L’antivirus serait-il mort ? Sans vouloir remettre en question les capacités avancées de détection et de réponse à incident qu’apporte l'EDR, il n’est pas la solution adaptée pour toutes les organisations. A quel moment l’EDR est-il préférable à l’Anti-Virus ?
EDR et Anti-Virus, quelles différences ?
L’Anti-virus :
Antivirus : modes de détection
Signature
La fonctionnalité de base d’un antivirus est la détection sur la base de signature.
Qu’est-ce qu’une signature ?
Une signature numérique est une marque qui est propre à un fichier malveillant (malware, ransomware, Rootkit…) ou une action malveillante (échanges numériques avec une IP ou domaine d’un attaquant).
Chaque antivirus contient une base de données de signatures numériques qui est régulièrement mise à jour par son éditeur (par défaut) et parfois par d’autres sources tierces lors de configurations avancées.
Si un fichier arrive sur le système ou qu’une action effectuée contient une marque correspondant à une des signatures présentes dans la base de données de l’antivirus, alors l’antivirus la détectera et effectuera une des actions de remédiation associée.
Limites d’une détection basée sur des signatures
Une grande partie des Anti-Virus basent leur détection uniquement sur une base de signatures. Malheureusement, cette technique de détection est limitée, la détection ne peut être effective que si une signature permet d’identifier la menace. Cette menace doit donc déjà être connue par l’antivirus. Si cette activité malveillante est nouvelle, ne ressemble pas à celles déjà identifiées dans le passé, l’antivirus basé uniquement sur les signatures n’a presque aucune chance de pouvoir la détecter : vous avez donc perdu.
Analyse Heuristique
Une analyse heuristique consiste à identifier une source de menaces par la structure d’un fichier (analyse statique) ou son comportement à l’exécution (analyse dynamique – Sandboxing). Contrairement à ce que prétendent d’autres articles à ce sujet, notamment en provenance des éditeurs d’EDR, il ne s’agit pas d’une fonctionnalité propre aux EDR. En effet, elle est également présente dans certains anti-virus avancés (souvent proposée en tant qu’option). Par exemple, les antivirus suivants proposent de telles fonctionnalités : Kaspersky Endpoint Security 10, ESET NOD32 ou Bitdefender Total Security.
Limites de la détection par l’analyse heuristique
La détection par l’analyse heuristique permet à un antivirus de pouvoir détecter des fichiers malveillants qui n’ont jamais été rencontrés dans le passé et qui ne sont pas répertoriés dans la base de données. Cependant, cette détection sera possible uniquement si le mode opératoire ou la structure de ce fichier ressemble à une autre souche connue de fichier malveillant (on parle de variant). S’il s’agit d’un variant trop lointain des souches connues ou d’une nouvelle technique d’attaque (notamment dans le cas de 0-day), l’analyse heuristique ne sera pas capable de le détecter.
Antivirus – réponse à la détection
Dans un antivirus, les possibilités de réponse à la détection d’une menace sont essentiellement limitées aux éléments suivants :
- Le blocage de l’exécution du fichier malveillant
- La suppression du fichier malveillant
- La mise en quarantaine du fichier malveillant
- La remontée d’alerte à une console centrale de la détection
2 – L’EDR : le roi de la sécurité Endpoint
EDR : Mode de détection
Tout d’abord, toutes les méthodes de détection proposées par un Anti-Virus (par signature et heuristiques) sont proposées par un EDR (en dehors de rares exceptions). Nous allons donc voir dans cette partie les capacités de détection supplémentaires que l’EDR propose par rapport à l’antivirus.
Détection comportementale
Cette capacité de détection est surement l’atout majeur de l’EDR sur l’Anti-Virus. Elle consiste à corréler l’enchaînement des évènements et à y identifier des comportements malveillants. Indépendamment de toute signature, on essaye de détecter un comportement suspect et voir si celui-ci correspond à un modèle d’attaque connu. Les possibilités d’attaques sont infinies, mais le nombre de techniques utilisées par ces attaques (TTP) est quantifiable et évolue beaucoup moins que le nombre de souches de malware. Beaucoup d’équipes de cyberdéfense se basent justement sur la matrice ATT&CK du MITRE qui référence avec exhaustivité les techniques d’attaques connues. Si vous arrivez à modéliser des comportements à partir de l’ensemble de ces techniques d’attaques et les traduisez en règles de détection comportementale sur un EDR, vous détectez tout !
En réalité, en arriver à ce résultat est quasi impossible. Premièrement, parce que chaque technique d’attaque induit une multitude de comportements possibles et difficilement quantifiables, mais aussi car certains de ces comportements sont similaires à des comportements légitimes : la noyade dans les faux positifs est assurée si vous tentez de les détecter. (donc même l’EDR ne sera jamais capable de tout détecter).
