Ignorer le contenu principal
TECHNOLOGIE

Protection du réseau des sociétés : Kaspersky Endpoint Detection and Response (KEDR)

Contrairement aux solutions traditionnelles de protection des terminaux, notre solution EDR offre une visibilité des événements sur plusieurs hôtes ainsi que de solides méthodes de détection (sandboxing, modèles de Deep Learning, corrélation d'événements), le tout associé à des outils performants d'enquête sur les incidents, de recherche proactive des menaces et de réponse aux attaques.

Kaspersky EDR est une solution de cybersécurité dédiée à la protection des systèmes informatiques d'entreprise. Elle enrichit la sécurité informatique de capacités de détection et de réponse (EDR) au niveau des terminaux ::

  • Extraction de schémas d'attaques élaborées, automatiquement et manuellement, à partir d'événements sur de nombreux hôtes.
  • Réponse aux attaques en bloquant leur progression.
  • Prévision des attaques à venir.

Le temps presse

Il n'y a pas si longtemps, on assistait à des attaques massives de programmes malveillants. Elles ciblaient des terminaux distincts et infectaient des ordinateurs particuliers. Les attaques massives de programmes malveillants sont automatiques : elles choisissent des victimes aléatoires via des emails de masse, des sites de phishing, des points d'accès wifi frauduleux, etc. Comme remède, on optait pour des solutions de protection des terminaux (EPP), qui protégeraient les hôtes contre la diffusion en masse de programmes malveillants.

Face à la détection efficace des outils EPP, les auteurs d'attaques se sont rabattus sur la stratégie plus coûteuse, mais plus efficace, d'attaques ciblées contre des victimes précises. En raison de leur coût élevé, ces attaques ciblées sont généralement perpétrées contre des entreprises dans le but de leur soutirer de l'argent. Les attaques ciblées impliquent une phase de reconnaissance et sont conçues pour pénétrer, sans être repérées, dans le système informatique de la victime. La chaîne de frappe de l'attaque implique de nombreux hôtes du système informatique.

En raison de la grande diversité des techniques employées et de la nature interactive d'opérations nécessitant une supervision humaine, les attaques ciblées peuvent échapper à la sécurité assurée par un outil EPP :

  • Les EPP s'appuient sur ce qu'ils voient sur un seul terminal. Or, les attaques avancées interviennent sur de nombreux hôtes, menant des actions qui semblent peu ou prou légitimes sur un autre terminal. Même si les EPP hôtes détectent certaines de ces actions, les attaquants finissent par construire une chaîne de frappe multi-hôtes. Les traces de telles attaques sont donc disséminées sur de nombreux hôtes.
  • Comme le verdict de la solution EPP est automatique, les cybercriminels peuvent vérifier que leur attaque n'est pas détectée par l'EPP de la victime ou d'autres solutions de sécurité automatiques. Les attaquants conservent à dessein des batteries d'outils de protection contre les programmes malveillants.
  • Les éditeurs ne peuvent pas renforcer la protection en rendant simplement les solutions EPP plus « paranoïaques », au risque de générer trop de faux positifs. Ainsi, même lorsque quelque chose de louche se produit sur un hôte qui pourrait faire partie d'une chaîne de frappe ainsi que d'une action légitime, la solution EPP est conçue pour ne pas intervenir.

Pour faire face aux attaques ciblées, les éditeurs de cybersécurité complètent les solutions EPP avec des fonctionnalités Endpoint Detection and Response (EDR) :

  • Visibilité centralisée des événements sur de nombreux hôtes pour leur corrélation manuelle et automatique
  • Mise à disposition du personnel de sécurité de suffisamment de données sur les événements
  • Création d'outils de réponse et de correction, contrant ainsi les attaques à supervision humaine par une cyberdéfense à supervision humaine

En substance, une solution EDR ajoute de nouvelles couches de protection des terminaux contre les attaques avancées.

L'apport de Kaspersky EDR en matière sécurité

Kaspersky EDR ajoute des capacités de protection à une solution EPP existante. Si la solution EPP est conçue pour parer aux attaques de masse simples (virus, chevaux de Troie, etc.), l'EDR assure une protection contre les attaques avancées. Avec cette solution, les analyses menées permettent de visualiser l'activité des programmes et/ou événements malveillants associés à un logiciel légitime, dans le contexte d'une attaque, découvrant ainsi toute la chaîne de frappe.

