TEHTRIS EDR

TEHTRIS EDR détecte et neutralise automatiquement les menaces connues ou inconnues en temps réel.

Endpoint Detection & Response

Pendant une trentaine d’années, la sécurité se limitait à quelques axes élémentaires, relativement simples mais efficaces pour lutter contre le tout-venant. Symboliquement, on se rappellera de l’été 2003 avec le worm MSBlast qui contamina des millions de systèmes d’exploitation Microsoft. Trois habitudes de sécurité étaient alors adoptées sous Windows : mettre à jour son système , avoir un firewall, et utiliser un antivirus.

Ce modèle s’est imposé comme le “dominant design” de la cybersécurité : un firewall et quelques outils pour la périphérie, un antivirus et quelques options à l’intérieur. L’Internet s’est ainsi peuplé de réseaux en mode “crunchy”, à savoir “hard” sur la coquille (sécurité périmétrique) et “soft” à l’intérieur, sans parler de l’interconnexion de tous les systèmes : téléphones, objets connectés, etc. Désormais, il existe une dette technologique de cybersécurité et les solutions TEHTRIS sont justement conçues pour lutter et se défendre efficacement.

TEHTRIS EDR fait partie des pionniers et des créateurs de la vague EDR du futur, celle qui vise à pouvoir installer des milliers d’agents EDR en moins de 24h, celle qui est capable de détecter des opérations d’espionnage furtif sans arme et sans malware, celle qui connaît les techniques utilisées par les pirates et qui construit les réponses en avance de phase…

TEHTRIS EDR est une solution fournie en mode SaaS, via le cloud, avec une volonté de prévoir, prévenir, détecter et réagir au niveau cybersécurité. Nous croyons en la convergence de ces technologies, EDR et EPP, pour une mission commune et calculée, de protection des Endpoints, avec des fonctions techniques qui se combinent.

TEHTRIS EDR s’inscrit dans cette logique de transformation, en proposant l’agent TEHTRIS EPP, reconnaissant l’intérêt à ne pas multiplier les couches technologiques: installation, paramétrage, maintenance, cohérence dans les logs, etc.

Dernières mises à jour

Pourquoi tehtris EDR ?

INTELLIGENCE ARTIFICIELLE

En mode Machine Learning ou Deep Learning, la surveillance bas niveau permet d’obtenir des connaissances sur les comportements normaux pour mieux distinguer les attaquants, leurs outils et leurs méthodes, offrant un avantage concurrentiel fort face aux attaquants classiques ou furtifs.

HYPER AUTOMATISATION

TEHTRIS va plus loin que d’autres solutions, puisqu’en l’absence d’opérateurs humains, les systèmes de défense active peuvent être configurés pour répondre, de manière autonome en 24/7, à une attaque, même inconnue, en suivant des critères et politiques prédéterminés, depuis la levée d’alerte jusqu’à la neutralisation immédiate et automatique.

NEUTRALISATION & ATTRITION

Des sanctions directes sont imposées à tous les attaquants, qui doivent prendre le risque de perdre leurs outils et de se faire voler leurs méthodes offensives, qui seront alors reconnues partout dans le monde.

SOLUTION OPÉRATIONNELLE

TEHTRIS EDR prend en compte en priorité les nombreuses attaques qui continuent d’arriver, avec des agressions toujours plus furtives et plus sophistiquées, toujours en faisant chaque fois primer l’efficacité terrrain.

INNOVATION

Marque de fabrique de TEHTRIS, nous travaillons aussi avec nos clients et nos partenaires, dans des processus orientés Open Innovation, où nous nous enrichissons des retours techniques et organisationnels, afin de toujours fournir le meilleur service possible.

LEGITIMITÉ

En 2013, TEHTRIS invente un moteur de cybersécurité appelé «DAS», en référence à plus de quinze ans de travaux de recherche sur la sécurité digitale active, donnant naissance à un agent de type HIPS disruptif, un Endpoint Detection and Response bien avant l’arrivée de ces produits et de leurs noms officiels sur le marché.

quelques chiffres

999 jour

pour déployer
TEHTRIS EDR

+ 0 pays

où nos technologies sont déployées dans le monde en mode détection et réponse aux incidents

+ 1 EDR

déployés dans le cloud en moins de 24 heures

Plateformes supportées

Voici la liste des plateformes actuellement compatibles. Des changements pourraient survenir à l’avenir.

