Comprendre le paysage actuel des menaces

Comme indiqué par nos threat hunters dans notre Rapport 2021 sur le Threat Hunting, les intrusions ont augmenté de 60 % et ciblent l’ensemble des secteurs d’activité et zones géographiques. Le rapport fait également état d’une baisse significative du temps de propagation (le temps nécessaire à un intrus pour commencer à se déplacer latéralement dans le réseau) à 92 minutes seulement, soit trois fois moins que l’année précédente.

Rapport 2021 sur le Threat Hunting

Vous souhaitez obtenir des informations uniques sur les cyberadversaires rencontrés par nos experts en Threat Hunting au cours du premier semestre 2021 ? Téléchargez notre Rapport 2021 sur le Threat Hunting

Télécharger

L’augmentation de la vitesse et du nombre d’attaques peut être attribuée à plusieurs facteurs, notamment :

• La pandémie de COVID-19 et les confinements, qui ont considérablement augmenté le temps passé en ligne
• Le passage au télétravail (une tendance existante qui s’est rapidement intensifiée en raison de la pandémie de COVID-19), qui a élargi la surface d’attaque des entreprises
• La prolifération des terminaux connectés et de la technologie IoT (Internet des objets), qui offre une multitude de points d’entrée aux cybercriminels
• La migration vers le cloud, qui exige une stratégie de sécurité fondamentalement différente de celle des réseaux sur site traditionnels
• La technologie 5G, qui favorise davantage encore l’utilisation des terminaux connectés
• La disponibilité de cyberpirates « à louer », qui permet aux cybercriminels qui n’ont pas les compétences techniques nécessaires de mener des attaques de ransomwares et autres malwares

Ces facteurs, auxquels s’ajoutent la sophistication croissante des cyberadversaires et le perfectionnement continu de leurs tactiques, techniques et procédures (TTP), obligent les entreprises à élaborer et à déployer une stratégie et des outils de cybersécurité adéquats. Les entreprises doivent également tirer des enseignements des cybermenaces détectées et s’assurer que les attaques sont attribuées à des cyberadversaires et que leurs tactiques sont identifiées.

Dans cet article, nous examinons deux des éléments les plus importants de toute architecture de cybersécurité – les solutions de détection et d’intervention sur les endpoints (EDR) et les antivirus de nouvelle génération – et les points que les entreprises doivent prendre en considération au moment de choisir de tels outils et de les intégrer dans leur stratégie de cybersécurité plus large.

Présentation de la détection et de l’intervention sur les endpoints (EDR)

Une solution de détection et d’intervention sur les endpoints (EDR) est une solution de cybersécurité qui détecte et atténue les cybermenaces en surveillant en continu les endpoints et en analysant leurs données.

Les solutions EDR fournissent une visibilité en temps réel continue et complète sur l’activité au niveau des endpoints. L’analyse comportementale et la cyberveille exploitable sont ensuite appliquées aux données des endpoints pour empêcher qu’un incident se transforme en compromission.

Un véritable outil EDR doit disposer des fonctionnalités suivantes :

• Recherche et investigation des données d’incidents
• Validation des alertes après leur tri ou en cas d’activité suspecte
• Détection des activités suspectes
• Threat Hunting ou exploration des données
• Blocage des activités malveillantes

Présentation de l’antivirus de nouvelle génération (NGAV)

Un antivirus de nouvelle génération (NGAV) est un outil de cybersécurité qui combine intelligence artificielle (IA), détection des comportements, algorithmes de Machine Learning et atténuation des exploits pour anticiper et prévenir les menaces connues et inconnues.

Contrairement à un antivirus traditionnel, un antivirus de nouvelle génération est basé dans le cloud, ce qui permet de le déployer plus rapidement et de ne pas surcharger les endpoints. Il supprime ou réduit en outre de façon significative la charge de travail liée à la maintenance des logiciels, à la gestion de l’infrastructure et à la mise à jour des bases de données de signatures.

Un antivirus de nouvelle génération présente les fonctionnalités suivantes :

• Détection des menaces connues et inconnues et des attaques sans fichier
• Architecture cloud sans impact sur les performances des endpoints ou ne nécessitant aucun logiciel ou matériel supplémentaire
• Implémentation et mise à jour rapides et simples

Différence entre un antivirus de nouvelle génération et une solution EDR

Ces deux solutions partagent un même objectif : aider les entreprises à réduire les risques grâce à la prévention des cyberattaques. En revanche, elles diffèrent en ce qui concerne leur fonctionnement et le moment où elles sont utilisées.

L’antivirus de nouvelle génération est l’élément de prévention du dispositif de sécurité des endpoints qui vise à empêcher les cybermenaces de s’introduire dans le réseau. Il constitue une première ligne de défense indispensable pour l’entreprise, mais n’est pas infaillible. Aucune solution, quel que soit son degré de sophistication, n’offre une protection absolue.

Lorsqu’elles parviennent à contourner l’antivirus de nouvelle génération, les cybermenaces sont détectées par la solution EDR, ce qui permet aux équipes de sécurité de bloquer le cyberadversaire avant qu’il ne puisse se déplacer latéralement dans le réseau. La solution EDR peut être comparée à un filet de sécurité qui piège les menaces ayant déjoué la première ligne de défense (l’antivirus de nouvelle génération).