Kaspersky EDR est entièrement intégrée à Kaspersky Enterprise Security EPP et est compatible avec les solutions EPP d'autres éditeurs. L'EDR ajoute les éléments suivants :

  • Visibilité de l'événement multi-hôtes : agrégation de traces d'attaque disséminées à travers le système informatique
  • Détection avec des méthodes « lourdes », qui nécessitent une grande puissance de calcul inaccessible aux terminaux utilisateur normaux en raison de l'effet possible sur le flux de travail normal de l'utilisateur : pré-traitement avancé, sandbox, modèles de Machine Learning lourd, y compris entre autres, le Deep Learning. Les méthodes lourdes offrent une détection de meilleure qualité
  • Outils d'experts pour l'enquête sur les incidents, la recherche proactive de menaces et la réponse en cas d'attaque

Kaspersky EDR Optimum

Éléments

  • Sonde de terminaux (sensor) : intégrée à Kaspersky Endpoint Security en un seul agent ou autonome (pour déploiement avec d'autres solutions EPP)
  • Serveurs sur site (stockage d'événements, moteur analytique ; module de gestion ; une sandbox en option). L'établissement conserve sur place les données de l'événement afin que le client puisse bénéficier d'un contrôle total.
  • Le cloud KSN ou cloud privé KPSN pour l'enrichissement de la détection en temps réel et la réaction rapide aux nouvelles menaces

EDR dans le cadre de Kaspersky Threat Management and Defense

Kaspersky EDR, la plateforme Kaspersky Anti Targeted Attack et Kaspersky Cybersecurity Service (KCS) constituent une bonne stratégie en matière de protection avancée et de Threat Intelligence :

  • La plateforme Kaspersky Anti Targeted Attack ajoute la détection basée sur le réseau, le Web et les emails, portant le champ de détection des attaques ciblées de la solution jusqu'au niveau « terminal+réseau ».
  • KCS s'accompagne du support assuré par des experts pour l'équipe de sécurité informatique du client : formation, fourniture de données de Threat Intelligence, gestion du Centre de supervision de la sécurité (SOC) par Kaspersky, entre autres options.

Intégration aux systèmes SIEM

Vous pouvez intégrer notre EDR aux systèmes SIEM tiers (les données de détection sont exportées au format CEF – Common Event Format).

Fonctionnalités

Agrégation et visibilité d'événements centralisés en continu. L'EDR regroupe les événements des hôtes en temps réel :

  • L'EDR agrège continuellement les événements, quels que soient leur cause et leur niveau de suspicion. Cela renforce l'efficacité de l'EDR contre les programmes malveillants inconnus. Nous pourrions concevoir les solutions EDR de manière à regrouper uniquement les événements suspects ou liés à des programmes malveillants, et ainsi économiser de l'espace disque sur le nœud central (comme le font d'autres solutions EDR). Mais dans ce cas, les actions légitimes de cybercriminels en possession d'identifiants volés ne seraient pas consignées dans un journal.
  • Le nœud central EDR télécharge le flux d'événements à partir des hôtes pour le transférer à son espace de stockage sur le nœud central. D'autres éditeurs d'EDR stockent les événements directement sur les hôtes. Lorsque le nœud central a besoin de données sur les événements, il demande aux hôtes des informations de journal. Cette conception permet d'économiser de l'espace disque sur le nœud central, mais rend la recherche plus lente et dépendante de la connexion. De plus, la visibilité de l'hôte est fonction de sa disponibilité dans le réseau.

Détection automatique. Les menaces visibles dans le champ d'un seul hôte sont détectées par Kaspersky Endpoint Security à l'aide de la détection heuristique, comportementale et cloud (ou d'une autre application hôte EPP). Au-dessus, l'EDR ajoute des couches de détection avec un champ multi-hôtes, basé sur la corrélation du flux d'événements venant de plusieurs hôtes.

Outre la détection basée sur les événements, les agents hôtes EDR envoient automatiquement des objets suspects ou des parties de mémoire au nœud central pour une analyse plus approfondie avec des algorithmes dépassant la puissance de calcul normale des hôtes, y compris un pré-traitement lourd, des algorithmes heuristiques et le Machine Learning, une sandbox, une détection cloud étendue, la détection basée sur le flux de données sur les menaces (threat data feed) de Kaspersky et les règles de détection personnalisées (YARA).

