Le monde de l’informatique est souvent rempli de termes techniques et d’acronymes divers et variés. Il peut parfois être difficile de s’y retrouver. D’autant plus que les menaces évoluent et les technologies pour y faire face également. C’est pourquoi aujourd’hui on va essayer d’éclaircir les termes utilisés. Les définitions sont des définitions idéalisées. En effet les solutions logicielles qui sont définies par des acronymes peuvent parfois varier d’un éditeur à un autre.
Quelques définitions utiles pour la suite :
Machine learning :
- Machine learning est une forme d’intelligence artificielle qui est axée sur l’auto-apprentissage dans le but d’améliorer tes performances en fonction des données traitées.
APT (Advance Persistent Threat):
- Advance Persistent Threat ou menace persistante avancée est une cyberattaque furtive, sophistiquée et de longue durée.
CTI (Cyber Threat Intelligence) :
- Cyber Threat Intelligence est l’activité liée à la collecte d’informations sur les menaces ou les acteurs de la menace. Cette activité, a pour but, la collecte et l'organisation de toutes les informations liées aux cybermenaces. Mais également de les partager dans le but de protéger les systèmes numériques.
Threat Hunting :
- Threat Hunting ou chasse aux menaces est le terme défini pour la recherche proactive de cybermenace présentes dans un réseau qui n’ont pas encore été détectées, exemple avec les APT.
IOC (indiactors of compromise) :
-
IOC ou indicateur de compromission. Il s’agit d’un ensemble d’indicateurs comme des signatures virales, des haschs de fichiers malveillants ou des IP particulières qui permettent de définir si un réseau ou un endpoint (que nous verrons plus bas) a été compromis.
La première chose maintenant qu’on a défini quelques termes qui peuvent être utiles pour la suite.
C’est quoi un SoC ?
Le SoC est le centre des opérations de sécurité informatique d’une entreprise. Il est composé d'expertise humaine et de plusieurs technologies comme des outils de détection et de sécurisation d’endpoint par exemple les EDR.
Des outils de détection et de sécurisation des réseaux comme les NDR et des outils de collecte de logs et d’information comme les SIEM.
Le but est de centraliser la sécurité informatique d’une entreprise pour que ce dernier puisse détecter, analyser et intervenir en cas d’incidents liés à la cybersécurité.
Il existe encore plusieurs solutions toutes accompagnées de leurs acronymes. C’est justement tout ça que nous allons voir ici.
Ensuite, l’autre point important à comprendre est la sécurisation des Endpoints.
Déjà c’est quoi un Endpoint ?
Un endpoint, ou un point de terminaison en français est un dispositif informatique distant qui communique dans les deux sens avec un réseau auquel il est connecté.
Autrement dit, les endpoints peuvent tout simplement être des ordinateurs, serveurs, imprimantes, tablettes, téléphones, etc.
Les endpoints sont souvent définis comme étant la ligne de front d’un réseau.
Il est donc important de mettre en place des mesures de sécurité pour les protéger. On parle alors de sécurisation des endpoints.
Pour ça, on a notre disposition plusieurs technologies avec comme exemple les EDR, EPP, EPDR, XDR que nous allons passer en revue.
Les EDR :
EDR ou Endpoint Detection and Response est une technologie logicielle de détection et de réponse à des activités suspectes via des agents (petit logiciel) à déployer sur les différents terminaux.
Les EDR, sont conçus pour monitorer les endpoints et pour détecter et faire face aux cybermenaces avancées comme les menaces nouvelles ou inconnues, analyser les comportements suspects et apporter des correctifs.
Ils disposent de fonctionnalités avancées comme le machine learning (ou apprentissage automatique par l’intelligence artificielle), CTI (Cyber Threat Intelligence, technique du renseignement, qui a pour but la collecte et l’organisation de toutes les informations liées aux cybermenaces).
En bref, l’EDR est capable de détecter, investiguer, et remédier en mettant fortement l’accent sur les analyses de sécurité et la réponse aux incidents.
