Détection aux menaces

Quand un antivirus basé sur l’IA ne suffit plus… 

Chasse aux menaces ?

Heureusement, à l’heure où nous écrivons ces lignes, nous ne pouvons pas encore parler de guerre dans notre pays. Ou le pouvons-nous ? Cela dépend de votre définition de la « guerre ». Même dans notre région, les entreprises sont constamment attaquées. Les pirates du monde entier ont un accès libre non seulement à nos adresses IP publiques, mais ils peuvent également envoyer des messages à chacun d’entre nous. Vous n’avez même pas besoin de faire la distinction entre les courriers personnels et ceux liés à l’entreprise.

L’intention de ces pirates est généralement de gagner de l’argent, mais il arrive aussi qu’ils aient un motif politique. Il est très difficile de le découvrir, et encore moins de le prouver. Cependant, le type d’entreprise et les conséquences peuvent éveiller certains soupçons.

Peu importe ce qu’ils ont en tête, les conséquences sont rarement minuscules. 

C’est pourquoi nous avons mis en place toutes sortes de boucliers, tels que des pare-feu, la sécurité du courrier électronique et la protection des terminaux. La faiblesse de l’homme est exploitée pour accéder à l’ordinateur – et au réseau qui lui est connecté – via une porte dérobée. Si vous ne pouvez pas compter sur la vigilance de l’utilisateur, comment pouvez-vous compter sur lui pour signaler son erreur de clic ?

Ce que nous recherchons, c’est une sorte de système de caméras qui détecte et enregistre chaque mouvement dans le réseau. En établissant des corrélations entre différentes actions, il est possible de reconnaître des modèles suspects.

Quelque chose de plus technique… 

Mitre Att@ck est une organisation américaine qui surveille de près et cartographie les actions des pirates informatiques. Une technique d’attaque est une combinaison de diverses commandes – en soi apparemment inoffensives – dont la plupart sont également utilisées par les administrateurs système.

Avant de chiffrer l’ensemble d’un réseau, les pirates se frayent un chemin dans le réseau, déterminent où se trouvent les sauvegardes, quels serveurs sont importants, etc. Entre le premier contact et le chiffrage effectif, il se passe des jours, des semaines et parfois des mois. La clé est de détecter le pirate avant que le chiffrage n’ait lieu, mais aussi avant qu’il n’ait eu l’occasion de télécharger des données.

EDR / XDR

La détection de ces techniques s’effectue généralement à l’aide d’un produit EDR ou XDR (Endpoint/eXtended Detection and Response). Ce logiciel, qui est parfois une extension d’une protection de point d’accès existante ou parfois un produit complètement distinct, fonctionne comme une sorte de sonde qui enregistre chaque activité dans une base de données sur ordinateur et/ou dans le nuage. Ce dernier est généralement appelé datalake. Selon le produit, vous pouvez attribuer immédiatement et automatiquement des actions à certains déclencheurs ou vous pouvez programmer des requêtes pour générer des alarmes.

En comparant ces produits, vous constaterez que certains logiciels de protection des terminaux basés sur l’IA peuvent bloquer plusieurs actions avant même que le système EDR n’ait eu le temps de les détecter. Lorsque nous parlons du terme XDR, nous constatons que l’interprétation peut également être différente.

Managed EDR

Supposons que le système détecte une détection qui est presque certainement liée à la présence d’un pirate, le désir est alors d’éliminer ce pirate du réseau. Les outils EDR bloquent les activités et peuvent ou non déconnecter le pirate, mais cela ne garantit pas que le pirate n’a pas déjà installé des failles. Le pirate pourrait se rendre compte qu’il a été pris et accélérer la procédure de chiffrage. Par conséquent, une action rapide de défense est recommandée. Il n’est pas facile pour tout le monde de libérer les ressources nécessaires à tout moment de la journée ou du week-end.

Les équipes techniques des fournisseurs concernés sont formées à cet effet et sont disponibles 24 heures sur 24, 7 jours sur 7, pour mettre en œuvre des contre-mesures efficaces. Ce service est appelé MDR, Guard ou tout autre nom que le fournisseur souhaite utiliser.

WithSecure

WithSecure™ EDR est un module de la plateforme de cybersécurité WithSecure™ Elements. Cette plateforme cloud offre une protection efficace contre les ransomwares et les attaques avancées. Elements regroupe la gestion des vulnérabilités, la gestion automatisée des correctifs, la veille dynamique sur les menaces et l’analyse comportementale continue. Vous pouvez utiliser une ou plusieurs solutons pour atteindre une protection maximale. Bénéficiez de conseils d’experts sur la façon de répondre au mieux, en ayant la possibilité d’automatiser des mesures de remédiation 24 heures sur 24.

Nos partenaires