La détection manuelle ou la recherche proactive des menaces (traces d'attaques ou de menaces) par un opérateur. L'EDR vous permet de retracer tout l'historique des événements de nombreux hôtes, agrégés dans l'espace de stockage :

  • Vous pouvez rechercher dans le stockage des traces d'attaques et d'événements suspects, et les relier pour reconstituer la chaîne de frappe potentielle. Les requêtes de recherche dans la base de données prennent en charge les filtres composés (par hôtes, technologie de détection, temps, verdict, niveau de gravité, etc.).
  • Vous pouvez télécharger de nouveaux indicateurs de compromission dans l'EDR et détecter les menaces persistantes antérieures non détectées.
  • Vous pouvez soumettre manuellement des objets suspects à une analyse plus approfondie par des méthodes de détection « lourdes».
  • Si l'entreprise a activé le service KL TIP (plateforme de Threat Intelligence de Kaspersky), vous pouvez demander des informations sur les objets dans la base de données des menaces.

La réponse inclut des actions qu'un opérateur peut prendre lorsqu'il détecte une menace. Ces actions peuvent être les suivantes :

  • Enquête sur les incidents, reconstitution d'événements dans la chaîne de frappe.
  • Opérations à distance sur l'hôte, y compris la suppression de processus, la suppression ou la mise en quarantaine de fichiers, l'exécution de programmes, etc.
  • Confinement de la menace détectée par le refus – basé sur le hachage – de l'exécution d'objets.
  • L'annulation des modifications sur les hôtes causée par l'activité de programmes malveillants repose sur la solution EPP. Par exemple, Kaspersky Endpoint Security annule ces actions de programmes malveillants.

La prévention consiste en des politiques qui limitent les activités des objets sur les terminaux :

  • Les politiques de refus d'exécution basé sur le hachage empêchent l'exécution de fichiers particuliers (PE, scripts, documents de bureau, PDF) dans l'ensemble du système informatique, ce qui vous permet d'éviter les attaques qui se propagent actuellement dans le monde entier.
  • La détection automatique d'objets ou d'URL sur les hôtes, qui ont déjà été détectés dans une sandbox comme des programmes malveillants.
  • Le contrôle de l'exécution des applications (liste blanche, contrôle au démarrage, contrôle des privilèges), les politiques d'accès au réseau, d'accès aux clés USB, etc. s'appuient sur la solution EPP. Kaspersky Endpoint Security EPP propose toutes ces fonctionnalités de prévention.

La gestion de Kaspersky EDR est basée sur les rôles et propose la gestion des flux de travail : affectation d'alertes, état d'alerte de suivi, traitement des alertes de journalisation. Les notifications par email sont configurées avec flexibilité en fonction des types d'alertes et de leurs combinaisons (type de détection, gravité, etc.).

Cas d'utilisation : découverte de la chaîne de frappe

Les agents hôtes EDR envoient régulièrement des événements au serveur EDR interne.

  1. L'un des événements reçus sur le serveur est associé à l'exécution d'un fichier avec un événement unique dans le système informatique de l'entreprise (à en juger par son hachage). Le fichier a d'autres caractéristiques suspectes.
  2. Le serveur déclenche une enquête plus approfondie. Il télécharge le fichier lui-même pour l'analyse automatisée par les moteurs analytiques de l'EDR. Le fichier est mis en file d'attente en vue de procédures d'analyse automatiques.
  3. La sandbox assimile le comportement des fichiers à celui de programmes malveillants et alerte l'opérateur.
  4. L'opérateur lance une enquête manuelle et vérifie les événements éventuellement associés à l'infection :
    a. Avec des outils d'administration standard, il constate que les machines infectées avaient été consultées à partir d'un serveur Web d'entreprise, lequel est disponible sur Internet. Il trouve des fichiers suspects et des processus en cours d'exécution sur le serveur, la création de fichiers exécutables suspects. Finalement, il trouve un script de type web shell que les attaquants ont téléchargé via une vulnérabilité sur le site Web du serveur.
    b. Il identifie tous les serveurs de commande et de contrôle (C&C) liés à cette attaque.
  5. L'opérateur répond à l'attaque :
    a. Bloque tous les serveurs C&C détectés.
    b. Neutralise les processus malveillants.
    c. Bloque l'exécution des fichiers de programmes malveillants selon leurs hachages.
    d. Met en quarantaine les programmes malveillants, ainsi que les fichiers suspects en vue d'une enquête ultérieure.

Produits associés

Technologies associées