Les EPP :
Les EPP ou endpoint protection plateform, est une solution logicielle antivirus avancée.
Le fonctionnement est similaire à celui d’un antivirus avec des fonctionnalités supplémentaires comme l’analyse de comportement, la surveillance de la mémoire et également la vérification des IOCs (Indicateur de compromission).
La différence principale entre l'EDR et l'EPP est que l'EDR contrairement à l'EPP est capable d'identifier et de stopper les menaces avant même le début de la corruption du système grâce à une collecte de données très importante.
De plus là où l’EPP gère les menaces connues l’EDR gère les menaces inconnues et plus complexes.
Les EPDR :
Les EPDR ou Endpoint Prevention, Detection and Response ou encore Endpoint Protection, Detection and response sont des EDR améliorés avec des capacités de prévention des menaces.
Là où l’EDR standard a une approche réactive les EPDR quant à eux ont une approche proactive notamment grâce à l’intelligence artificielle.
Les XDR :
Tout comme les EPDR, les XDR (eXtended detection and response) sont des versions évoluées des EDR. Comme leurs noms l’indiquent, ils fonctionnent de manière plus étendue qu’un EDR classique.
Ils vont collecter et mettre automatiquement en corrélation les données des multiples couches de sécurité avec comme exemples : Les mails, les endpoints, les serveurs, le réseau, etc.
De cette façon ils vont pouvoir détecter des menaces qui échappent à la détection.
Ils permettent donc de détecter les menaces de manière plus efficace. Ils facilitent grandement le travail des analystes qui ont un point de vue plus étendu et peuvent donc réagir plus rapidement.
MDR :
MDR Managed Detection and Response est un service plus qu’une technologie qui est gérée et managée par des fournisseurs de solutions en cybersécurité.
Il regroupe les avantages d’autres solutions, par exemple : les EDR et XDR combiné à l’expertise humaine. Il nécessite donc l’intervention d’un analyste. Il sera chargé d’analyser les informations récoltées ou encore de procéder à une remédiation (mise en place d’une correction) lorsqu’une menace est confirmée notamment via l’aide d’outils comme les SOAR.
SOAR :
Un SOAR (Security Orchestration, Automation and Response) vise à automatiser les tâches humaines répétitives. Comme son nom l’indique, il vise à orchestrer l’automatisation des réponses. Il fait référence à 3 capacités logicielles : Les gestions des cas et workflows (la collecte, le triage d’information.) L’automatisation de la réponse aux incidents par l’orchestration de plusieurs outils comme les EDR, Les SIEM, Les NDR, etc. Et, pour finir, la centralisation de l’accès en interrogeant et en partageant les renseignements sur les menaces. Le SOAR fonctionne en corrélation avec d’autres outils de sécurité de manière à minimiser l’effort humain en permettant de définir des procédures d’automatisation au problème de sécurité.
Tous, ces outils, remontent des informations et des événements de sécurité ils nécessitent donc souvent l’utilisation de ce qu’on appelle un SIEM.
Le SIEM :
Security Information & Event Management ou gestion de l’information et des événements de sécurité.
Il est la combinaison de deux outils.
Les SIM (Security information management) et les SEM (Security Event Management).
Le SIEM est chargé d’analyser en temps réel les alertes de sécurité générées par diverses applications et le matériel réseau. Notamment, grâce à la collecte de logs et de données d’événements. Il est également capable de trier les informations collectées et de les classer en les catégorisant par types (Activité malveillante, Connexions établies ou non à un système, et un beaucoup d’autres informations utiles).
Une fois l’information catégorisée, il va lui attribuer un niveau de gravité en s’appuyant sur des règles prédéfinies.
Un SIEM est donc un outil capable d’analyser des données telles que les logs et à partir de ces données récoltées de créer des alertes de sécurité ou des tableaux de bord à l’aide de règles prédéfinies. Il est souvent utilisé en corrélation avec d’autres solutions comme les EDR.