Mais quoi qu’il arrive, vous pouvez, avec l’EDR, considérablement étendre votre capacité de détection grâce à son analyse comportementale.
L’intelligence artificielle
L’intelligence artificielle (et ses dérivés : Machine Learning, UEBA, Deep Learning…) est présente dans un grand nombre d’EDR, et vient compléter la détection comportementale. En effet, l’intelligence artificielle va apprendre, grâce à l’analyse comportementale, quelles sont les habitudes exercées sur les Endpoints qu’elle protège. L’IA va identifier les potentiels écarts et anomalies et éventuellement soulever une alerte.
L’intelligence artificielle est une fonctionnalité mise en avant par les éditeurs d’EDR qui est souvent mal comprise par ses utilisateurs et par les commerciaux qui la présentent comme une solution magique. L’Intelligence Artificielle n’a rien de magique et est le résultat d’algorithmes ayant fait leurs preuves en la matière à la suite de nombreuses années de recherches. Néanmoins, ces algorithmes nécessitent un certain travail d’adaptation à l’environnement dans lequel ils sont utilisés. Nous ne rentrerons pas dans le détail de ce sujet dans cet article, mais si ce sujet vous intéresse nous vous invitons à assister à notre présentation au FIC 2022 à ce sujet !
EDR : Réponse à la détection
De la même manière que la détection, les méthodes de réponse à la détection proposées par l’Antivirus sont également disponibles avec un EDR. En plus de ces facultés, l’EDR propose les capacités suivantes (liste non exhaustive) :
- La mise à disposition d’une interface intuitive et de données d’investigation stratégiques
- La prise de contrôle à distance par un analyste en réponse à incident
- L’exploration du système de fichiers du poste par l’analyste
- La mise en quarantaine, l’isolation du poste du reste du réseau
- …
Pour résumer :
EDR : L’excellence de la détection et de la réponse à incident
D’un point de vue fonctionnel, l’EDR n’a rien à envier à son « ancêtre » l’Antivirus. L’EDR est LE produit par excellence en matière de détection et de réponse à incident sur les terminaux et surpasse l’antivirus dans ces catégories de très loin.
L’EDR : un outil nécessitant de l’expertise
Toutefois, les capacités de détection et de réponse de l’EDR nécessitent une certaine expertise pour pouvoir être exploitées à leur plein potentiel !
D’une part, ses capacités avancées de détection fondées sur de l’analyse comportementale et de l’intelligence artificielle doivent être utilisées avec prudence : ces techniques de détection ont le défaut d’occasionner un plus grand nombre de faux positifs qu’une détection basée sur la signature qui est plus fiable. Il convient de maîtriser ces faux positifs grâce à une adaptation des règles à son environnement et malgré cette adaptation, beaucoup de ces règles ne pourront pas profiter d’une réponse automatique et nécessiteront une analyse humaine. Cela entraîne le besoin d’avoir des analystes sécurité.
D’autre part, ses capacités de remédiation et de réponse à incident nécessitent également une certaine expertise : les outils d’investigation sont destinés à être utilisés par des experts en réponse à incident.
L’antivirus : l’efficacité
L’antivirus, contrairement à l’EDR n’utilise que des techniques de détection à très faible taux de faux positif. De ce fait, l’antivirus est capable d’effectuer des actions de remédiation en toute autonomie sans intervention humaine. L’antivirus a d’ailleurs été conçu pour fonctionner de cette manière, c’est pour cela qu’il est tout aussi bien utilisé dans les entreprises que chez les particuliers.
Quand dois-je m’orienter vers un EDR plutôt qu’un antivirus ?
L’EDR a des capacités de détection et de réponse à incident bien meilleures qu’un antivirus. Néanmoins, pour pouvoir réellement profiter de ces fonctionnalités, il est nécessaire d’atteindre une certaine maturité en sécurité des systèmes d’information. Son intégration et son exploitation sont assez onéreuses (de par son coût humain et de licence), il n’est pas justifié d’implémenter une telle solution dans votre organisation si vous ne répondez pas encore aux 42 règles du guide d’hygiène de l’ANSSI.
L’EDR est la solution à adopter lorsque votre organisation possède une maturité avancée en matière de sécurité des systèmes d’information et des équipes opérationnelles possédant des compétences en cybersécurité (analyste SOC / Réponse à incident).
Autrement, nous vous conseillons de conserver votre antivirus, et éventuellement faire évoluer votre anti-virus traditionnel vers une solution plus évoluée (antivirus Next-gen) possédant des fonctions analytiques plus avancées comme de l’analyse heuristique en activant des options additionnelles.