Qu'est-ce que l'EDR? Doit-il faire partie de votre programme de sécurité?

Accueil / CAS DE RÉUSSITE / Qu'est-ce que EDR? Doit-il faire partie de votre programme de sécurité?

Au cours des dernières années, combien de fois vous a-t-on dit que vous aviez besoin d'une autre solution de sécurité (par exemple, «EDR» ou un autre produit de protection des terminaux)?

Il semble qu'un nouveau produit soit publié chaque mois et il est presque impossible de savoir comment ces nouvelles solutions peuvent aider votre organisation. L'un des derniers produits qui retient beaucoup l'attention est «EDR» ou Endpoint Detection and Response. Vous vous demandez probablement, qu'est-ce que c'est et pourquoi ai-je besoin d'un autre point final pour me protéger? Pourquoi tout cela ne peut-il pas être fait dans un seul produit?

Bottom line - La détection et la réponse des points de terminaison sont importantes et vous devriez sérieusement envisager de mettre en œuvre l'une de ces plates-formes pour plusieurs raisons différentes.

Alors, qu'est-ce que la détection et la réponse des points finaux (EDR)?

Le principe derrière la plupart des systèmes EDR est le suivant:

  1. Suivez toutes les actions entreprises sur le point de terminaison. Cela comprend: Tous les fichiers ouverts, tous les exécutables exécutés, tous les ports ouverts, tous les flux de trafic réseau et une multitude de points de données supplémentaires sur la façon dont les programmes interagissent avec le point de terminaison et l'infrastructure locale.
  2. Évaluez tous les points de données et utilisez les technologies d'IA et d'analyse comportementale et les signatures connues pour trouver un mauvais comportement
  3. Fournit un moyen de trouver rapidement une activité malveillante sur plusieurs hôtes pour arrêter la propagation
  4. Ajoutez des outils de recherche de menaces supplémentaires à l'environnement pour une utilisation par les équipes d'investigation, de sécurité et d'audit

Quels sont les avantages des solutions EDR pour votre organisation?

Les aspects de l'EDR décrits ci-dessus augmenteront la sensibilisation et fourniront plus d'informations aux professionnels de la sécurité qui surveillent l'environnement. Cela réduira également le temps de correction en ajoutant des outils pour effectuer des interactions manuelles et automatiser les correctifs sur l'ensemble du pool de terminaux simultanément.

La réalité est que même lorsque de nombreuses protections sont en place sur un terminal, les attaquants essaient toujours de contourner ces protections. Ainsi, même avec des technologies avancées en place, une machine peut toujours être compromise.

En quoi diffère-t-il des solutions antivirus classiques?

Les outils EDR ajoutent une couche supplémentaire qui permet une visibilité accrue. Il existe des outils qui identifieront les systèmes compromis plus rapidement que les protections traditionnelles des terminaux. Dans de nombreux cas, en temps réel.

Les solutions EDR réduiront totalement les temps de réponse aux incidents et permettront l'inoculation des systèmes sans compromis en temps réel au fur et à mesure que les événements se déroulent. L'EDR est également important car de nombreux outils basés sur le réseau n'ont pas toujours une visibilité sur le trafic est-ouest sur le réseau, sans un investissement important en matériel.

À long terme, ces outils aideront à protéger vos utilisateurs et vos actifs d'entreprise contre les attaques.

Ces solutions ajoutent une couche très importante à la sécurité existante sur vos terminaux. Disposer d'une solution EDR gérée éliminera également efficacement le besoin d'expertise supplémentaire requise pour gérer la solution EDR. Il fournira également des capacités supplémentaires de chasse aux menaces qui exigeraient normalement un investissement considérable en personnel de sécurité.

Tirer parti d'une entreprise de sécurité pour gérer la solution EDR augmentera l'efficacité de l'investissement. Votre organisation peut profiter non seulement d'une expertise supplémentaire, mais également des observations combinées de plusieurs solutions EDR installées, vous permettant de bénéficier d'une attaque qui arrive à quelqu'un d'autre. Cela fournit une inoculation pour vos points de terminaison avant que quelqu'un ne fasse une erreur et clique sur ce lien vraiment mauvais.

Pleins feux sur l'auteur: Huw Evans, responsable de la sécurité

Huw Evans dirige des initiatives de sécurité des armes informatiques depuis plus de dix ans et est un expert des services de sécurité de l'information de pointe, y compris les tests de pénétration et les évaluations de vulnérabilité. Huw a créé la pratique de conseil en sécurité d'ITW et dirige actuellement les normes de sécurité internes, y compris les politiques, les procédures, les technologies et les procédures de gestion des changements.
Articles Similaires