Internet Industriel des Objets IIOT : Tout ce que vous devez savoir sur la détection et la réponse des points finaux

Lire l'article

Par Nilesh Gavali
Nilesh Gavali
Les entreprises d'aujourd'hui sont confrontées à d'énormes défis pour sécuriser et protéger les serveurs, les réseaux et les actifs numériques. Cela va doubler pour les utilisateurs mobiles, car ils – et leurs ordinateurs portables, tablettes et autres appareils. De plus, de plus en plus d'organisations transfèrent leurs charges de travail informatiques vers le cloud, en tirant parti des modèles hébergés et SaaS. Avec une définition étendue des points de terminaison qui inclut tout appareil connecté, physique ou virtuel, il est bon que des solutions de cybersécurité soient disponibles pour aider les organisations de sécurité informatique à faire face. Ces solutions offrent une protection, une surveillance et une assistance pour sécuriser les actifs stratégiques et répondre rapidement à une violation.
La sécurité des points de terminaison fait généralement référence à une méthode bien décrite et bien comprise pour protéger les données et le réseau d'une organisation accessibles avec des appareils connectés d'utilisateur final. Cependant, les solutions traditionnelles de sécurité des points de terminaison ne peuvent pas suivre les points de terminaison conventionnels, sans parler de toutes les nouvelles «choses» mises en ligne dans les réseaux d'aujourd'hui.
Ce guide explique comment déployer et gérer la sécurité pour de nombreux types de points de terminaison. Il analyse également la manière dont les points de terminaison et les incidents de sécurité sont détectés, identifiés, surveillés et traités, y compris une réponse et une correction efficaces. Il discute même du rôle clé de l'automatisation dans la détection et la réponse aux menaces et la gestion des risques.
Qu'est-ce qu'un «point final», vraiment?
Un point de terminaison est tout appareil connecté utilisé pour accéder aux données et au réseau d'une organisation. Traditionnellement, les professionnels de l'informatique interprétaient cela comme «n'importe quoi avec un processeur et un clavier». Cette définition s'élargit désormais pour inclure les «choses» (IoT, IIoT et OT), car de nouveaux appareils – même des capteurs – augmentent encore la surface d'attaque des entreprises et des organisations. Les plates-formes considérées comme des infrastructures dans le passé sont désormais considérées comme des points de terminaison et sont sujettes à des vulnérabilités exploitables. Ainsi, nous devons élargir notre définition d'un point de terminaison pour inclure les serveurs, les appareils mobiles, les kiosques, les points de vente, les systèmes de CVC, les équipements médicaux, les systèmes industriels, les caméras et, oui, même les voitures. Avec davantage de systèmes – physiques ou virtuels, sur site ou dans le cloud – accédant aux données et réseaux organisationnels, la définition sera encore plus étendue.
Exigences pour EDR
Les systèmes EDR (Endpoint Detection and Response) nécessitent au moins quatre types de capacités. Le premier élément est la partie détection; d'autres éléments constituent la partie réponse.
Les systèmes doivent –
 Être capable de détecter les activités malveillantes / les incidents de sécurité dès qu'ils se produisent.
 Contenez l'incident au point final.
 Soutenir l'enquête sur l'incident.
 Fournir des mécanismes pour remédier aux points finaux affectés.
De manière plus générale, l'EDR peut aller au-delà de la détection d'incidents et de leur réponse. Les systèmes EDR avancés peuvent aider à réduire la surface d'attaque globale (dans la mesure où l'intelligence et la technologie le permettent), limiter l'impact d'une attaque et utiliser l'intelligence et l'observation pour prédire quand et comment les attaques pourraient se produire.
Protection des terminaux
Découvrir, inventorier, surveiller et protéger
La sécurisation des points de terminaison commence par leur découverte. Vous ne pouvez pas protéger ce que vous ne savez pas! Et avec la prolifération de toutes sortes de points de terminaison et d'applications, il est important de détecter rapidement toute instance de shadow IT ou de point de terminaison escroc sur votre réseau. Un système EDR analyse en continu l'intégralité du réseau étendu à travers l'organisation pour détecter tout nouvel actif de point de terminaison (matériel, logiciel ou système d'exploitation).
