Pourquoi l'EDR n'est pas suffisant ?
Depuis 10 ans, aucune évolution n'a été constatée dans le domaine de la prévention contrairement à d'autres aspects de la cybersécurité. Plus stratégique que la réponse à une attaque, la prévention rassemble de très nombreux avantages et est indispensable.
Le marché de la cybersécurité a vu l'émergence de nouvelles offres de type EDR (Endpoint Detection and Response). Celles-ci reposent sur des agents installés sur les terminaux, qui collectent et envoient des données comportementales à une base de données centrale pour analyse. Ils sont alors en mesure d'identifier des tendances et de détecter des anomalies, qui peuvent ensuite être automatisées pour envoyer des alertes en vue de mesures correctives ou d'une investigation plus approfondie.
Une solution de type EDR va générer des alertes qui doivent être traitées rapidement. Certaines correspondront à de réels comportements malicieux, alors que d'autres ne seront pas si claires et nécessiteront une investigation. C'est là que le SOC (Security Operations Centre) devient pertinent. Il est géré par des experts en sécurité responsables de la surveillance de la sécurité en continu.
Les solutions EDR sont devenues incontournables pour détecter et remédier à la plupart des menaces cybersécurité auxquelles les organisations sont confrontées quotidiennement. Véritable outil d'investigation, ce dernier est devenu un pilier des dispositifs de sécurité modernes. Cependant les attaques ont explosé en fréquence et en gravité mettant à mal l'efficacité et les capacités de protection des EDR.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Le paysage des menaces devient aussi bien plus dangereux. Entre 2019 et 2020, une augmentation de 800 % des attaques par ransomware* a été constatée et le Ponemon Research a indiqué que 80 % des vulnérabilités proviennent de logiciels malveillants précédemment inconnus et d'attaques de type zero-day. Les outils, que de nombreuses organisations utilisent, n'offrent pas une protection adéquate contre des attaques de plus en plus sophistiquées.
Bien que ces solutions se soient améliorées ces dernières années, il est encore fréquent que les équipes ne reçoivent que peu d'informations contextuelles, ce qui les empêche de hiérarchiser correctement leur réponse (faux positifs). D'ailleurs l'EDR n'est pas un outil adapté à toutes les organisations puisqu'il nécessite d'avoir un SOC dédié ou managé.
Repenser la cyberdéfense
L'EDR est basé sur une mentalité de « présomption de violation », c'est-à-dire sur l'idée reçue selon laquelle aucune cyberdéfense ne peut réellement empêcher les cybercriminels de pénétrer dans un environnement. Les solutions de détection et de réponse telles que les EDR, MDR, NDR et XDR ont toutes un point commun : elles sont toutes basées sur la remédiation post-exécution. De par son nom même, l'EDR n'est pertinent qu'une fois que l'attaque a eu lieu. Et cela signifie en fin de compte que les attaquants sont déjà à l'intérieur du réseau de l'entreprise lorsque les solutions de détection et de réponse remontent les incidents.
La post-exécution est trop tardive pour empêcher une violation et la remédiation est coûteuse et prend du temps - un point mis en évidence par une récente étude testant l'efficacité de 11 des outils EDR les plus connus et soulignant leurs lacunes inhérentes. La professionnalisation des menaces modernes et le nombre élevé de brèches réussies ont prouvé que le système EDR n'est pas suffisant pour arrêter les menaces de plus en plus avancées d'aujourd'hui.
Il est temps de redéfinir ce qu'est véritablement la prévention des menaces et d'explorer les nouvelles technologies basées sur le Deep Learning qui ont rendu possibles la détection, la classification et la prévention des logiciels malveillants.
Mieux vaut prévenir que répondre
Les entreprises reconnaissent leurs incapacités à se protéger contre les menaces les plus avancées d'aujourd'hui et investissent activement dans une meilleure protection. Gartner prévoyait que les dépenses mondiales en matière de sécurité et de gestion des risques dépasseraient 150 milliards de dollars en 2021. Elles ont probablement dépassé ce chiffre.
Une approche privilégiant la prévention pour stopper les menaces vient remplacer ou compléter la vision traditionnelle afin de réduire, voire d'éliminer les risques. La prévention en pré-exécution des logiciels malveillants et la réduction du nombre des faux positifs améliorent les opérations, réduisent les coûts et bloquent les menaces connues, inconnues et de type « zero-day », y compris les ransomwares, avant qu'elles n'aient la possibilité d'infecter l'environnement de l'organisation.
Les solutions de prévention basées sur le Machine Learning sont aussi généralement tributaires des flux de données provenant des outils antivirus, des EDR et d'autres outils de sécurité. Cela signifie qu'ils ne peuvent que réagir aux menaces, plutôt que de les prévoir. Et les attaquants sont de plus en plus capables d'exploiter ces failles avec des attaques conçues pour faire leurs dégâts avant qu'elles ne puissent être détectées.
Et si les solutions basées sur le Machine Learning se sont révélées indispensables pour faire face à l'avalanche d'alertes, elles sont limitées par leur nature réactive. En effet, cette approche est fondamentalement incapable de prévenir les attaques en amont de la chaîne. Les attaques ont le temps de s'exécuter avant que les systèmes n'aient réussi à identifier leur nature malveillante, ce qui peut prendre plusieurs minutes, voire plus.
Aller encore plus loin que le Machine Learning
Le Deep Learning est le sous-ensemble le plus avancé de l'Intelligence Artificielle. Cette technologie représente la prochaine étape de la sécurité intelligente, car ses fondements s'inspirent du fonctionnement du cerveau humain. Plus la machine reçoit de données brutes, plus elle comprend intuitivement la signification des nouvelles données.
La technologie de Deep Learning permet aux entreprises de bloquer complètement les cyberattaques. Elle peut les détecter et y répondre, mais aussi les prédire et les prévenir, en arrêtant plus de 99 % des menaces et en réduisant considérablement les fausses alertes à <0.
Une nouvelle réflexion sur les outils EDR est donc nécessaire.
Une solution de cybersécurité capable de prévoir et de détecter les attaques inconnues, sans intervention humaine, révolutionnera la cyberdéfense des entreprises. Grâce au Deep Learning, les entreprises pourront non seulement empêcher les attaques actuelles, mais aussi prédire et prévenir celles de demain.
Sur le même thème
Voir tous les articles Cybersécurité