Le média qui explore la transformation digitale

L’EDR, complément indispensable du SOC

Oct 30, 2019 | Cyber Security, Lastet news | 0 commentaires

Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l’EDR s’impose.

«Qui a confiance dans ses endpoints ?» Dans la salle, pas une main ne se lève. Fort de la portée de sa question, Tomalslov Pavlovic, System Engineer Specialist, Palo Alto, ne s’en étonne pas. Si la sécurité des endpoints fait partie des composantes clés d’une stratégie de cybersécurité, on en est encore loin. Des études récentes révèlent que 30% des intrusions connues impliquent l’installation de logiciels malveillants au niveau des endpoints.

L’EDR (Endpoint Detection and Response) fut un sujet fort des Rencontres de la Sécurité Informatique, organisées pour la sixième année consécutive par Excellium. Et pour cause : chaque appareil se connectant à un réseau constitue un vecteur d’attaque potentielle. Chacune de ces connexions est un point d’entrée potentiel vers nos données. Avec la montée en puissance du BYOD (Bring Your Own Devices), les attaques mobiles et des techniques sophistiquées de piratage n’ont fait qu’augmenter les risques.

Détection proactive

«L’EDR fournit une véritable visibilité de bout en bout de l’activité de chaque point de terminaison de l’infrastructure de l’entreprise, estime Tomalslov Pavlovic. Tout est contrôlé à partir d’une seule console. Avec, surtout, de précieux renseignements sur la sécurité qu’un expert en sécurité informatique peut utiliser pour approfondir ses recherches. De là, d’ailleurs, une corrélation évidente entre EDR et SOC…»

L’objectif principal de l’EDR est la détection proactive de menaces nouvelles ou inconnues. Mais aussi la détection d’infections non identifiées antérieurement, qui s’infiltrent dans l’organisation en passant directement par les points de terminaison et les serveurs.

Cortex XDR, une application cloud

Chez Palo Alto, cette mission revient à Cortex XDR. Soit une application cloud basée sur l’intelligence artificielle qui permet  de détecter et neutraliser les attaques sophistiquées. En même temps, Cortex XDR renforce  en permanence le dispositif de défense.

«Avec Cortex XDR, fini les silos de données qui fragmentent l’action des équipes de cybersécurité et ralentissent les réponses aux incidents», commente Tomalslov Pavlovic. Sa capacité à corréler nativement les données du cloud, du réseau et des terminaux permet d’exploiter l’analytique et le machine learning pour améliorer chaque étape des opérations de sécurité. Le ML entre alors en jeu pour profiler les comportements et détecter des schémas d’attaque jusqu’alors inconnus. De son côté, l’automatisation permet d’identifier les causes racines et de dresser un tableau complet des menaces potentielles. Un moteur de requêtes ultra-puissant fournit quant à lui toute l’assise nécessaire à la traque des menaces. Enfin, des règles personnalisées assurent la mise en application des connaissances acquises pour faciliter les investigations futures et la détection de menaces similaires.

Une vision indispensable

Palo Alto précise encore que Cortex XDR s’intègre étroitement à l’outil de protection des endpoints et d’intervention Traps pour collecter toutes les données nécessaires à la traque des menaces et aux investigations. Il fournit un tableau complet de chaque incident, révélant les causes profondes et facilitant ainsi les investigations. Cela contribue à accélérer le confinement grâce à une intégration étroite avec les points d’exécution, permettant de neutraliser les attaques avant que des dommages ne se produisent.

Bref, conclut Tomalslov Pavlovic, l’EDR agit comme «un accélérateur pour les équipes opérationnelles travaillant pour le SOC». Pour lui, «les informations remontées doivent en théorie permettre d’avoir une vision globale». L’EDR peut s’avérer très bénéfique pour le SOC. «Les remontées d’incidents associés donnent des éléments intéressants concernant les modalités d’attaques qui passent à travers ces équipements. Idem  au niveau de la progression des populations ciblés lors de campagne de hameçonnage ou de propagation de logiciel malveillant.» C’est un outil indispensable pour tout SOC s’il veut une vision de son système d’information dans un contexte d’ouverture.

Ces articles parlent de "Cybersecurity"

Governance, Resilience, IAM, PAM, DLP, SIEM, SOC

Follow this topic

Summary
L'EDR, complément indispensable du SOC
Article Name
L'EDR, complément indispensable du SOC
Description
Solution très complète intervenant à toutes les étapes du processus -de la détection, à l’analyse, jusqu’à la réaction-, l'EDR s'impose.
Author
Publisher Name
Solutions Magazine
Publisher Logo