assumée par les agents EDR. Ces derniers seront en général liés à une infrastructure en mode client-serveur, avec des agents sur les points de terminaison à protéger, et une partie Appliance pour les gérer et/ou pour récupérer leurs alertes : solutions Cloud, ou On-Premise (sur site), ou hybrides avec un mix des deux, ou encore mode Air Gap pour des réseaux fermés.

L’institut [AV-TEST] recense actuellement 350.000 nouveaux logiciels malveillants chaque jour. L’écriture de toutes les règles antivirales génériques et quotidiennes serait donc complexe. Devant une telle vivacité du monde offensif, de nombreuses infrastructures vivantes, à base d’EDR arrivent en mode SaaS, avec une interactivité partant parfois du poste de travail, jusqu’à des services centralisés de sécurité. Par exemple, tous les binaires inconnus peuvent être envoyés dans des Sandboxes dans le Cloud grâce à des robots logiciels.

Les arguments juridiques (LPM, etc.), financiers (licences, etc.), et techniques s’introduiront dans les réflexions sur les infrastructures, avant de pouvoir procéder à des déploiements d’EDR. Avez-vous de multiples petites agences avec beaucoup de petites lignes DSL dans le monde imposant un mode Cloud plutôt que de mettre des appliances sur chaque petit site ? Avez-vous une usine ou un site stratégique un peu perdu dans la nature avec des risques de pannes, imposant une appliance On-Premisepour tenir lors de coupures ? Avez-vous des contraintes de débit, par satellite ou autre, imposant aussi des réflexions sur la position et la configuration des éléments pour limiter et optimiser les flux à remonter (alertes, analyses, etc.) ?

Au niveau des systèmes d’exploitation les plus communément demandés, même si la liste proposée pourrait être plus longue, on retrouve les classiques Microsoft Windows, Linux, Apple macOS, mais aussi sur les mobiles la partie a minima Android. En général, sous Apple iOS, par exemple sur iPhone et iPad, les possibilités de coder des protections sont moindres, car Apple s’aligne sur une optique de vendre un produit déjà propre et sécurisé, donc avec peu de possibilités de développement : sur un parc iOS normal (sans jailbreak), on aura ainsi du mal à faire une autopsie de chaque équipement en direct à distance.

Sous Windows, les agents EDR doivent suivre, voire préparer les nouveautés de Microsoft, afin de ne pas se retrouver dérangés par de nouvelles couches. Par exemple, sur un futur Windows 10, qui aurait une partie du disque en mode MS Cloud, avec des mécanismes dits d’hydratation, on aura du mal à tolérer qu’un EDR (ou un antivirus) s’amuse à scanner (donc à télécharger) le disque en réalité distant, via ces montages assez transparents pour l’utilisateur. Et sans parler des Windows récents, en réalité, de très nombreuses entreprises ont besoin de continuer de couvrir les versions du passé, comme Windows XP ou Windows 2003 Server : ces derniers sont toujours très présents dans des usines et dans la production opérationnelle qui ne peut souffrir des mises à jour ou arrêts particuliers, etc. Vous l’aurez compris, les agents EDR sont attendus pour être : tout-terrain au maximum, très efficaces même contre les menaces inconnues, faciles à déployer et à configurer, peu onéreux et de confiance.

2. Détection

Antivirus et/ou EDR ?