La question se pose de nos jours : doit-on choisir entre un Antivirus ou un EDR ?
C'est sûrement très discutable, et de nombreuses réponses seront possibles, mais pour simplifier, nous penserons ici, suite à de nombreux tests d'intrusions, qu'il vaut mieux conserver (actuellement) les deux technologies. Vois s'équiper de solution plus complète qui propose a la fois une protection Antiviral, Anti-malware, Anti-Ransomware et EDR (End point Détection & Response).
Depuis plusieurs dizaines d'années, on assiste à une recrudescence et à une amélioration des méthodes et des outils offensifs pour pénétrer dans les points de terminaisons des infrastructures IT : les Endpoints (PC et serveurs).
Dans de nombreuses grandes infrastructures, les forces défensives sont souvent prioritairement orientées sur les moyens périmétriques, afin de lutter en direct contre l'ennemi : firewalls, WAF, proxies, etc. Mais, ces éléments sont de plus en plus évités lors d’attaques ayant lieu derrière ces défenses initiales.
On se retrouve envahi de nuisances : malwares, backdoors, Ransomware, etc. Les attaques DDOs n'ont plus la cote ! Le phishing est l'arme privilégiés des hackers.
Comment lutter et se défendre ?
Les fonctions de sécurité locale des systèmes d’exploitation et des applications, et des outils spécifiques comme le traditionnel antivirus, sont prêts à en découdre. Mais que se passe-t-il lorsque la menace est nouvelle, inconnue, furtive, violente, persistante, intelligente, voire adaptée ?
Dans le cadre de la crise sanitaire actuelle, les attaques sont de plus en plus fréquentes . Les Hackeurs ont en ligne de mire les grandes entreprises, les établissements hospitaliers, les administrations etc.
Mais comment se prémunir de tels actes malveillants ?
Un EDR permet de détecter les menaces de cyberattaques. Peu de différence avec un antivirus, au premier abord. Pourtant, leur fonctionnement est bien différent. Un antivirus traque, dans l’ensemble du système d'information d’une entreprise, les menaces de manière automatisée en identifiant la signature de logiciels malveillants identifiés au préalable par l’éditeur.
L’agent de l’EDR, installé directement sur un ordinateur ou un serveur, va plus loin : « Il reçoit l’intégralité des événements de la machine et analyse les comportements de tous les fichiers et logiciels ».
Un EDR est particulièrement utile pour détecter des attaques ciblées, qui visent l’exfiltration de données ou le vol d’argent, par exemple, pendant lesquelles l’agent malveillant est généralement activé au tout dernier moment et donc indétectable par un antivirus.
Contrairement a un logiciel antivirus il est possible dans un EDR, de faire évoluer la solution de cyberdéfense et donc de constituer ses propres règles. Cependant pour que tout fonctionne correctement il est préférable de maitriser ses fluxs métiers et autres flux de l'infrastructure.
Un SIEM en complément peut être un bon allié.