Cybersecurity
Governance, Resilience, IAM, PAM, DLP, SIEM, SOC
Qu’est-ce qu’un EDR. En deux heures
Une formation plutôt qu’un webinar à vocation commerciale. Cyber Security Management propose une première session gratuite aux responsables IT sur l’EDR le 21 septembre prochain, au Van der Valk Hotel à Nivelles.
Contrairement à l’antivirus, l’EDR effectue une analyse comportementale des menaces. Il est considéré en tant qu’outil de surveillance en temps quasi réel. Il analyse l’exécution et détermine s’il s’agit d’une menace. Toutefois, cette opération n’est pas basée sur une bibliothèque préalablement installée, mais plutôt sur l’incidence que le code aura sur votre appareil quel que soit le type !
Qu’une attaque provienne d’une pièce-jointe d’un e-mail, d’un fichier ou même d’un site Web, l’EDR sera en mesure de l’identifier, explique Christophe Hohl, Technical Advisor, CSM, et professeur à l’IFAPME. « Les cyberattaques installent des outils malveillants avant de passer à l’action. Pendant ce temps, l’EDR isole l’ordinateur le temps que le code soit neutralisé. En deux heures, le 21 septembre, nous vous expliquerons son intérêt. Et comment le mettre en œuvre. »
Encore pas mal de confusion autour du concept de l’EDR
Une formation de deux heures n’est pas suffisante pour maîtriser une telle solution de cybersécurité. En revanche, elle permettra aux responsables IT, CIO et autres CISO, de comprendre son utilité. « Alors qu’un webinar a une vocation commerciale en survolant un sujet en trois quarts d’heures, nous estimons pouvoir réellement informer les entreprises sur un sujet aussi essentiel que la sécurité opérationnelle, en particulier le dernier maillon pour bloquer une attaque avancée sur le endpoint », poursuit Christophe Hohl. Pour ce sujet, il sera secondé par Arnaud Hess, Head of Business Development, Advens.
Christophe Hohl constate encore pas mal de confusion autour du principe de l’EDR. A tort, on le compare aux antivirus. « Un EDR est le choix par excellence pour une détection et une réponse exploitable par des généralistes de la sécurité travaillant dans des équipes de cybersécurité de taille moyenne. Ce n’est pas un SIEM (Security Information and Event Management) qui, lui, sera préféré pour l’investigation pure des ‘big data’ et de la corrélation des alertes provenant de multiples sources pour les grandes équipes constituées de spécialistes de la sécurité hautement qualifiés. »
Comment implémenter la solution
Fondamentalement, l’EDR est conçu autour des incidents plutôt que des alertes, traduisant des événements liés en visualisations complètes. Il intègre des tableaux de bord prêts à l’emploi, exploitables et axés sur la sécurité, facilitant une réponse rapide aux incidents. Les personnes intervenant sur les incidents peuvent prendre des mesures de remédiation simples directement depuis la console. Les équipes de sécurité peuvent effectuer des analyses des causes racines grâce à une visualisation claire des chaînes d’attaque. Les personnes intervenant sur les incidents peuvent rapidement trier et prioriser les alertes, puis suivre des instructions de remédiation claires. Enfin, les administrateurs peuvent mesurer et réduire les risques systémiques liés aux systèmes d’exploitation des endpoints, aux applications et aux facteurs humains.
A travers cette formation, la première de la CSM Academy, l’objectif est aussi de voir comment implémenter cette solution. « Il ne s’agira pas de mettre en avant un produit plus qu’un autre. Ni d’avancer que le déploiement est simple. Franchement, qui est capable, qui, surtout, a le temps en sein d’une équipe IT de scruter l’ensemble des données relevées, de les interpréter et d’apporter la réponse et l’action la plus juste et au plus vite, questionne Christophe Hohl. Un EDR sans SOC, no way ! » De là, la participation d’Advens à la formation.
Modéliser un comportement
C’est là, d’ailleurs, toute la force d’un EDR. En récupérant les données sur les actions des points de terminaison, l’EDR a la capacité de modéliser un comportement ou un enchaînement d’actions correspondant à un scénario d’attaque. Certaines actions peuvent être gérées automatiquement. D’autres nécessiteront une investigation et une levée de doutes notamment dans le cas de faux positifs. Dans ce dernier cas, il est nécessaire qu’une analyse soit faite par le biais d’un SOC.
– – –
Pour plus d’information sur la formation : anita.pint@cs-m.be Inscriptions avant le 10 septembre, en indiquant vos coordonnées, votre fonction et votre entreprise. Attention, les places sont limitées !