Actualités

Dans le contexte actuel, il est nécessaire pour les entreprises d’être en mesure de mettre en place une stratégie de défense en profondeur et elles doivent se préparer de manière adéquate. Cela comprend de nombreux aspects tels que des politiques et procédures appropriées, la formation, la sensibilisation des utilisateurs finaux, des processus de gestion des vulnérabilités, une bonne gestion des configurations, des pares-feux réseau, des pares-feux de protection des applications Web (WAF), des systèmes de gestion des informations et des événements de sécurité (SIEM), des systèmes de détection/prévention des intrusions (IDS/IPS), une segmentation adéquate du réseau, la gestion des appareils mobiles, etc.

Le déploiement et la gestion d’une solution EDR (endpoint detection and response) fait partie des  solutions participantes dans la réduction de la surface d’attaque et dans l’atteinte des objectifs stratégiques en terme sécurité des systèmes d’informations.

Pourquoi une solution antivirus n’est pas suffisante

La corrélation et l’interprétation des événements qui se génèrent au niveau des endpoints deviennent de plus en plus importantes pour détecter et répondre à des logiciels malveillants plus avancés et personnalisés, par exemple les attaques de type menace persistante sophistiquée (APT) et les rançongiciels (ransomwares). 

Les logiciels antivirus ne sont pas bien adaptés pour effectuer ce genre de tâche. Il se peut en effet que des événements distincts soient légitimes, mais que d’autres soit dû à une activité malveillante. 

Pour remédier à cette situation, une nouvelle génération d’outils a été développée par différents fournisseurs. 

Il n’existe pas de définition ou de norme unique en matière d’EDR, ce qui signifie que les capacités des fournisseurs peuvent varier considérablement. Plusieurs fournisseurs ajoutent aux fonctionnalités de l’EDR d’autres fonctionnalités telles que l’antivirus, la sécurité du réseau, la gestion des vulnérabilités, etc. Microsoft defender for endpoint (MDE) est l’une de ces solutions développée par Microsoft et qui est conçue pour la prévention, détection, investigation et réponse aux menaces de sécurité avancées.

Microsoft Defender for Endpoint (MDE)

Microsoft Defender for Endpoint (MDE) et un composant clé de M365 defender et représente une évolution en termes de détections comportementales. L'EDR MDE exploite non seulement les indicateurs de compromission (IOC), mais également les indicateurs d'attaque (IOA) en se concentrant sur une séquence d'événements au sein de la télémétrie collectée à partir des endpoints. Il peut aider à détecter et à répondre automatiquement à une grande variété de tactiques, techniques et procédures (TTP) exploitées par les attaquants. Initialement positionné comme une défense contre les menaces avancées sous le nom de Windows Defender Advanced Threat Protection (ATP), ensuite MDE a évolué vers un produit qui couvre un ensemble beaucoup plus large de besoins et de systèmes d'exploitation.

MDE comporte deux composants principaux : la détection et la réponse. Le but de la fonction de détection de l'EDR est de fournir quelque chose comme un enregistreur de vol pour les terminaux, un système qui enregistre en permanence la télémétrie (collecte des informations sur les processus, réseau, login, registre, système de fichiers et même les évènements de du kernel et la mémoire, etc.) ensuite envoi ces données à l’instance cloud de MDE pour permettre l’analyse sur les activités suspectes dans le SI de l’entreprise. L’objectif de la fonction de réponse est de permettre de répondre de manière significative à une activité malveillante confirmée.

Comment MDE génère ses alertes

Lorsque l’MDE détecte un événement suspect dans la télémétrie, il vérifie la définition d'alerte correspondante, Si l’événement suspect est évident et suffisamment grave, comme par exemple une connexion à un site de phishing connu ou une détection de l’antivirus d’un outil de hacking, une alerte est immédiatement créée. Si ce n’est pas aussi clair, il recherche plus de preuves sur le comportement suspect pour déterminer si une alerte est justifiée. En fonction de ce qu'il trouve, il peut présenter l'activité comme une alerte, la rejeter comme inoffensive ou simplement la marquer dans la timeline de la solution comme intéressante ou représentative d'un certain TTP

Réponse et investigation automatique

L'objectif de l’automatisation de l’investigation et de la réponse est de réduire le volume d'alertes qu’un SOC doit traiter en investiguant automatiquement et en agissant sur les incidents les plus simples. Cela permet aux analystes SOC de se concentrer sur des menaces plus complexes ou sophistiquées. Il peut être configuré pour qu'il démarre automatiquement lorsqu'une alerte est déclenchée, mais il peut également être lancé manuellement par un analyste de sécurité.

