Les exigences en termes de cybersécurité ne cessent de croître et de se durcir que cela fasse suite à une attaque (DDOS, ransomware, etc.), un changement de standard (25/50/100 Gbit/s) ou pour s’adapter aux évolutions législatives (NIS2, Cyber Resilience act, etc.). Si, pendant un temps, les RSSI ont pu se contenter d’installer des IDS/IPS, aujourd’hui ils doivent choisir des solutions plus performantes, dans des environnements techniques et règlementaires complexes.Le marché des solutions s’en trouve impacté. Autrefois vecteur d’innovations majeures, il s’est englué dans les effets de mode et des combats d’arrière-garde et a laissé communiqués de presses et articles de commande peser plus lourd que la réalité d’avancées technologiques en perte de vitesse.
Chaque année, l’écosystème médiatique cherche son nouveau champion et au fil du temps, le discours s’est déplacé des IDS vers les IPS, puis vers les SIEM. Récemment, c’est sur l’endpoint et autour des utilisateurs finaux (UBA – User Behavior Analytics) que se sont concentrés les efforts de développement. Ainsi, les EDR, et plus récemment les XDR ont été mis sous le feu des projecteurs par le discours commercial. Celui qui cherche à y voir plus clair est confronté à pléthore d’articles comparatifs qui tentent de départager, au travers d’une grille d’analyse très fine, les meilleurs acteurs du marché alors que leurs principes technologiques sont identiques.
La caractéristique commune de ces produits, tous excellents, est qu’ils ont considérablement renforcé leurs capacités de détection de menace et de protection des terminaux par le déploiement d’agents logiciels. Cependant, cette approche de la cybersécurité centrée sur les machines n’apporte qu’une protection partielle et présente encore de larges zones d’ombre et, en tout état de cause, elle ne fonctionnera que pour les menaces connues, sur un parc de machines identifiées capables de supporter un agent.
Les agents, champions des solutions de cyber sécurité ?
Si le déploiement d’agents est aussi largement répandu, c’est parce qu’il répond à un besoin croissant d’une visibilité améliorée sur tous les endpoints. Au demeurant, les solutions EDR sont bien adaptées pour détecter et protéger vos parcs informatiques contre certaines formes avancées de menaces (malware, d’APT, tentatives de phishing, etc…) qui n'ont jamais été aussi prégnantes que depuis que le télétravail s’est généralisé.
Mais, pour effectuer leur mission, les agents ne cessent de demander des accès privilégiés à vos ressources et vos systèmes. Certains peuvent, par exemple, envoyer le contenu de vos bases de données email en clair dans un cloud, sur lequel vous n’avez aucune visibilité, pour y appliquer des algorithmes de NLP (Natural Language Processing). D’autres vont scanner périodiquement la mémoire vive de vos machines et l’ensemble de votre File System pour être en mesure de lutter contre des menaces qui se sophistiquent de plus en plus pour échapper aux techniques de détection des EDR.
La nature changeante des menaces exige de mettre en œuvre des moyens accrus pour les contrer. Or, le déploiement d’agents dans un parc informatique est un acte engageant. Car, dans certains cas de figure, les agents peuvent devenir des portes d’entrée privilégiées à tous vos systèmes d’informations (# SolarWinds).
Une fois qu’un EDR/XDR est subverti ou un NIDS contourné, la capacité à être averti qu’un réseau est envahi et que des données sont peut-être en cours d’exfiltration est significativement réduite. De plus, si les EDR fonctionnent de manière correcte sur des machines équipées de systèmes d’exploitation traditionnels (Mac OS, Windows, Linux), leur efficacité est sujette à caution dans des environnements plus exotiques comme l’IoT, les équipements industriels (SCADA) ou les environnements BYOD.
Pourquoi l’EDR est-il encore le grand favori des RSSI ?
Si le déploiement d’agents continue à se multiplier de manière exponentielle, c’est à la fois parce que c’est simple : une machine-un agent et parce que l’intensité du discours commercial peut donner l’illusion que cela est suffisant pour protéger l’ensemble de l’infrastructure IT.
A cela s’ajoute l’incapacité des acteurs connus de la sécurité du réseau à fournir des solutions performantes techniquement, abordables financièrement, et offrant une visibilité granulaire sur le réseau.
Des solutions, type NDR (Network Detection and Response), existent mais sont incapables de suivre les évolutions des réseaux. En effet, afin de masquer leur obsolescence, elles utilisent majoritairement des raccourcis techniques, incompatibles avec une approche Zero Trust (comme le packet slicing, le packet sampling, l’exclusive_over_IP, le FPGA, etc…), tout en ayant une empreinte physique et un coût financier très élevés.
L’approche traditionnelle de l’analyse de réseau n’a pas su faire face à plusieurs évolutions marquantes :
- L’augmentation continue des débits (25Gbit/s, 50Gbit/s et maintenant le déploiement généralisé du 100Gbit/s)
- Diversification des usages (BYOD, IoT, etc.)