La prochaine étape du processus d'admission des points finaux consiste à faire l'inventaire de cet appareil. Quelles versions de micrologiciel, système d'exploitation et logiciel exécute-t-il? Les analystes de sécurité peuvent ensuite le classer automatiquement en fonction d'un ensemble connu d'attributs et le rechercher pour détecter les vulnérabilités. Est-il corrigé et à jour? Les informations de configuration et de version du point de terminaison sont enregistrées et enregistrées avec toutes les vulnérabilités connues, notées pour leur gravité.
Tous les points finaux sont surveillés, ce qui signifie au moins deux choses: Premièrement, cela signifie que leur configuration actuelle – micrologiciel, système d'exploitation, logiciel, correctifs, posture de sécurité, etc. – est vérifiée en permanence. En outre, le système est surveillé pour toutes les modifications, les violations de stratégie et les modifications de fichiers non autorisées.
Le deuxième aspect de la surveillance consiste à observer ce que font les points d'extrémité. La surveillance garantit que tout changement et accès au système ou au fichier est détecté et analysé pour détecter tout accès ou intention non autorisé ou malveillant. Ce type de surveillance peut être compris comme «garder un œil sur les comportements suspects, fâcheux ou malveillants».
Tous les points de terminaison doivent également être protégés. Dans une certaine mesure, cette exigence est satisfaite en gérant les configurations des appareils afin que les mises à jour et les correctifs soient tenus à jour, et en veillant à ce que toute «dérive» de la configuration de base «sûre» ou toute violation de politique soit immédiatement signalée et analysée pour les indésirables, non autorisés, ou des incidents malveillants.
Les systèmes EDR peuvent utiliser de petits programmes légers appelés agents qui s'exécutent sur chaque point de terminaison sous la forme d'une application, d'une application ou même d'un complément au niveau du noyau sur des appareils qui ne prennent pas directement en charge les applications ou les applications. Un agent fournit une surveillance, une analyse et une réponse approfondies et en temps réel. Dans certains cas, une approche à distance ou sans agent est utilisée pour la découverte et une surveillance et une réponse moins intrusives lorsqu'un agent n'est pas faisable, acceptable ou nécessite des cycles de déploiement plus longs.
Détection et réponse:
Le système EDR surveille les changements d'état des points finaux afin de pouvoir corréler ces changements avec les événements système et les journaux d'application. Ces modifications peuvent inclure les logiciels installés, les fichiers sur un point de terminaison, le registre, les privilèges utilisateur et les informations de compte, le comportement de l'utilisateur, les processus en cours d'exécution et les ports ouverts ou l'activité de communication.
Un bon système EDR utilise plusieurs méthodes de détection pour identifier les menaces sur les points de terminaison –
Detection Détection IOC: cette méthode identifie les modifications de l'état du système et les compare à l'IOC interne (indicateur de compromis). Parfois, il peut être nécessaire d'envoyer les changements d'état ou un fichier suspect à un service de renseignement sur les menaces pour analyse et évaluation.
Detection Détection d'anomalies: les modifications apportées à un système à partir d'une bonne configuration de base connue peuvent également aider à identifier les menaces.
Detection Détection de comportement: l'identification d'un comportement mauvais, étrange ou illicite sur un système peut indiquer une menace. L'enregistrement de tels événements facilite l'identification des menaces et peut identifier le moment où un incident s'est produit ou a commencé.
Violations Violations de stratégie: les modifications du système (par exemple, maintenance ou mises à niveau planifiées, nouvelles installations de logiciels, nouveaux utilisateurs ou modifications de compte) en dehors des fenêtres de configuration approuvées peuvent indiquer un acteur de menace au travail.
Intelligence des menaces
Pour bien comprendre l'étendue, la profondeur et l'étendue du paysage des menaces, il faut comprendre et respecter ses caractéristiques et sa disposition. Cela nécessite des renseignements précis et perspicaces sur les menaces.
Les informations sur les menaces fournissent des données que vous ne possédiez pas déjà (telles que le score de réputation, les outils d'attaque, les acteurs des menaces, etc.). Il fournit des données (ou une analyse de ces données) qui vous aident à prendre des décisions plus nombreuses et de meilleure qualité en matière de défense et vous aident à déterminer ce qu'il faut rechercher d'autre ou les mesures proactives à prendre.
