EDR (Endpoint Detection and Response) : Tout ce qu’il faut savoir

Introduction

Les solutions EDR (Endpoint Detection and Response) sont devenues un outil indispensable dans la lutte contre les cybermenaces. En combinant supervision des terminaux, détection d’activités suspectes, et réponses automatisées, ces outils permettent de préserver l’intégrité des infrastructures IT et d’assurer une réponse rapide en cas d’incident. Cet article explore en détail les principaux mécanismes des EDR, leur intégration avec d’autres outils de cybersécurité, et les étapes techniques qui soutiennent leur fonctionnement.


1. Agent de supervision : Le cœur du dispositif

Un agent de supervision est déployé sur tous les terminaux d’une infrastructure. Il agit comme une sentinelle permanente, surveillant :

  • Les processus actifs : Il observe leurs enchaînements et identifie des comportements anormaux.
  • Les modifications système : Toute tentative de changer la configuration est analysée.

L’agent agit donc comme un élément essentiel pour collecter et envoyer des données utiles à la plateforme centrale EDR.


2. Canaries : Un honeypot discret

Les canaries sont des fichiers ou des ressources délibérément positionnés dans un système. Leur but est de fonctionner comme un piège, prévenant de comportements malveillants lorsqu’ils sont modifiés.

  • Principe : Ces fichiers ne doivent pas être altérés. Toute modification ou tentative d’accès déclenche une alerte.
  • Exemple : Un fichier canari placé dans un répertoire stratégique peut détecter des ransomwares tentant de chiffrer les données.

3. Avantages des EDR pour le MCO

Pour le Maintien en Conditions Opérationnelles (MCO), les EDR offrent des avantages clés :

  • Facilité d’utilisation : Leur interface intuitive et leurs fonctionnalités automatisées permettent un usage simplifié.
  • Consommation de ressources optimisée : Les EDR modernes sont conçus pour minimiser l’impact sur la performance des terminaux.

4. Avantages des EDR pour le SOC

Le Security Operations Center (SOC) tire également profit des EDR pour améliorer ses opérations :

  • Traitement efficace des informations : Les EDR regroupent et présentent les données sous une forme structurée et exploitable.
  • Arborescence des processus (process tree) : Cet outil permet de visualiser l’enchaînement des événements malveillants, facilitant leur analyse.
  • Intégration avec les outils SIEM : Les EDR communiquent avec les solutions SIEM pour centraliser la gestion des incidents.

5. Rôle du CSIRT

Les Computer Security Incident Response Teams (CSIRT) travaillent en étroite collaboration avec le SOC pour analyser et répondre aux incidents détectés par les EDR. Leur expertise est essentielle pour comprendre les techniques d’attaques et coordonner les mesures de réponse.


Appels systèmes : Comprendre le cœur de la supervision

1. Définition

Les appels systèmes (syscalls) sont des ponts entre les processus en mode utilisateur et le noyau du système d’exploitation. Ils permettent aux applications d’interagir avec les ressources critiques du système, comme les fichiers ou les sockets.

Fonctionnement

  • Lorsqu’un processus utilisateur souhaite exécuter une opération qu’il ne peut pas réaliser directement, il effectue un syscall.
  • Le noyau exécute ensuite cette opération pour le processus.

2. Bibliothèques impliquées

Les appels systèmes sont souvent implémentés dans des bibliothèques Windows comme :

  • ntdll.dll : Bibliothèque centrale pour les syscalls.
  • kernel32.dll et kernelbase.dll : Fournissent des abstractions supérieures pour les opérations système.
  • user32.dll : Utilisée pour les interactions avec l’interface utilisateur.

3. Exemple : Dump mémoire

Pour exécuter un dump mémoire, l’EDR doit comprendre et surveiller toute la chaîne d’appels systèmes nécessaires. Cela inclut l’analyse des processus accédant aux ressources sensibles.


4. Impact de la Kernel Patch Protection (PatchGuard)

Windows a introduit la Kernel Patch Protection pour empêcher les logiciels tiers de modifier le code du noyau. Cette protection :

  • Réduit les possibilités de supervision par les EDR : L’injection de code dans le noyau est bloquée.
  • Favorise les mécanismes côté utilisateur : Les EDR doivent se concentrer sur des techniques comme le hooking en mode utilisateur.

Mécanismes de supervision : Les piliers des EDR

1. User Land Hooking

1.1. Principe

Le hooking est une technique où un produit de supervision injecte du code dans un processus pour intercepter et analyser son comportement.

1.2. Fonctionnement

  • Les premières instructions d’une fonction ciblée sont remplacées par un hook.
  • Ce hook redirige vers une fonction d’analyse qui détermine si l’appel est légitime ou malveillant.
  • Une fois l’analyse terminée, l’exécution normale de la fonction reprend.

1.3. Approches possibles pour l’EDR

  • Option 1 : Hooker ntdll.dll : Place les hooks directement dans les fonctions de cette bibliothèque.
  • Option 2 : Modifier la bibliothèque en mémoire : Modifie le code après le chargement, préservant ainsi la signature du fichier DLL. Cette approche est plus sécurisée.

2. Kernel Callbacks

2.1. Principe

Les kernel callbacks permettent aux logiciels tiers d’être notifiés lors de certaines opérations système, comme la création de processus ou le chargement de fichiers.

2.2. Exemples de supervision

  • Surveillance des processus : Notifie lors de la création ou la terminaison d’un processus.
  • Chargement de bibliothèques : Identifie des DLL malveillantes ou non autorisées.

2.3. Limites

Les informations et actions disponibles via les kernel callbacks sont restreintes, ce qui limite leur portée dans la détection des menaces complexes.


Conclusion

Les EDR reposent sur une combinaison de technologies avancées pour offrir une protection efficace contre les cyberattaques. Que ce soit à travers le hooking en mode utilisateur, l’utilisation de canaries, ou la surveillance des appels systèmes, ces solutions jouent un rôle crucial dans la cybersécurité moderne. Cependant, avec les évolutions constantes des systèmes d’exploitation et des menaces, les fournisseurs d’EDR doivent continuellement innover pour rester efficaces face à des attaquants toujours plus sophistiqués.

Retour en haut