Comparatif EDR/segmentation : comprendre les différences
L'EDR (Endpoint detection and response) et la segmentation sont deux outils de sécurité essentiels qui continuent à apporter de la valeur aux clients et bénéficient tous deux d'un taux d'adoption croissant. Les fournisseurs de chaque catégorie annoncent souvent aux clients des avantages similaires, à savoir la protection contre les ransomware et les menaces de type Zero Day.
Quels sont donc les défis communs auxquels l'EDR et la segmentation permettent de répondre, et en quoi leurs approches diffèrent-elles ? Lisez la suite pour en savoir plus.
Quelles sont les similitudes entre l'EDR et la segmentation ?
Les solutions d'EDR et de segmentation offrent toutes deux des contrôles avant la violation ainsi que des mesures d'atténuation après la violation. Elles sont également de plus en plus présentes dans les mêmes zones du réseau, notamment les serveurs, les instances de cloud, les terminaux des utilisateurs finaux et les conteneurs. Les violations sont inévitables,et les deux solutions peuvent atténuer ou réduire l'impact d'une violation avant qu'elle ne cause des dommages importants sur l'ensemble du réseau. Toutefois, l'approche utilisée pour éliminer la survenue et la multiplication des violations n'est pas la même.
Quelles sont les différences entre l'EDR et la segmentation ?
L'EDR a pour but de détecter les attaques malveillantes lorsqu'elles ciblent un terminal ou un serveur initial, que ce soit en signalant un événement de chiffrement indésirable, en détectant une connexion à une adresse IP liée à une organisation cybercriminelle ou en avertissant l'administrateur d'une activité suspecte. Les avancées en matière d'intelligence artificielle et d'apprentissage automatique ont également amélioré la capacité de l'EDR à identifier les attaques Zero Day en se basant sur des similitudes entre les signatures de fichiers et les attaques connues.
Les solutions de segmentation visent à diviser le réseau en compartiments cloisonnés afin de limiter le mouvement latéral (ou est-ouest) d'une attaque que l'EDR n'a pas détectée. Lorsqu'elle est correctement configurée pour tirer parti du cloisonnement des applications critiques, des contrôles d'accès granulaires et des règles d'atténuation des menaces, une solution de segmentation assure que les attaques ayant réussi à entrer sur le réseau se heurteront finalement à un obstacle.
Bien que l'EDR soit capable de détecter le début de ces attaques, aucune solution EDR ne peut détecter les événements malveillants de façon infaillible. Dans le cas où un pirate pénètre dans un terminal sans être détecté, l'ampleur de l'attaque sera définie par les endroits où l'attaquant pourra se déplacer ensuite ; et c'est là que la segmentation entre en jeu.
Le rôle des solutions de segmentation et de leurs contrôles de sécurité réseau est d'assurer qu'un terminal ayant subi une violation pourra uniquement établir des connexions à un nombre limité de terminaux ou d'applications. Par exemple, la segmentation peut empêcher qu'un ensemble d'informations d'identification volées sur un ordinateur portable entraîne une violation critique du centre de données, si la règle de sécurité du réseau stipule qu'une telle connexion au centre de données ne doit jamais être possible.
Comparatif des cas d'utilisation EDR/segmentation
Cas d'utilisation |
EDR |
Segmentation |
Visibilité |
Fournit une visibilité et une intégrité intra-terminal. |
Fournit une visibilité inter-terminaux, des applications, du réseau et de la charge de travail. |
Atténuation des ransomwares |
Vise à détecter une attaque en cours sur un terminal ou un serveur. |
Met en œuvre des mesures de sécurité granulaire du trafic est-ouest afin de limiter l'impact d'une violation. |
Enquête sur les menaces |
Recherche les anomalies, menaces et signatures de programmes malveillants sur un terminal ou un serveur. |
Exécute des requêtes et des mises à jour des règles sur l'ensemble du réseau pour identifier les vulnérabilités actives ou inactives. Examine l'ensemble de la chaîne d'attaque, où qu'elle ait pu naître ou se propager. |
Évolution du périmètre de sécurité |
Offre des fonctionnalités similaires quel que soit l'emplacement du terminal. |
Maintient une forte segmentation du réseau lorsque les employés accèdent aux applications à distance. |
Cas d'utilisation : visibilité
EDR
Ces solutions offrent de la visibilité sur les actions du terminal sur lequel elles sont installées. L'EDR surveille en permanence le terminal pour détecter les menaces connues et potentiellement inconnues, et peut parfois utiliser l'apprentissage automatique pour comprendre le comportement normal du terminal. Une alerte est envoyée en cas de comportement anormal. Cette surveillance constante peut parfois se traduire par une forte consommation du processeur.