Utiliser au mieux les renseignements sur les menaces
 Automatisez ce que vous pouvez: les attaques automatisées nécessitent des défenses automatisées.
 Enregistrez les ressources des analystes pour des données subtiles et complexes qui vous aident à identifier les menaces les plus susceptibles d'affecter négativement votre organisation.
Les informations sur les menaces sont largement disponibles auprès de nombreuses sources commerciales et communautaires – par exemple, Cisco, Check Point, Palo Alto Networks, CrowdStrike et ThreatStream, entre autres. Chaque organisation doit décider quels services de renseignement sur les menaces lui conviennent le mieux, en fonction de critères tels que l'origine, la fraîcheur, la vitesse et l'échelle, la pertinence, la précision, la confiance, l'exhaustivité et la consommabilité.
Les systèmes EDR avancés s'intègrent à plusieurs services indépendants de renseignement sur les menaces et prennent en charge des flux simultanés pour la détection et la validation automatisées des menaces. Étant donné que le renseignement sur les menaces entraîne l'EDR (et une grande partie des défenses de sécurité de l'entreprise), ces décisions sont d'une importance vitale. Les flux de renseignements devraient être une partie importante de la conversation avec tout fournisseur potentiel de système EDR.
Réponse en temps réel
La réponse en temps réel signifie la capacité de détecter les menaces et d'y répondre dès qu'elles apparaissent. Une réponse idéale est suffisamment rapide pour empêcher toute menace de s'établir sur les réseaux organisationnels ou d'avoir un impact sur les actifs organisationnels.
Les meilleurs systèmes EDR fonctionnent avec l'intelligence des menaces pour rester à jour avec le paysage des menaces en temps réel et pour appliquer les meilleures pratiques lorsqu'une menace est reconnue. Pour les menaces à haut risque, cela signifie envoyer des signaux d'alarme et prendre des mesures automatiques lorsque cela est possible et faisable. Les drapeaux rouges sont importants pour diverses raisons, notamment pour déterminer l'heure à laquelle une menace s'est produite, pour marquer les points d'extrémité qui peuvent être affectés et pour permettre la surveillance des changements ultérieurs afin de créer une empreinte de menace qui peut être utilisée pour générer des renseignements futurs et empêcher la répétition. occurrences.
La meilleure réponse est celle où la correction automatisée peut être appliquée en temps opportun. C'est l'objectif vers lequel tous les systèmes EDR doivent tendre. Lorsque plusieurs événements se sont produits – des données décrivant la menace ont été collectées, l'impact commercial et technique a été identifié, et des données contextuelles ont été collectées – des mesures correctives peuvent être lancées. Une telle correction, qui peut être automatisée ou manuelle, peut impliquer le point final dans les routines de réparation, les annulations, la désinstallation et le nettoyage des logiciels non autorisés, et le blocage de l'accès aux adresses IP ou aux ressources.
De nombreux échanges de renseignements sur les menaces facilitent l'automatisation des réponses. Les entreprises doivent donc développer des processus permettant de mettre en œuvre des réponses automatisées dans la mesure du possible. Répondre à des menaces moins simples nécessite un peu plus de travail.
Politique de sécurité et points de terminaison
La politique de sécurité indique clairement ce qui doit être fait pour protéger les informations numériques. Une politique correctement conçue indique par écrit ce qu'il faut faire, de sorte que la façon dont cela se fasse peut être établie, puis mesurée ou auditée. La politique de sécurité protège également les personnes dans une organisation, reconnaissant que les décisions ou les actions dans des situations où les informations sont en danger impliquent également la responsabilité personnelle des dirigeants impliqués.
Les domaines qu'une politique de sécurité est censée aborder sont clairement énoncés dans le document SANS; cela seul mérite d'être lu:
 Évaluations des risques
 Politiques de mot de passe
 Responsabilités de l'administrateur
 Responsabilités de l'utilisateur
 Politiques de messagerie
 Politiques Internet
 Reprise après sinistre
 Détection d'intrusion
Dans l'ensemble, une politique de sécurité bien conçue définit le schéma directeur pour la mise en œuvre et la pratique de la sécurité au sein d'une organisation. Toute violation de ces politiques doit être surveillée et priorisée pour l'analyse et la réponse car elles peuvent être le mécanisme qui rend possible la détection précoce d'une violation imminente ou continue!