- Complexification des réseaux (chiffrement, virtualisation croissante, GSM over Ethernet, etc.)
- Hybridisation : core-to edge, edge to cloud, edge to edge
C’est ainsi que les EDR sont tout naturellement devenus, tant techniquement que commercialement, LA solution. A comprendre : la seule solution. Techniquement, parce qu’elle permet de contourner les difficultés en déportant la responsabilité de la sécurité en fin de parcours (End Point), sur les utilisateurs, en quelque sorte. Et commercialement, parce que la vente d’un nombre élevé d’abonnements à un prix unitaire faible, est plus aisée que de convaincre une entreprise d’investir dans des équipements plus coûteux, unitairement parlant, mais qui lui permettront d’obtenir la visibilité complète dont elle a besoin.
Dans une approche Zero Trust de la cybersécurité, l’EDR garde, bien entendu, tout son sens, mais il ne représente qu’une brique dans une architecture plus vaste. Il ne saurait donc être l’alpha et l’oméga de la politique de sécurité d’un système d’information. Aucune solution de cybersécurité ne peut l’être ni ne devrait le revendiquer.
Un NDR oui ! Mais en mode Zero Trust !
Comme évoqué plus haut, des solutions d’analyse et de sécurité des réseaux tentent déjà de résoudre certaines problématiques cyber qui pourraient s’inscrire dans une démarche Zero Trust, laquelle pose comme cadre (framework) de ne faire aucune confiance a priori : tout est contrôlé, de l’infrastructure à l’utilisation, en permanence et pas seulement les droits d’accès.
Or, les solutions de sécurisation réseau sont généralement toutes pénalisées par l’emploi de raccourcis matériels et logiciels qui leur imposent de faire une confiance totale à des éléments qu’elles ne maitrisent pas (id est se contenter d’une visibilité sur certains protocoles over IP, par exemple) ou d’user d’«astuces» statistiques pour compenser leur inefficience (sampling, slicing, etc.).
Le mirage des statistiques constitue, à cet égard, un exemple frappant. Certaines solutions commercialisées appliquent des procédés de Machine Learning (M/L) pour faire de la détection. Le problème est qu’il est hasardeux de baser son M/L sur des valeurs statistiques elles-mêmes issues d’échantillonnages non maîtrisés. Dans tous les cas de figure, il n’est pas possible d’être conforme à un framework s’inspirant du Zero Trust (lui-même de plus en plus dévoyé pour des raisons marketing).
L’emploi du Machine Learning pour renforcer des capacités de détection et d’alerting avancées et prévenir l’utilisateur d’anomalies complexes liées au détournement d’applications et de processus, est, conceptuellement, satisfaisant, à la seule condition d’en connaître les limites. Reposant sur des données parcellaires, il ne peut prétendre à l’exhaustivité et à une observabilité complète des réseaux. Il en va de même si l’on se cantonne à de l’analyse de réseau au-dessus des flux IP voire même uniquement over_TCP !
Si l’observabilité n’est pas complète, cela revient à analyser un iceberg en se contentant de la partie émergée : la partie immergée reste dans l’ombre. En renonçant à cette capacité, on laisse perdurer les zones d’ombre des réseaux, qui ne cessent de se multiplier avec la généralisation de la virtualisation, le Shadow IT, le BYOD, etc...
Ajoutons que même avec des NDR très performants (comme Extrahop ou Vectra), l’obligation d’utiliser des matériels spécifiques les rend, par définition, très peu scalables et les enferme dans un cadre d’usage très restrictif.
Malheureusement, la version logicielle de leur suite applicative, de par sa faible performance (ratio ressources requises/flux traités) provoque une explosion des coûts de hosting. Ces performances très limitées les éloignent toujours plus du Zero Trust dont elles se revendiquent.
Que doit faire un CISO pour augmenter sa protection, réduire et contrôler sa surface d’attaque ?
Évidemment ajouter un NDR dans sa suite pour compléter son EDR. Mais un NDR capable de faire du Zero Trust Traffic Analysis (Z2TA), c’est-à-dire une analyse complète de chaque paquet sur l’ensemble des couches et capable d’en extraire toutes les métadonnées indispensables (ce qui exclut les technologies à base d’échantillonnage).
Le Z2TA oblige à repartir d’une page blanche pour répondre à l’ensemble des problématiques précédemment exposées et permet d’offrir aux RSSI la visibilité sans concession, c’est-à-dire sans biais conceptuel, de leurs réseaux. Le Z2TA est la solution d’avenir qui permet de contrer un ensemble de menaces que les EDR ne sont pas en mesure de voir, et dont ils sont parfois le propre vecteur.
Le Zero Trust Traffic Analysis est un outil indispensable de la panoplie du CISO pour répondre aux plus hautes exigences en matière de cybersécurité.