L'EDR (Endpoint Detection and Response), également appelé ETDR (Endpoint Threat Detection and Response), est une solution intégrée de sécurité des terminaux qui associe la surveillance et collecte continues en temps réel des données des terminaux, à des fonctionnalités de réponse et d'analyse automatisées basées sur des règles. Le terme a été suggéré par Anton Chuvakin du bureau d'études Gartner pour décrire les systèmes de sécurité émergents qui détectent et analysent les activités suspectes sur les hôtes et les terminaux en s'appuyant sur une automatisation intensive pour permettre aux équipes de sécurité d'identifier rapidement les menaces et d'y répondre.
Les principales fonctions d'un système de sécurité EDR sont :
L'adoption des solutions EDR devrait augmenter considérablement au cours des prochaines années. D'après l'étude « Endpoint Detection and Response - Global Market Outlook (2017-2026) » de Stratistics MRC, les ventes de solutions EDR, sur site et dans le cloud, devraient atteindre 7,27 milliards de dollars d'ici 2026, avec un taux de croissance annuel de presque 26 %.
L'augmentation du nombre de terminaux connectés aux réseaux est l'un des facteurs à l'origine de l'adoption croissante de l'EDR. Un autre élément important est la sophistication accrue des cyberattaques, qui se concentrent souvent sur les terminaux en raison de la relative facilité avec laquelle il est possible de les exploiter pour infiltrer un réseau.
La technologie EDR fournit une plate-forme intégrée pour la collecte, la corrélation et l'analyse des données des terminaux, et pour la coordination des alertes et des réponses aux menaces immédiates. Les outils EDR comportent trois composants de base :
Agents de collecte des données des terminaux. Des agents logiciels surveillent les terminaux et collectent des données (telles que les processus, les connexions, le volume d'activité et les transferts de données) dans une base de données centrale.
Réponse automatisée. Les règles préconfigurées d'une solution EDR peuvent identifier, dans les données entrantes, un type connu de compromission de sécurité et déclenchent une réponse automatique, par exemple la déconnexion de l'utilisateur final ou l'envoi d'une alerte à un membre du personnel.
Analyse et investigation numérique. An endpoint detection and response system may incorporate both real-time analytics, for rapid diagnosis of threats that do not quite fit the pre-configured rules, and forensics tools for threat hunting or conducting a post-mortem analysis of an attack.
De nouveaux services et fonctionnalités étendent la capacité des solutions EDR à détecter et à analyser les menaces.
Par exemple, des services de Threat Intelligence tiers, tels que Trellix Global Threat Intelligence, améliorent l'efficacité des solutions de sécurité des terminaux. Les services de Threat Intelligence fournissent à une entreprise une base mondiale d'informations sur les menaces actuelles et leurs caractéristiques. Ces renseignements collectifs permettent d'améliorer la capacité d'un serveur EDR à identifier les exploits, en particulier dans le cadre d'attaques multiniveaux et zero-day. De nombreux fournisseurs d'EDR proposent des abonnements à des services de Threat Intelligence avec leur solution de sécurité des terminaux.
De plus, les nouvelles fonctionnalités d'investigation de certaines solutions EDR peuvent tirer parti de l'intelligence artificielle et de l'apprentissage automatique pour automatiser les étapes d'un processus d'investigation. Ces nouvelles fonctionnalités peuvent apprendre les comportements de référence d'une organisation et utiliser ces informations, ainsi que d'autres sources de Threat Intelligence, pour interpréter les résultats.
Un autre type de Threat Intelligence est le projet ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) de MITRE, un groupe de recherche à but non lucratif qui collabore avec le gouvernement des États-Unis. ATT&CK est une base de connaissances et un cadre basés sur l'étude de millions de cyberattaques réelles.
ATT&CK classe les cybermenaces en fonction de divers facteurs, tels que les tactiques utilisées pour infiltrer un système informatique, le type de vulnérabilités système exploitées, les outils de malware utilisés et les groupes cybercriminels associés à l'attaque. L'objectif du projet ATT&CK est d'identifier les modèles récurrents et les caractéristiques qui restent inchangées, indépendamment des modifications mineures apportées à un exploit. Certains détails tels que les adresses IP, les clés de Registre et les numéros de domaine peuvent changer régulièrement. Toutefois, les méthodes d'un attaquant, c'est-à-dire son mode opératoire, varient généralement peu. Une solution EDR peut s'appuyer sur ces comportements répétés pour identifier les nouvelles variantes de ces menaces.
Les professionnels de la sécurité informatique sont confrontés à des cybermenaces de plus en plus complexes et à la multiplication de terminaux très divers qui se connectent au réseau. Dans cette perspective, ils ont besoin du soutien que leur procurent les fonctions d'analyse et de réponse automatisées des solutions EDR.