Points d'extrémité de base
une bonne mise en œuvre de l'EDR nécessite que nous identifiions rapidement les nouveaux points de terminaison tels qu'ils apparaissent sur les réseaux d'une organisation. Ces systèmes font généralement l'inventaire de ce qui est installé sur chaque périphérique d'extrémité, y compris tout ou partie des éléments suivants: micrologiciel, système d'exploitation, applications et logiciels de communication, ainsi que les versions et mises à jour ou correctifs appliqués à ces différents composants.
Baselining est un concept clé de la cybersécurité. Cela fait référence à l’établissement d’un sens détaillé de ce qui est «normal» et «sûr» pour les systèmes et les appareils afin de garantir un environnement sécurisé. Cette notion de ce qui est «normal» peut être essentielle lors de la surveillance des systèmes, car elle fournit quelque chose par rapport à laquelle comparer l'état actuel, la configuration et l'activité, et permet souvent de détecter les menaces par inférence même lorsqu'aucune preuve directe ou moyen de reconnaissance n'est disponible ou connu.
La définition des points de terminaison établit un point de référence pour la surveillance et la gestion ultérieures. Comme tout le reste dans le monde de la sécurité, les lignes de base doivent changer lorsque ce qui est «normal» change. Ainsi, il est préférable de considérer une ligne de base comme un instantané de l'état idéal ou souhaité d'un point de terminaison, qui doit être actualisé chaque fois que des modifications sont apportées par intention ou par conception (ajout ou mise à jour du système d'exploitation ou du logiciel, application de correctifs ou de correctifs, ajout ou modification des services réseau ou de la configuration, etc.).
Liste des tâches que vous devez effectuer avant de pouvoir choisir et déployer un système EDR:
 Formuler une politique de sécurité. EDR travaille dans le cadre d'une politique de sécurité d'entreprise complète. Sans une délimitation des évaluations des risques, des responsabilités d'administrateur, d'Internet et des politiques de détection des intrusions, vous ne saurez pas ce que vous essayez de protéger ni comment le protéger au mieux.
 Bien faire les choses. EDR fait partie d'un objectif de sécurité complet qui comprend l'évaluation, la sécurisation et la surveillance de tous les points finaux. Ces activités se déroulent dans le contexte d'une politique de sécurité avec des procédures pour sa promulgation, sa gouvernance et sa conformité, le cas échéant. L'EDR est un élément essentiel de votre infrastructure de sécurité, mais pas son but ultime.
 Découverte et profilage des points de terminaison. Un système EDR doit soit inclure cette capacité, soit s'intégrer étroitement aux outils de surveillance pour identifier et profiler tout nouveau point de terminaison qui rejoint le réseau. La catégorisation des actifs et l'évaluation des risques informent ensuite un analyste de sécurité EDR sur la posture de risque de ces actifs pour aider à sélectionner une politique appropriée pour les renforcer, les surveiller et les protéger contre les menaces actuelles et émergentes.
 Utilisation de configurations sécurisées pour la protection. Les évaluations des risques guident la manière dont les points d'extrémité doivent être renforcés et protégés. Ces évaluations aident à minimiser la surface d'attaque et à réduire les risques. EDR fonctionne mieux en conjonction avec des contrôles de sécurité qui établissent, maintiennent et protègent des configurations sécurisées pour les terminaux. Souvent, cela signifie inclure ou travailler avec un système SCM (Security Configuration Management) pour définir les configurations, puis utiliser EDR et d'autres outils de sécurité pour rechercher des changements non autorisés ou anormaux révélateurs. De plus, les tests de politique de configuration peuvent aider à prévoir les points de défaillance des points de terminaison qui pourraient autrement être exploités lors d'une attaque.
 Déployer des informations intégrées sur les menaces. L'intelligence des menaces est essentielle pour que EDR tienne sa promesse de réduire les lacunes de détection, d'analyse, de réponse et de correction. Il est donc essentiel de rechercher et d'identifier les flux de services de renseignement sur les menaces les plus appropriés. Vous pouvez décider de sélectionner un ou plusieurs services de renseignement commerciaux ou communautaires. Vous pouvez même décider de les étendre avec un service d'analyse de logiciels malveillants à la demande, basé sur le cloud, dans un bac à sable. Le système EDR que vous sélectionnez doit prendre en charge l'intégration et l'automatisation des services de renseignement sur les menaces nécessaires pour protéger votre organisation contre les menaces actuelles et émergentes.
