Endpoint detection and response

Endpoint detection and response (EDR) désigne une technologie logicielle émergente de détection des menaces de sécurité informatique sur les équipements numériques (ordinateurs, serveurs, tablettes, objets connectés, etc.)^[1]. Les EDR sont une évolution de l'antivirus, de l'IDS et du firewall^[2]. Le terme « endpoint » désigne communément les serveurs, ordinateurs personnels et telephones mobiles d'entreprise^[3].

Le but d'un EDR est de détecter les attaques potentiellement plus avancées que ce que peuvent détecter les antivirus traditionnels, en optimisant le temps de réponse à incident, en baissant le taux de faux positif, en bloquant les menaces avancées et en protégeant le réseau de menaces multiples agissant simultanément via différents vecteurs d'attaques^[2].

Caractéristiques

L'EDR cherche à détecter, enregistrer, évaluer et répondre aux activités suspicieuses qui pourraient résulter de logiciels problématiques ou d'utilisateurs frauduleux. Certaines solutions d'EDR analysent les événements de sécurité directement sur l'équipement numérique, tandis que d'autres les envoient à un serveur central ou sur le cloud pour les analyser^[2].

Combiné avec un moteur basé sur de l'intelligence artificielle, le logiciel EDR est très réactif dans la détection et l'arrêt de menaces (Malwares, virus, attaques zero Day, menaces persistantes avancées, ...). L'intelligence artificielle lui permet d'être auto-apprenant et de ne pas devoir se connecter sur internet pour mettre à jour des bases de données.^{[réf. nécessaire]}

Histoire

Le terme est utilisé pour la première fois en juillet 2013 par Anton Chuvakin^[4] de la société Gartner. Il désigne une catégorie d’outils et de solutions qui mettent l’accent sur la détection d’activités suspectes directement sur les hôtes du système d'information. Initialement dénommée « Endpoint Threat Detection & Response » (ETDR), en 2015 Gartner réduit l’expression en « Endpoint Detection and Response » (EDR)^[3].

Gartner estime que le marché des logiciels antivirus traditionnel est obsolète.^{[réf. nécessaire]}

Concepts relatifs : MDR, EPP, XDR et ITDR

Le Managed Detection and Response (ou MDR) est aussi centré sur la détection des menaces et la médiation, mais va plus loin en proposant un service de surveillance humaine en temps réel de l'environnement IT et de resolution des menaces. Souvent le MDR est une combinaison et l'intégration de nombreuses technologies telles que le SIEM, le network traffic analysis (NTA), l'EDR et l'IDS^[2].

L'Endpoint Protection Platforms (ou EPP) est une variation de l'EDR plus active comprenant quatre fonctions principales : prédire, prévenir, détecter et répondre^[2].

L'Extended Detection and Response (ou XDR) n'est pas vraiment un outil different mais l’intégration de plusieurs composants variant d'un vendeur à l'autre. L'XDR inclut souvent des elements d'EDR, de MDR et d'EPP. L'XDR n'est pas seulement focalise sur l'« endpoint », il inclut souvent des fonctions de NTA, NIDS et NIPS^[2].

L'Analyse du comportement des utilisateurs et des entités (ou UEBA en anglais) diffère des capacités de l'EDR en se concentrant sur l'utilisateur plutôt que sur l'« endpoint »^[2].

L'Identity threat detection and response (ou ITDR) ajoute une couche de sécurité additionnelle aux systèmes de gestion des identités et des accès (IAM).

Notes et références

↑ (en-US) « What is endpoint detection and response (EDR)? », sur Palo Alto Networks (consulté le 11 mai 2023)
↑ ^{a b c d e f et g} (en) Mike Chapple, James Michael Stewart, Darril Gibson, (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, editions Sybex, 2021 (ISBN 978-1-119-78623-8), p. 558
↑ ^{a et b} (en) « Election Security Spotlight - Endpoint Detection and Response (EDR) », sur CIS (consulté le 11 mai 2023)
↑ (en-US) « Named: Endpoint Threat Detection & Response - Anton Chuvakin », 26 juillet 2013 (consulté le 7 juillet 2016)