Trois niveaux d’automatisation 

MDE supporte trois niveaux d’automatisation qui sont les suivants :

Full automatique : la remédiation est déclenchée automatiquement lorsqu’un évènement est jugé malicieux 

Semi-automatique : Certaines actions sont exécutées automatiquement, mais d'autres nécessitent une approbation. La semi-automatique se décompose en sous types :

• exiger l'approbation pour tous les dossiers : Les investigations sont toujours menées automatiquement, mais une approbation est requise pour toute remédiation.
• exiger l'approbation pour les de l’OS : l'approbation est requise pour toute action corrective sur les dossiers du système d'exploitation.
• exiger l'approbation pour les dossiers non temporaires : l'approbation est requise pour tous les dossiers qui ne sont pas des répertoires temporaires connus, tels que c:Temp, c:WindowsTemp et ceux contenus dans les profils utilisateur.

Pas d’automatisation: l’automatisation est désactivée 

Fonctionnalités avancés de MDE

Pour les utilisateurs avancés, MDE propose des fonctionnalités supplémentaires qui peuvent aider à faire face aux menaces les plus sophistiquées au sein de l’entreprise.

• Analyse des menaces : L’analyse des menaces est un flux de threat inteligence, provenant des équipes de Microsoft threat intelligence, qui se connecte directement à la plateforme MDE. Ces informations de haut niveau sur les menaces les plus récentes peuvent être très utiles pour comprendre les tendances actuelles des menaces contre les organisations, mais elles sont également tout simplement intéressantes à lire. 
• Chasse aux menaces avancées : La chasse avancée (AH) est un outil qui permet d'utiliser des requêtes logiques pour investiguer sur les incidents actifs et rechercher de manière proactive des indicateurs de menaces au sein de l’organisation. Il donne accès à une quantité importante de données de MDE, via des tableaux remontant jusqu'à 30 jours. Le langage de requête utilisé est  Kusto Query Language (KQL) qui a été développé comme langage de requête pour alimenter Azure Data Explorer et qu’on trouve dans Azure Monitor et Microsoft Sentinel

NB : KQL est un langage de requête en lecture seule. Bien que similaire à SQL, en particulier dans la structure des tables relationnelles, il en diffère puisqu’il n'existe aucune moyen permettant de modifier les données, comme la mise à jour ou la suppression. KQL a été conçu pour interroger efficacement de grands ensembles de données dans Azure.

Inconvénients des EDR

Nombre de faux positifs élevés : malgré les efforts faits par les éditeurs d‘EDR, le nombre de faux positives reste important à cause de la limitation de visibilité de l’EDR qui reste centrée sur les endpoints et il manque de visibilité globale sur le reste des équipements réseaux et le cloud.

Par conséquent, les outils EDR signalent souvent les actions normales des utilisateurs ou des administrateurs sur les endpoints comme des menaces potentielles simplement parce qu'elles correspondent largement aux profils heuristiques d’activité suspecte.

Dépendance à Internet : pour les solutions basées sur le cloud, une connexion Internet fiable est nécessaire pour que l'EDR fonctionne correctement. Une panne d’internet peut entraîner une perte de visibilité ou de capacité de réponse.

Nécessitent une expertise pointue pour qu’elles soient maitrisées : Les solutions EDR nécessitent  un niveau d’expertise requis pour les déployer, les configurer et les gérer efficacement. Les solutions EDR ne sont pas des outils à configurer et à oublier, l’analyste a besoin d’une compréhension avancée des concepts de la cybersécurité, du paysage des menaces et de l’évolution des méthodologies des pirates informatiques pour savoir bien configurer et administrer l’EDR. Ils nécessitent également une connaissance approfondie de la plateforme EDR elle-même. 

La sécurité des données : malgré l’investissement massive des fournisseurs de solutions cloud dans la sécurité, il existe toujours des préoccupations concernant la sécurité des données stockées dans le cloud. Les attaques de type cloud jacking (cloud account hijacking) ou les failles de sécurité peuvent exposer les données des entreprises au vol ou la divulgation.

Vulnérabilité face aux techniques d’évasion : malgré l’évolution permanente des solutions EDR, néanmoins elles restent toujours vulnérables à certaines techniques d’évasions qui se développent de plus en plus par des chercheurs en sécurité et par des hackeur.