histats

Pourquoi les entreprises ont besoin à la fois d’EDR et de NDR pour une protection complète du réseau

Pourquoi les entreprises ont besoin à la fois d’EDR et de NDR pour une protection complète du réseau

Les terminaux tels que les ordinateurs de bureau, les ordinateurs portables et les téléphones portables permettent aux utilisateurs de se connecter aux réseaux d’entreprise et d’utiliser leurs ressources pour le travail quotidien. Cependant, ils élargissent également la surface d’attaque et rendent l’organisation vulnérable aux cyberattaques malveillantes et aux violations de données.

Pourquoi les organisations modernes ont besoin d’EDR

Selon le rapport sur les risques mondiaux 2020 du Ponemon Institute, les smartphones, les ordinateurs portables, les appareils mobiles et les ordinateurs de bureau sont parmi les points d’entrée les plus vulnérables qui permettent aux acteurs de la menace de compromettre les réseaux d’entreprise. Les équipes de sécurité doivent évaluer et traiter les risques de sécurité créés par ces appareils avant qu’ils ne puissent nuire à l’organisation. Et pour cela, ils ont besoin de Endpoint Detection & Response (EDR).

Les solutions EDR offrent une visibilité en temps réel sur les terminaux et détectent les menaces telles que les logiciels malveillants et les rançongiciels. En surveillant en permanence les terminaux, ils permettent aux équipes de sécurité de découvrir les activités malveillantes, d’enquêter sur les menaces et d’initier les réponses appropriées pour protéger l’organisation.

Les limites de l’EDR

Les réseaux d’entreprise modernes sont des réseaux complexes d’utilisateurs, de terminaux, d’applications et de flux de données répartis sur des environnements sur site et multi-cloud. Comme les solutions EDR ne fournissent qu’une visibilité sur les terminaux, de nombreuses failles de sécurité et défis subsistent, augmentant considérablement le risque que les cyberattaques passent inaperçues.

  • Malware qui désactive/abuse des agents EDR : La montée en puissance de groupes de hackers sophistiqués comme Lapsus$ est un autre risque que les outils EDR ne peuvent pas gérer. Fin 2021, Lapsus$ a piraté plusieurs grandes entreprises en compromettant les terminaux distants et en désactivant leurs outils EDR. Ils ont ainsi pu masquer leur comportement malveillant sur les endpoints infectés et atteindre leur objectif de vol de données sensibles de l’entreprise. Un autre problème est que les acteurs de la menace peuvent abuser de la technique “d’accrochage” utilisée par les EDR pour surveiller les processus en cours d’exécution. Cette technique permet aux outils EDR de surveiller les programmes, de détecter les activités suspectes et de collecter des données pour l’analyse comportementale. Cependant, ce même processus permet aux attaquants d’accéder à un point de terminaison distant et d’importer des logiciels malveillants.
  • BYOD : Ces dernières années, de nombreuses organisations sont passées à des modèles de travail à distance qui permettent aux employés et aux utilisateurs tiers d’accéder aux ressources de l’entreprise via des réseaux externes et des appareils mobiles non sécurisés. Ces dispositifs échappent au contrôle des équipes de sécurité et de leurs outils EDR. Par conséquent, leurs solutions de sécurité ne peuvent pas suivre tous ces terminaux, et encore moins les protéger ou protéger le réseau de l’entreprise contre les attaques malveillantes.
  • Appareils non pris en charge : De plus, tous les terminaux connectés ne prennent pas en charge les agents EDR. Cela s’applique aux points de terminaison hérités tels que les routeurs et les commutateurs, ainsi qu’aux nouveaux appareils IoT. De plus, avec les environnements connectés de contrôle de supervision et d’acquisition de données (SCADA) et de système de contrôle industriel (ICS), certains terminaux peuvent être hors du contrôle de l’organisation et donc hors du périmètre de sécurité de l’EDR. Par conséquent, ces terminaux et systèmes restent vulnérables aux menaces telles que les logiciels malveillants, les attaques DDoS et le cryptominage.
  • Maintenir/distribuer EDR: Enfin, avec les produits EDR basés sur des agents, l’installation et la maintenance d’agents sur chaque point de terminaison de l’environnement réseau de l’entreprise peuvent constituer une charge considérable pour les équipes de sécurité.
See also  Des espions chinois ont piraté une application pour animaux de compagnie pour violer les réseaux du gouvernement américain

Combler les failles de sécurité d’EDR grâce à la visibilité du réseau et au NDR

L’un des moyens les plus efficaces de combler les failles de sécurité soulignées ci-dessus consiste à ajouter la détection et la réponse réseau (NDR) à la pile de cybersécurité de votre entreprise pour les raisons suivantes :

  • Impossible de désactiver le rapport de non-remise : Étant donné qu’un rapport de non-remise basé sur les journaux comme ExeonTrace collecte des données à partir de plusieurs sources de données différentes sur le réseau (et ne dépend pas d’appareils spécifiques), les algorithmes de détection ne peuvent pas être contournés. Par conséquent, même si un EDR est désactivé par un logiciel malveillant, NDR le détectera.
  • Identification du Shadow IT : Une solution NDR permet non seulement de surveiller le trafic réseau entre des périphériques réseau connus, mais également d’identifier et de surveiller des périphériques et des réseaux encore inconnus. Et bien sûr, les terminaux sans agents EDR sont également inclus dans l’analyse du réseau (comme le BYOD).
  • Pare-feu et passerelles mal configurés : Les pare-feux et les passerelles mal configurés peuvent être des passerelles pour les attaquants – un NDR permet la détection avant l’exploitation.
  • Collecte sécurisée des données : La collecte de données basée sur le réseau est plus inviolable que les données basées sur des agents ; idéal pour l’investigation numérique requise par les régulateurs.
  • Visibilité complète sur l’ensemble du réseau : Comme aucun agent n’est requis, une solution NDR comme ExeonTrace offre une visibilité complète de toutes les connexions réseau et des flux de données. Il offre ainsi une plus grande visibilité sur l’ensemble du réseau de l’entreprise et sur toutes les menaces qui le traversent.
See also  Des pirates ont piégé 300 000 utilisateurs d'Android pour qu'ils volent des mots de passe : comment faire

Conclusion

Alors que les organisations deviennent de plus en plus complexes et ajoutent de plus en plus d’appareils d’utilisateurs finaux à leurs réseaux, elles ont besoin d’une solution de surveillance fiable pour protéger leurs terminaux contre les menaces potentielles. Cependant, Endpoint Detection and Response (EDR) ne fournit une telle protection que dans une certaine mesure. L’EDR présente de nombreux inconvénients qui permettent aux cybercriminels sophistiqués de contourner leur périmètre de sécurité et d’exploiter les vulnérabilités du réseau.

Plate-forme ExeonTrace : capture d’écran du tableau de bord

Pour combler les lacunes de sécurité laissées par les solutions EDR, les organisations doivent renforcer leurs défenses de sécurité. Les solutions de détection et de réponse réseau (NDR) telles qu’ExeonTrace sont un moyen fiable et éprouvé de surveiller le trafic réseau et complètent ainsi les piles de cybersécurité de votre entreprise. Comme les solutions EDR et NDR sont complémentaires, leurs capacités de détection combinées peuvent protéger efficacement les organisations contre les cyberattaques sophistiquées.

Commandez une démo gratuite pour découvrir comment ExeonTrace peut vous aider à relever vos défis de sécurité et à rendre votre organisation plus cyber-résiliente.

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *