Nous avons longtemps vécu un débat autour du « firewall stateful ou stateless», nous avons ensuite remplacé cette question par un nouveau sujet « SIEM ou XDR », et aujourd’hui il semble qu’une question se pose très fréquemment dans les salon dédiés à la Cybersécurité ou dans les réunions avec nos clients : « EDR ou NDR ».
Pour rappel, il s’agit de deux types de solutions pour détecter les attaques et autres comportements malicieux, l’une (EDR : Endpoint Detection & Response) est basée sur un agent logiciel nécessaire sur chacun des systèmes surveillés et l’autre (NDR : Network Detection & Response) analyse une copie du ou des trafics réseaux surveillés. Malgré un objectif commun, il est évident que nous avons ici deux approches très différentes tant conceptuellement que techniquement ; chacun possédant ses propres avantages.
Quelles sont les différences majeures entre NDR et EDR ?
Comme nous l’avons dit, après l’installation d’un agent, l’EDR permettra de surveiller les processus exécutés, les modifications au niveau du système de fichiers, la gestion des droits, la persistance d’un processus pour résister à un redémarrage etc … Le NDR (une sonde logicielle ou matérielle devra être déployer à différents points stratégiques) détectera les comportements suspects sur le réseau, tels Shellcode (exploitation de vulnérabilités), ou mouvements latéraux ; tout en apportant la visibilité renforçant la connaissance de son propre environnement, ce qui est un préalable à tout déploiement de mesures de type cybersécurité.
Pourquoi choisir ?
Pour continuer à filer la métaphore utilisée par Charles Blanc Rolin[1], RSSI du Centre hospitalier de Moulins-Yzeure, pourquoi choisir entre deux sens (la vue et l’ouïe) ! Notre cerveau construit en permanence une « situation » grâce à des informations issues de différentes capteurs que sont nos sens, et quotidiennement nous prenons des milliers de décision, souvent bonnes, grâce à ces informations et à leur contexte. D’ailleurs, en cybersécurité, nous tentons très souvent d’imiter ce que fait notre cerveau grâce à la centralisation d’information et à la mise en œuvre de solutions telles des règles de corrélation, l’apprentissage (trop souvent résumée par les mots « Intelligence Artificielle »).
Que ce soit avec notre cerveau ou dans le cadre de la détection d’attaques, la qualité des décisions dépendra directement des informations envoyées par les capteurs. Premièrement nous devons avoir confiance, nous devons comprendre ces informations et nous devons construire cette situation grâce au contexte.
Pour revenir au NDR, cette solution réponds à ces prérequis en étant résiliant aux attaques renforçant ainsi la confiance dans les évènements ou alertes générés, en apportant toutes les données (métadonnées) pour construire ce contexte tant nécessaire aux décisions qu’aux investigations. La détection est obligatoire, mais nous ne devons pas oublier l’investigation et la recherche de signe de compromission (« Hunting »), car les acteurs malveillants mettent un pied dans l’infrastructure cible (avec du webshell par exemple) pour y revenir plus tard.
Pourquoi attendre la détection sur les postes de travail ?
Sans reprendre dans le détail les concepts de Kill Chain ou Mitre ATT&CK Framework, les attaques avancées ou complexes se caractérisent pas des étapes dites de reconnaissance, ou de déplacement latéral qui par nature seront détectées par une solution NDR, basée sur l’analyse comportementale et contextuelle des flux réseau. Il serait sûrement risqué d’attendre la détection par un EDR de la compromission d’un ou plusieurs systèmes, pour réagir ; tout en admettant que cette compromission soit détectée (il existe un grand nombre de cas où la détection sur un poste a été défaillante ou contournée dans le cas d’attaques par flux est-ouest).
Le réseau ne triche pas, et une détection réseau permettra d’identifier ces actions malveillantes à différents stades de l’attaque, mais le plus tôt possible (vers la gauche sur la Kill Chain).
Gartner a raison : l’efficacité viendra de l’intégration
Le cabinet Gartner insiste sur l’efficacité de l’intégration des différents types de détection que sont les NDR et les EDR, en introduisant le concept d’XDR (eXtended Detection and Response). En effet, à mesure que la surface d’attaques s’étend et que les tactiques/techniques modernes des adversaires évoluent, les entreprises investissent de plus en plus dans une plate-forme XDR pour s’offrir une approche plus unifiée et efficace afin de prévenir, détecter et répondre aux menaces qui ne peuvent pas être détectées par l’EDR au niveau du système d’information. La solution NDR sera en mesure de communiquer en temps réel les IoC et IoA détectés à l’EDR, via un SIEM ou un SOAR, afin que la menace fasse l’objet d’un blocage et d’une remédiation au niveau de terminaux.
Mais par où commencer ?
En considérant les relatives difficultés à déployer un agent pour l’EDR (quand on a une connaissance suffisante de son parc matériel et logiciel), et parfois même l’impossibilité d’installer cet agent (systèmes d’exploitation obsolètes, matériels médicaux, usines), compléter par la mise en place d’une solution réseau avancée de type NDR prend tout son sens. Dès son déploiement cette dernière pourra détecter, analyser et réagir sans attendre la mise en œuvre d’un XDR, qui sera bien entendu recommandé une fois l’EDR déployé.
[1] https://cybercercle.com/detection-des-incidents-de-securite-pourquoi-faudrait-il-choisir-entre-vision-systemes-et-ecoute-reseau/
Auteur : Luis Delabarre Solution architect director chez Gatewatcher