En plus de détecter les menaces, la solution EDR collecte des données sur l’attaque, notamment les TTP employées. L’équipe de sécurité dispose ainsi d’informations contextualisées, concernant notamment l’attribution, le cas échéant, ainsi que des détails sur le cybercriminel et toutes autres informations connues sur l’attaque. Elle pourra dès lors répondre plus rapidement aux menaces et les neutraliser avec précision afin de limiter les dégâts. Une fois la menace contenue, l’outil EDR aide aussi votre équipe à collecter plus de détails sur le déroulement et la propagation de l’attaque afin de prévenir des attaques similaires à l’avenir.

Mon entreprise a-t-elle besoin à la fois d’un antivirus de nouvelle génération et d’une solution EDR ?

Compte tenu de la sophistication croissante des cyberadversaires, ainsi que de l’évolution et du perfectionnement continus de leurs techniques, tactiques et procédures, ces deux outils sont nécessaires au renforcement des défenses des entreprises.

Si vos dispositifs de prévention échouent dans leur mission, vous courez le risque que votre solution de sécurité des endpoints actuelle laisse votre entreprise dans le brouillard. Les cyberadversaires pourraient dès lors profiter de la situation pour s’introduire dans votre réseau et s’y déplacer.

En l’absence de solution de détection des menaces adaptée, les cyberattaquants peuvent exploiter les défaillances silencieuses pour se déplacer librement dans votre environnement pendant des jours ou des semaines, voire des mois. Ils mettront ce temps à profit pour créer des portes dérobées leur permettant de revenir quand ils le souhaitent.

Faut-il combiner une solution EDR et un antivirus de nouvelle génération ?

Bien que les solutions EDR et les antivirus de nouvelle génération soient généralement des produits distincts, ils n’en sont pas pour autant autonomes et ne doivent pas être déployés de façon isolée.

Ces outils doivent au contraire se compléter et être utilisés conjointement pour renforcer le niveau de sécurité global. Qui plus est, ils doivent être intégrés à la stratégie et à l’architecture de cybersécurité globales de l’entreprise, lesquelles doivent inclure d’autres fonctionnalités de sécurité, comme le Threat Hunting, ainsi que des règles claires et contraignantes en matière de gestion des identités et des accès (IAM), d’authentification à plusieurs facteurs (MFA) et de modèle Zero Trust.

Aucune solution ne pouvant assurer une protection totale, il convient d’adopter une stratégie de sécurité multidimensionnelle permettant de combler les lacunes et de pallier les limitations de chaque outil, qui constituent souvent autant de points d’entrée de choix pour les cyberadversaires.

Comment évaluer les différents antivirus de nouvelle génération et solutions EDR ?

Le marché de la cybersécurité s’est considérablement densifié ces dernières années, ce qui complique singulièrement la tâche des entreprises à la recherche d’un outil adapté à leurs besoins spécifiques.

Voici quelques-uns des principaux critères à prendre en considération à l’heure d’évaluer et de choisir des outils de protection des endpoints, comme un antivirus de nouvelle génération ou une solution EDR :

Intégration : l’un des aspects les plus importants à prendre en compte lors du choix d’un antivirus de nouvelle génération ou d’une solution EDR est sa capacité à s’intégrer à l’architecture de cybersécurité plus large sans accroître la complexité ni exiger d’infrastructure de gestion sur site. D’autres aspects fondamentaux doivent également être pris en compte :

• L’intégration avec la cyberveille afin de déterminer immédiatement l’origine, l’impact et la gravité des attaques dans l’environnement et de fournir les conseils nécessaires pour une intervention décisive et une résolution rapide
• La disponibilité d’API complètes pour connecter les différentes applications et assurer le partage rapide et efficace des données
• L’intégration avec des technologies adjacentes, telles que le contrôle des terminaux, les pare-feux, le Threat Hunting et d’autres outils et solutions de sécurité

Solution basée dans le cloud : seule une technologie cloud peut protéger efficacement les endpoints, tout en s’assurant que des tâches comme la recherche, l’analyse et l’investigation en temps réel peuvent être réalisées. Les solutions EDR et les antivirus de nouvelle génération natifs au cloud accélèrent le déploiement, améliorent les performances des endpoints et simplifient l’utilisation pour l’équipe informatique.

Technologies avancées : les solutions EDR et antivirus de nouvelle génération doivent s’appuyer sur des technologies innovantes, comme l’intelligence artificielle, le Machine Learning, la protection basée sur les comportements et l’atténuation des exploits, pour faire face à des cyberadversaires qui changent constamment de tactiques, techniques et procédures pour s’infiltrer dans les entreprises, qu’il s’agisse de malwares de base ou zero day, ou encore d’attaques avancées sans logiciels malveillants. Pour un antivirus de nouvelle génération, s’appuyer uniquement sur des méthodes basées sur les signatures ou sur des indicateurs de compromission conduit à des « défaillances silencieuses », qui favorisent à leur tour la compromission de données. De son côté, pour être efficace, une solution EDR nécessite l’adoption d’une approche fondée sur les comportements, qui s’appuie sur la recherche d’indicateurs d’attaque pour vous prévenir des activités suspectes avant toute compromission.

Prévention en ligne et hors ligne : qu’ils soient en ligne ou hors ligne, les endpoints doivent être protégés. Les solutions qui prennent en charge le traitement des données et la prise de décisions au niveau de l’endpoint garantissent une détection et une prévention de haute précision, mais aussi une protection continue des endpoints, qu’ils soient ou non en cours d’utilisation.

Rentabilité immédiate : dans le paysage actuel des menaces, chaque minute compte. Les solutions EDR et les antivirus de nouvelle génération, généralement déployés et opérationnels en quelques heures, sans matériel ni logiciel supplémentaire et sans réglage ni configuration, renforcent considérablement le niveau de sécurité de l’entreprise.