La famille des IDS,IPS :
Les IDS (Intrusion Detection System) et IPS (Intrusion Prevention System) sont tous deux des outils de détection et de prévention d’activités malveillantes sur les réseaux, systèmes et applications. Ils comparent tous les paquets réseau à une base de menaces connues et bien d’autres.
Bien que les deux soient étroitement liés, ils sont tous les deux définis de manière différente.
Les IDS :
IDS ou Intrusion Détection System est une solution de détection d’intrusion. Ils analysent et surveillent le trafic réseau pour détecter toute violation liée à la politique de sécurité, les informations sont ensuite en général recueillies par un SIEM.
L’IDS est capable de faire de la détection basée sur des signatures, il est capable de comparer des comportements anormaux à des comportements normaux, de détecter des anomalies et de faire de l’analyse de protocoles.
Il existe deux types d’IDS distincts :
-
N-IDS (Network Intrusions Detection System), ils agissent au niveau de la couche réseau. Ils analysent en temps réel le trafic à l’aide d’une sonde. Ils analysent ensuite les paquets.
-
Les H-IDS (Host Intrusion Detection System), ils agissent au niveau de la couche système. Ils analysent le fonctionnement des machines sur lesquels ils sont installés, ils vérifient également l’intégrité des fichiers.
Les IPS :
IPS ou Intrusion Prevention System est une solution de prévention d’intrusion contrairement à l’IDS qui fonctionne comme un système de surveillance et de détection capable d’agir et de bloquer toutes les intrusions ou événements de sécurité anormaux.
Tout comme l’IDS il existe plusieurs familles d’IPS qui peuvent faire varier leurs fonctionnalités :
-
Les N-IPS (Network Intrusion Prevention System). Les NIPS par défaut agissent principalement entre le monde extérieur et le réseau interne, comme un pare-feu. Ils vont contrôler les paquets et les accepter ou les rejeter en suivant un ensemble de règles prédéfinies.
Les NIPS peuvent également faire du WIPS (Wireless intrusion prévention système, de la prévention sur les systèmes sans fil). -
Les H-IPS (Host Intrusion Prevention System) agissent différemment, et sont capables d’agir sur les systèmes, ils surveillent les pilotes, les processus, les .dll. S’ils détectent une anomalie, ils seront capables de la bloquer.
-
Les K-IPS (Kernel Intrusion Prevention System) ils permettent de lister les tentatives d’intrusion au niveau du noyau du système d’exploitation.
Il existe aussi des solutions de sécurisation du réseau du même type que les EDR, on les appelle les NDR.
NDR :
NDR (Network Detection & Response) il est pour le réseau ce que les EDR sont pour les endpoints. Via le déploiement de sondes logicielles ou matérielles à différents points stratégiques, il va surveiller de manière continue le réseau. Il va alors être capable de détecter les comportements suspects et d’y répondre en temps réel de manière native ou via l’intégration d’autres solutions comme les SIEM, SOAR, etc.
Le NDR est donc une forme d’IDS/IPS évoluée, car contrairement à ces derniers qui sont limités à l’analyse du réseau in/out (c’est-à-dire entrant et sortant) le NDR lui est capable d’analyser des comportements anormaux internes par exemple une attaque via une clé USB, il détectera les déplacements dits latéraux à travers le réseau (déplacement d'un actif comme des comptes, base de données, ressource système, etc. à un autre).
D’autres éléments intéressants à connaître :
CISRT Computer Security Incident Response Team ou CERT Computer Emergency Response Team désigne globalement un centre d’alerte dont les équipes sont chargées de la réponse aux incidents de sécurité. Ils sont responsables de la gestion de crise et de la veille autour des cybermenaces. Il s’agit là d’une définition idéalisée. D’une équipe d’intervention à une autre, les objectifs ou les méthodes ne seront pas les mêmes.