Operating System 32bits 64bits
Windows XP Compatible Untested but designed for compatibility
Windows Server 2003 Compatible Untested but designed for compatibility
Windows Server 2008 Compatible Compatible
Windows Server 2008 R2 Compatible Compatible
Windows Server 2012 N/A Compatible
Windows Server 2012 R2 N/A Compatible
Windows Server 2016 N/A Compatible
Windows Server 2019 N/A Compatible
Windows 7 Compatible Compatible
Windows 8 Untested but designed for compatibility Compatible
Windows 10 Untested but designed for compatibility Compatible
macOS Sierra Compatible
macOS High Sierra Compatible
macOS Mojave Compatible
macOS Catalina Compatible
CentOS Linux 5.3 Compatible
CentOS Linux 5.11 Compatible
CentOS Linux 6.9 Compatible
CentOS Linux 7.5 Compatible
Ubuntu Linux 8.04 Hardy Compatible
Ubuntu Linux 14.04 Trusty Compatible
Ubuntu Linux 16.04 Xenial Compatible
Ubuntu Linux 18.04 Bionic Compatible

Conformité Mitre Att&ck

MITRE ATT&CK est une base de connaissances avec une modélisation du comportement d’un cyber agresseur, reflétant les différentes phases du cycle de vie des attaques en fonction des plateformes ciblées : Windows, Mac, Linux, mobiles, etc.

Découvrez la compatibilité de TEHTRIS XDR avec MITRE ATT&CK

© 2020 The MITRE Corporation. This work is reproduced and distributed with the permission of The MITRE Corporation.

FAQ

TEHTRIS EDR possède plusieurs fonctions pour effectuer de la remédiation automatisée, sur la base de paramètres prédéfinis, ce qui permet de lutter efficacement en 24/7 contre des menaces inconnues, sans prendre le risque de devoir dépendre d’une équipe humaine à laquelle il pourrait manquer des éléments.

TEHTRIS EDR propose de rechercher plus de 11 000 vulnérabilités de type CVE, ce qui permet de découvrir parfois des choses totalement invisibles, comme des machines vulnérables à cause d’un vieux moteur Java, Adobe Reader, ou Flash, oublié ou installé en mode “legacy”. Vous pouvez ainsi déployer TEHTRIS EDR afin d’auditer votre parc informatique, sans consommer de ressources de manière excessive, et avoir ainsi, la possibilité de faire de la conformité du parc : politique de patch management, critères d’aversion à certains risques, etc.

TEHTRIS EDR possède plusieurs protections contre les ransomwares : les blacklists de notre base de CTI qui enrichissent les choix des EDR, les politiques de sécurité applicatives pour n’autoriser que ce que l’on souhaite, des concepts de type Honeytokens avec de faux fichiers qu’un ransomware voudra détruire tout en se faisant ainsi détecter (leurre informatique de type fichier), et de nombreux mécanismes basés sur le comportemental : attaque de certains points du disque dur, etc.

TEHTRIS EDR possède plusieurs moyens pour lutter contre les attaques latérales, dont la capacité à traiter les logs locaux dans le système d’exploitation, pour détecter si une activité est tentée à distance. C’est un véritable SIEM tactique, local, capable de savoir qu’une session est interactive ou non, distante ou non, afin de pouvoir suivre les attaques de ce type.

TEHTRIS EDR embarque un moteur d’analyse ultra sophistiqué, capable de faire la différence entre un produit légitime et un qui ne l’est pas, en termes de PowerShell, en analysant le code exécuté à la volée afin de ne pas laisser passer une des nombreuses attaques modernes et furtives associées.

TEHTRIS EDR assure sa propre protection grâce à des couches qui sont directement installées dans le noyau Windows, via un driver bas niveau, afin de ne pas permettre une désinstallation, en dehors d’une décision centralisée autorisée. Il n’est pas possible de supprimer l’agent.

La partie analyse de liens URL malveillants avec des listes de C&C, etc., est essentiellement menée par le produit TEHTRIS EPP. En mode Hunting, nous pouvons néanmoins faire des recherches ciblées pour ces menaces avec TEHTRIS EDR.

TEHTRIS EDR continue de fonctionner avec sa politique de sécurité déjà chargée, lorsqu’il passe offline. Il stocke alors les évènements qu’il remontera dès la reconnexion à son appliance Endpoint. Bien évidemment, pendant toute cette phase, le risque d’intrusion, sans connexion à un réseau, semble amoindri de base, vu que TEHTRIS EDR peut aussi endiguer les agressions USB par exemple.

TEHTRIS EDR peut solliciter la partie TEHTRIS Cyber Threat Intelligence afin de faire des analyses en sandbox, d’avoir recours à des antivirus en mode offline, d’utiliser des moteurs de réseaux de neurones, ou d’établir des recherches dans des bases de connaissances de produits malveillants.

TEHTRIS a de nombreux éléments liés à l’intelligence artificielle et aux automatismes associés au niveau Cyber. En mode Machine Learning, TEHTRIS EDR apprend toutes les exécutions dans votre parc, afin de déceler des anomalies, y compris aussi pour les points de persistance utilisés par les pirates pour survivre à un reboot ou à une reconnexion. En mode Deep Learning, TEHTRIS EDR possède un moteur sur base de réseau de neurones compact capable de dire si un logiciel est malveillant ou non. Ce moteur est aussi sollicité au niveau de TEHTRIS Cyber Threat Intelligence. Ce dernier est d’ailleurs le premier produit français accepté par Google sur son service gratuit VirusTotal, où une version publique et non commerciale tourne en permanence à la recherche de malwares inconnus.

