Peut-on remplacer l'EDR par autre chose ?

Peut-on remplacer l'EDR par autre chose ?

L'incident Crowdstrike de l'été 2024 va inciter les équipes de cyberdéfense à mesurer l'impact qu'un incident de production ou cyber liés aux outils de cybersécurité pourrait avoir. On pourrait donc être tenté de remplacer l'EDR, qui dispose de privilèges élevés. Mais peut-on vraiment faire la même chose avec les alternatives ?

Publié le 06/08/2024 par Stefan THIBAULT

SOC EDR Ingénierie de détection

2 min de lecture

Comme l’indiquaient à juste titre certains experts analysant l’incident subi par de nombreuses organisations cet été, l’option du remplacement de l’EDR risque dans les prochaines années d’être mise sur la table par des équipes cybersécurité ou surtout par leur management.

Avant de chercher à retirer cet outil en réaction à l’actualité, il convient de rappeler que le risque lié à une mauvaise mise à jour existait avant la mode des EDR :

  • le classique anti-virus, lui aussi recevant des mises à jour de signatures en mode transparent,
  • des outils de gestion de parc qui disposent de droits d’administration,
  • ou encore les agents VPN ou proxy, qui pourraient par exemple agir sur le routage et isoler totalement les terminaux, entraînant un impact similaire (nécessité de réaliser des actes d’administration via un accès “physique”).

Toutefois, l’EDR ne fournissant pas une fonctionnalité primaire à l’utilisateur, il est nécessairement plus à même d’être challengé.

Comme son nom l’indique, un EDR sert à Détecter et Répondre :

  • Les fonctionnalités de détection sont celles qui pourraient être reprises directement par des mécanismes embarqués dans les systèmes : la génération de traces sur le terminal, puis la transmission de ces traces vers un outil de corrélation (SIEM). Mais la puissance d’un EDR provient de sa capacité à réaliser des corrélations en local (et donc de traiter des volumes d’informations importants sans avoir à les déplacer et stocker) mais aussi à manipuler des sources de télémétrie non générées nativement par le système (via le hooking par exemple). Par ailleurs, la collecte de logs à l’échelle nécessite souvent aussi le déploiement d’agents de collecte, afin de pouvoir filtrer à la source les informations nécessaires. On aura juste déplacé le problème sur un autre agent (s’exécutant certes avec moins de privilèges).
  • Les fonctionnalités d’investigation et de réponse pourraient fonctionner sans agent (connexion directe à distance), ou bien avec un agent déployé uniquement en cas de besoin, sur les machines à analyser. Ce mode serait toutefois moins fiable (difficultés à joindre la machine, temps de déploiement…) et l’attaquant pourrait obtenir des informations sur le niveau de compréhension de ses actions par le défenseur.

On voit donc que les EDR sont difficiles à remplacer sans régression sur les capacités de défense, surtout dans des environnements où les autres méthodes de détection et de réponse sur terminaux ont été retirées.