 Développer et cultiver la sensibilisation à la sécurité des utilisateurs. les utilisateurs doivent être informés – de préférence à intervalles réguliers – des principes fondamentaux de la sécurité, de l'informatique sûre et des problèmes de sécurité liés à leurs rôles et responsabilités. Pour prendre en charge l'EDR efficace, les utilisateurs doivent comprendre comment assumer la responsabilité de leur propre sécurité et de leur comportement. Cela permet de réduire les menaces internes de la variété accidentelle ou mal informée.
 Mise en place d'un support de gestion et d'une collaboration d'équipe. Pour qu'un EDR (ou tout autre programme de sécurité) réussisse, il est essentiel d'établir un soutien au leadership organisationnel. De plus, pour que l'EDR soit efficace dans la vie réelle, il nécessite un alignement et une collaboration continus entre les équipes des opérations de sécurité et informatiques. Recherchez un système EDR qui offre l'intégration et l'automatisation nécessaires pour aider ces équipes à collaborer en temps réel. Cela réduira les désalignements et minimisera le partage manuel d'informations sensibles au facteur temps. Ceci est essentiel lorsque les équipes se démènent pour détecter, analyser et répondre à une faille de sécurité réelle!
Choisir une solution EDR
Parmi les nombreux facteurs et éléments qui devraient figurer dans cette liste, les suivants sont parmi les plus importants:
 Accueille tous vos points d'extrémité. Le candidat offre une visibilité approfondie sur la sécurité, l'activité, la communication et la configuration des terminaux, ainsi qu'une surveillance détaillée des fichiers et objets critiques pour tous les types de terminaux.
 Prend en charge l'automatisation des réponses. Le candidat s'intègre à divers services de renseignement sur les menaces. Il fournit des mécanismes qui permettent des réponses manuelles et automatiques aux menaces reconnues ou démontrées.
 Fonctionne avec d'autres éléments de l'infrastructure de sécurité. Le candidat s'intègre aux renseignements sur les menaces, aux outils de gestion de la configuration de la sécurité, aux solutions de gestion des informations et des événements de sécurité, à la gestion des journaux, à l'intégrité des fichiers et aux systèmes de surveillance des changements, à la gestion des vulnérabilités et des risques, etc.
 Minimise les risques pour votre organisation et comprend (ou peut appliquer) votre contexte commercial.
 Fournit ou inclut un support adéquat pour l'installation, la configuration et le rodage de la solution. Il s'agit probablement d'un article à coût majoré, et devrait être budgétisé en conséquence.
 Le coût d'achat et de déploiement, plus tous les coûts récurrents, correspond à votre budget de sécurité. Si vous ne pouvez pas vous le permettre, ne l'achetez pas.
L'EDR est un voyage sans fin en raison du volume considérable de menaces en constante évolution auxquelles les organisations doivent faire face. Certaines études montrent que de centaines de milliers à un million ou plus de nouvelles menaces se manifestent chaque jour. Ce volume massif de menaces nécessite une vigilance et une automatisation constantes concernant l'état, la configuration et le comportement des terminaux. La réduction des risques de sécurité requiert une attention particulière aux informations sur les menaces et une corrélation de ces informations avec une attention particulière aux fichiers clés, aux objets et aux paramètres de configuration.
C’est pourquoi EDR implique un cycle d’activités constant et continu. Pour les menaces qui ont déjà été détectées, des réponses doivent être formulées et mises en œuvre. Une fois mises en œuvre, ces informations alimentent le cycle de prévention pour éviter que des menaces similaires ne se reproduisent. De plus, il faut constamment rester attentif aux signes de nouvelles menaces et s'assurer que la détection fonctionne comme il se doit, en recommençant tout le cycle.
(L'auteur est un professionnel de l'informatique astucieux certifié CISSP et CompTIA Security +)
Si vous avez un article / expérience / étude de cas intéressant à partager, veuillez nous contacter à [email protected]

Laisser un commentaire