L’EDR, complément indispensable du SOC

Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l’EDR s’impose.

by adidionxlm

L’EDR, complément indispensable du SOC

Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l’EDR s’impose.

by adidionxlm

by adidionxlm

Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l’EDR s’impose.

 

«Qui a confiance dans ses endpoints ?» Dans la salle, pas une main ne se lève. Fort de la portée de sa question, Tomalslov Pavlovic, System Engineer Specialist, Palo Alto, ne s’en étonne pas. Si la sécurité des endpoints fait partie des composantes clés d’une stratégie de cybersécurité, on en est encore loin : des études récentes révèlent que 30% des intrusions connues impliquent l’installation de logiciels malveillants au niveau des endpoints.

 

L’EDR (Endpoint Detection and Response) était un sujet fort des récentes Rencontres de la Sécurité Informatique, organisées pour la sixième année consécutive par Excellium. Et pour cause : chaque appareil se connectant à un réseau constitue un vecteur d’attaque potentielle; chacune de ces connexions est un point d’entrée potentiel vers nos données. Avec la montée en puissance du BYOD (Bring Your Own Devices), les attaques mobiles et des techniques sophistiquées de piratage n’ont fait qu’augmenter les risques de voir nos données piratées.

 

Détection proactive

 

«L’EDR fournit une véritable visibilité de bout en bout de l’activité de chaque point de terminaison de l’infrastructure de l’entreprise, estime Tomalslov Pavlovic. Tout est contrôlé à partir d’une seule console, avec de précieux renseignements sur la sécurité qu’un expert en sécurité informatique peut utiliser pour approfondir ses recherches et les réponses. De là, d’ailleurs, une corrélation évidente entre EDR et SOC…»

 

L’objectif principal de l’EDR est la détection proactive de menaces nouvelles ou inconnues, mais aussi la détection d’infections non identifiées antérieurement et qui s’infiltrent dans l’organisation en passant directement par les points de terminaison et les serveurs.

 

Chez Palo Alto, cette mission revient à Cortex XDR, une application cloud basée sur l’intelligence artificielle qui permet aux équipes de sécurité de détecter et neutraliser les attaques sophistiquées, tout en renforçant constamment leur dispositif de défense. «Avec Cortex XDR, fini les silos de données qui fragmentent l’action des équipes de cybersécurité et ralentissent les réponses aux incidents», commente Tomalslov Pavlovic. Sa capacité à corréler nativement les données du cloud, du réseau et des terminaux permet d’exploiter l’analytique et le machine learning pour améliorer chaque étape des opérations de sécurité. Le machine learning entre alors en jeu pour profiler les comportements et détecter des schémas d’attaque jusqu’alors inconnus. De son côté, l’automatisation permet d’identifier les causes racines et de dresser un tableau complet des menaces potentielles. Un moteur de requêtes ultra-puissant fournit quant à lui toute l’assise nécessaire à la traque des menaces. Enfin, des règles personnalisées assurent la mise en application des connaissances acquises pour faciliter les investigations futures et la détection de menaces similaires.

 

Une vision indispensable

 

Notons pour conclure que Cortex XDR s’intègre étroitement à l’outil de protection des endpoints et d’intervention Traps pour collecter toutes les données nécessaires à la traque des menaces et aux investigations. Il fournit un tableau complet de chaque incident, révélant les causes profondes et facilitant ainsi les investigations. Cela contribue à accélérer le confinement grâce à une intégration étroite avec les points d’exécution, permettant de neutraliser les attaques avant que des dommages ne se produisent.

 

Bref, conclut Tomalslov Pavlovic, l’EDR agit comme «un accélérateur pour les équipes opérationnelles travaillant pour le SOC». Pour lui, «les informations remontées doivent en théorie permettre d’avoir une vision globale». L’EDR peut s’avérer très bénéfique pour le SOC : «les remontées d’incidents associés donnent des éléments intéressants concernant les modalités d’attaques qui passent à travers ces équipements, également au niveau de la progression des populations ciblés lors de campagne de hameçonnage ou de propagation de logiciel malveillant.» C’est un outil indispensable pour tout SOC s’il veut une vision de son système d’information dans un contexte d’ouverture.

 

Top