EDR OPTIMUS

EDR OPTIMUS possède plusieurs fonctions pour effectuer de la remédiation automatisée, sur la base de paramètres prédéfinis, ce qui permet de lutter efficacement en 24/7 contre des menaces inconnues, sans prendre le risque de devoir dépendre d’une équipe humaine à laquelle il pourrait manquer des éléments.

EDR OPTIMUS possède plusieurs protections contre les ransomwares : les blacklists de notre base de Threat Intelligence qui enrichissent les choix des EDR, les politiques de sécurité applicatives qui permettent de définir des conditions sur votre parc avec une granularité avancée, des concepts de type Honeytokens avec de faux fichiers qu’un ransomware voudra détruire tout en se faisant ainsi détecter (leurre informatique de type fichier), et de nombreux mécanismes basés sur le comportemental : attaque de certains points du disque dur, etc.

EDR OPTIMUS possède plusieurs moyens pour lutter contre les attaques latérales, dont la capacité à traiter les logs locaux dans le système d’exploitation, pour détecter si une activité est tentée à distance. C’est un véritable SIEM tactique, local, capable de savoir qu’une session est interactive ou non, distante ou non, afin de pouvoir suivre les attaques de ce type.

EDR OPTIMUS embarque un moteur d’analyse ultra sophistiqué, capable de faire la différence entre un produit légitime et un qui ne l’est pas, en termes de PowerShell, en analysant le code exécuté à la volée afin de ne pas laisser passer une des nombreuses attaques modernes et furtives associées.

EDR OPTIMUS assure sa propre protection grâce à des couches qui sont directement installées dans le noyau Windows, via un driver bas niveau, afin de ne pas permettre une désinstallation, en dehors d’une décision centralisée autorisée. Il n’est pas possible de supprimer l’agent.

La partie analyse de liens URL malveillants avec des listes de C&C, etc., est essentiellement menée par le produit EPP. En mode Hunting, nous pouvons néanmoins faire des recherches ciblées pour ces menaces avec EDR OPTIMUS.

EDR OPTIMUS continue de fonctionner avec sa politique de sécurité déjà chargée, lorsqu’il passe offline. Il stocke alors les évènements qu’il remontera dès la reconnexion à son appliance Endpoint. Bien évidemment, pendant toute cette phase, le risque d’intrusion, sans connexion à un réseau, semble amoindri de base, vu que EDR OPTIMUS peut aussi endiguer les agressions USB par exemple.

EDR OPTIMUS peut solliciter la partie TEHTRIS Threat Intelligence afin de faire des analyses en sandbox, d’avoir recours à des antivirus en mode offline, d’utiliser des moteurs de réseaux de neurones, ou d’établir des recherches dans des bases de connaissances de produits malveillants.

TEHTRIS a de nombreux éléments liés à l’intelligence artificielle et aux automatismes associés au niveau Cyber. En mode Machine Learning, EDR OPTIMUS apprend toutes les exécutions dans votre parc, afin de déceler des anomalies, y compris aussi pour les points de persistance utilisés par les pirates pour survivre à un reboot ou à une reconnexion. En mode Deep Learning, EDR OPTIMUS possède un moteur sur base de réseau de neurones compact capable de dire si un logiciel est malveillant ou non. Ce moteur est aussi sollicité au niveau de TEHTRIS Threat Intelligence. Ce dernier est d’ailleurs le premier produit français accepté par Google sur son service gratuit VirusTotal, où une version publique et non commerciale tourne en permanence à la recherche de malwares inconnus.

EDR OPTIMUS remonte nativement les fichiers à risque vers son infrastructure afin que la charge soit détonnée dans un environnement Sandbox. Les robots planifient et pilotent l’exécution, analysent les résultats, et renvoient tout seuls les bonnes informations aux EDR, afin que ces derniers puissent prendre une décision.