TEHTRIS EDR remonte nativement les fichiers à risque vers son infrastructure afin que la charge soit détonnée dans un environnement Sandbox. Les robots planifient et pilotent l’exécution, analysent les résultats, et renvoient tout seuls les bonnes informations aux EDR, afin que ces derniers puissent prendre une décision.

Pour faire simple, les EPP sont les outils de type régalien, en mode antivirus, nouvelle génération, protégeant le poste contre les attaques connues notamment, véritables boucliers des systèmes. Les EDR sont les outils capables de détecter des menaces inconnues et de traiter un incident à distance avec une panoplie de fonctions de réponse à incident. TEHTRIS pense que la différence va s’estomper et que les produits EDR et EPP ne feront plus qu’un, via une convergence technologique nécessaire. L’existence d’un marché EDR n’a été possible que parce qu’ils comblaient des manques techniques du côté des EPP. Dans un futur qui commence d’ores et déjà, les entreprises choisiront un produit de protection Endpoint, combinant une logique EDR et EPP d’une même marque afin de ne pas avoir deux agents à opérer. TEHTRIS EPP et TEHTRIS EDR sont d’ailleurs disponibles à cet effet.

Il faut choisir les critères qui autorisent une neutralisation par des robots. C’est une action à risque, que certains produits EDR ne veulent pas vendre, de peur de tout casser. Le problème est que lorsqu’un ransomware inconnu entre, tout ce que les EDR ne servant qu’à faire de la réponse et analyse sont en mesure de faire, c’est de dire qu’ils ont compris pourquoi l’entreprise est détruite. Ce n’est pas notre philosophie et nous préférons proposer la neutralisation automatique, paramétrée avec soin. En fonction de l’aspect du logiciel inconnu, vous pourrez ainsi décider s’il faut le laisser passer ou non : comportement, résultats des sandboxes, résultats des antivirus, résultats des bases antivirales, etc.

Pour les mobiles, nous proposons une autre gamme de produits, orienté Mobile Threat Defense, différente de TEHTRIS EDR.

Nous recueillons des métadonnées d’une façon compatible avec la GDPR et nous pourrons échanger sur ces éléments si vous le souhaitez.

Si votre agent EPP s’amuse à tuer un logiciel de sécurité qui est là pour protéger votre parc, c’est qu’il existe un souci de paramétrage voire de produit. Actuellement, pour tous les clients qui n’ont pas TEHTRIS EPP, et qui utilisent TEHTRIS EDR depuis 2014, nous avons rencontré un total de zéro problème de conflit.

Un agent TEHTRIS EDR peut recevoir l’ordre de ne plus parler à personne à part à ses appliances de management, afin de pouvoir étudier tranquillement une machine, sans prendre le risque de déplacement latéral, ou d’exploration interne.

TEHTRIS EDR tourne sous Linux, Apple macOS, et Windows.

TEHTRIS EDR collecte et analyse les journaux de sécurité sur les postes de travail, offrant ainsi une capacité dite de SIEM tactique, afin de garder les traces intéressantes pour les analystes de cybersécurité.

TEHTRIS EDR utilise moins de 1% en moyenne sur le CPU, et moins de 100Mo à 200Mo en mémoire vive, suivant les paramétrages que l’on souhaite imposer dessus : chargement du réseau de neurones en mémoire, etc.

TEHTRIS EDR supporte les OS obsolètes sous Windows, comme Windows XP et Windows 2003, que nous rencontrons très souvent notamment dans les milieux de type informatique industrielle (OT, ICS, SCADA) qui sont obligés parfois de conserver ces systèmes pendant des dizaines d’années, compte tenu du prix de revient d’une usine, et d’un équipement de ce type.

TEHTRIS EDR a été testé et déployé par certains de nos clients dans des environnements industriels sur des Windows qui n’étaient pas annoncés par les constructeurs comme le supportant. Ces clients ne pouvaient plus concevoir de ne pas avoir d’antivirus (pas assez de RAM, trop vieux, etc.) ou d’EDR (léger et puissant mais non officiellement supporté par le constructeur OT). Ils ont passé des accords avec les constructeurs, et ont mené seuls certains tests, avec l’aide de TEHTRIS en background. Nous sommes par exemple dans des usines avec des équipements de différentes marques : Siemens, etc.

TEHTRIS EDR peut interdire l’usage des stockages externes, ou même les passer en lecture seule afin d’éviter une exfiltration volontaire ou par inadvertance. TEHTRIS enregistre la liste de toutes les traces d’équipements USB branchés pour apporter une traçabilité concernant ces menaces.

ACTUALITÉS EDR