Pour faire simple, les EPP sont les outils de type régalien, en mode antivirus, nouvelle génération, protégeant le poste contre les attaques connues notamment, véritables boucliers des systèmes. Les EDR sont les outils capables de détecter des menaces inconnues et de traiter un incident à distance avec une panoplie de fonctions de réponse à incident. TEHTRIS pense que la différence va s’estomper et que les produits EDR et EPP ne feront plus qu’un, via une convergence technologique nécessaire. L’existence d’un marché EDR n’a été possible que parce qu’ils comblaient des manques techniques du côté des EPP. Dans un futur qui commence d’ores et déjà, les entreprises choisiront un produit de protection Endpoint, combinant une logique EDR et EPP d’une même marque afin de ne pas avoir deux agents à opérer. EPP et EDR OPTIMUS sont d’ailleurs disponibles à cet effet.

Il faut choisir les critères qui autorisent une neutralisation par des robots. C’est une action à risque, que certains éditeurs EDR ne veulent pas vendre, de peur de tout casser. Le problème est que lorsqu’un ransomware inconnu entre, tout ce que les EDR ne servant qu’à faire de la réponse et analyse sont en mesure de faire, c’est de dire qu’ils ont compris pourquoi l’entreprise est détruite. Ce n’est pas notre philosophie et nous préférons proposer la neutralisation automatique, paramétrée avec soin. En fonction de l’aspect du logiciel inconnu, vous pourrez ainsi décider s’il faut le laisser passer ou non : comportement, résultats des sandboxes, résultats des antivirus, résultats des bases antivirales, etc.

Pour les mobiles, nous proposons une autre gamme de produits, orienté Mobile Threat Defense, différente de EDR OPTIMUS.

Nous recueillons des métadonnées d’une façon compatible avec la RGPD et nous pourrons échanger sur ces éléments si vous le souhaitez.

Si votre agent EPP s’amuse à tuer un logiciel de sécurité qui est là pour protéger votre parc, c’est qu’il existe un souci de paramétrage voire de produit. Actuellement, pour tous les clients qui n’ont pas EPP, et qui utilisent EDR OPTIMUS depuis 2014, nous avons rencontré un total de zéro problème de conflit.

Un agent EDR OPTIMUS peut recevoir l’ordre de ne plus parler à personne à part à ses appliances de management, afin de pouvoir étudier tranquillement une machine, sans prendre le risque de déplacement latéral, ou d’exploration interne.

EDR OPTIMUS est compatible avec les environnements Linux, macOS, et Windows. POur s’adapter aux fortes contraintes de nos clients notamment dans le milieu industriel (OT, ICS, SCADA, notre EDR continue à supporter les OS obsolètes sous Windows, comme Windows XP et Windows 2003.

EDR OPTIMUS collecte et analyse les journaux de sécurité sur les postes de travail, offrant ainsi une capacité dite de SIEM tactique, afin de garder les traces intéressantes pour les analystes de cybersécurité.

EDR OPTIMUS utilise moins de 1% en moyenne sur le CPU, et moins de 100Mo à 200Mo en mémoire vive, suivant les paramétrages que l’on souhaite imposer dessus : chargement du réseau de neurones en mémoire, etc.

EDR OPTIMUS a été testé et déployé par certains de nos clients dans des environnements industriels sur des Windows qui n’étaient pas annoncés par les constructeurs comme le supportant. Ces clients ne pouvaient plus concevoir de ne pas avoir d’antivirus (pas assez de RAM, trop vieux, etc.) ou d’EDR (léger et puissant mais non officiellement supporté par le constructeur OT). Ils ont passé des accords avec les constructeurs, et ont mené seuls certains tests, avec l’aide de TEHTRIS en background. Nous sommes par exemple dans des usines avec des équipements de différentes marques : Siemens, etc.

EDR OPTIMUS peut interdire l’usage des stockages externes, ou même les passer en lecture seule afin d’éviter une exfiltration volontaire ou par inadvertance. TEHTRIS enregistre la liste de toutes les traces d’équipements USB branchés pour apporter une traçabilité concernant ces menaces.

EDR OPTIMUS propose de rechercher plus de 11 000 vulnérabilités de type CVE, ce qui permet de découvrir parfois des choses totalement invisibles, comme des machines vulnérables à cause d’un vieux moteur Java, Adobe Reader, ou Flash, oublié ou installé en mode “legacy”. Vous pouvez ainsi déployer EDR OPTIMUS afin d’auditer votre parc informatique, sans consommer de ressources de manière excessive, et avoir ainsi, la possibilité de faire de la conformité du parc.