Segmentation
Pour segmenter parfaitement un environnement, ces solutions doivent fournir une visibilité complète sur l'ensemble du réseau, y compris les serveurs, les terminaux des utilisateurs finaux, les instances de cloud, les conteneurs et les connexions entre ces éléments. Cette visibilité inclut les flux de données actifs entre les ressources, les connexions masquées qui présentent un risque et les dépendances réseau qui affectent l'impact d'une modification des règles ou d'un serveur infecté. Grâce à ces informations, il est possible de créer des règles de segmentation qui prennent en compte tous les points de vulnérabilité afin de réduire considérablement la possibilité de mouvement latéral.
Cas d'utilisation : atténuation des ransomwares
La majorité des attaques de ransomwares sont attribuées à une erreur de l'utilisateur, comme une mauvaise hygiène des mots de passe ou un clic sur un e-mail d'hameçonnage. Dans ces situations, l'EDR et la segmentation protègent contre la propagation de l'attaque à différents stades et de différentes façons.
EDR
Les solutions EDR visent à détecter la présence de ransomwares en cours d'exécution sur les terminaux qu'elles surveillent. Lorsque l'EDR détecte un ransomware, elle peut arrêter le processus, mettre le terminal en quarantaine et parfois annuler un éventuel chiffrement.
Segmentation
Avant l'attaque : grâce au mappage de l'ensemble de l'environnement à partir d'une interface utilisateur unique, y compris les terminaux, les connexions et les processus, la règle de sécurité appropriée peut être appliquée pour empêcher une attaque ransomware d'exploiter une connexion terminal-centre de données qui serait autrement invisible pour l'administrateur.
Après l'attaque : si le ransomware pénètre dans l'environnement, les mesures qui ont été prises à l'aide de la solution de segmentation (isolement des applications critiques, élimination des connexions indésirables aux bases de données et limitation des voies de mouvements latéraux, par exemple), sont toutes efficaces pour garantir que la violation ait un impact global limité. Des mesures de réponse aux ransomwares prédéfinies peuvent également aider l'utilisateur à isoler tactiquement les ressources ou à limiter des flux de données spécifiques sans perturber le reste de l'environnement, et garantir ainsi la continuité de l'activité.
Cas d'utilisation : enquête sur les menaces
EDR
La « détection et réponse » dans l'EDR implique souvent que l'administrateur ou l'équipe du centre d'opérations de sécurité déploie autant d'efforts que la solution elle-même pour rechercher les menaces. La combinaison d'une équipe talentueuse et d'un EDR éprouvé permet de constituer un binôme efficace pour découvrir les acteurs malveillants qui se cachent sur les terminaux.
Segmentation
Les analystes de sécurité chevronnés pourront facilement exécuter des requêtes sur l'ensemble de leur réseau, des serveurs sur site exécutant un système d'exploitation hérité à une infrastructure de plateforme en tant que service (PaaS) dans leurs environnements de cloud public, à l'aide d'une solution de segmentation.
En outre, les solutions de segmentation permettent une meilleure investigation de la chaîne d'attaque après une violation, car toutes les connexions et événements réseau sont accessibles depuis l'interface utilisateur de la solution de segmentation. Il est ainsi beaucoup plus simple de se mettre en conformité en cas de violation, car un rapport détaillé de l'attaque peut être cartographié et produit en peu de temps.
Cas d'utilisation : évolution du périmètre de sécurité
EDR
Que les employés soient connectés au réseau du bureau ou à leur routeur à domicile, l'EDR peut continuer à surveiller le terminal de l'utilisateur final pour détecter toute activité malveillante. Mais la visibilité de l'activité du réseau reste insuffisante et le contrôle du trafic réseau en provenance ou à destination du terminal est limité.
Segmentation
La segmentation est une mesure de sécurité fondamentale pour faire face à l'évolution du périmètre, car une violation peut exister au sein de ces plateformes, quel qu'en soit le point d'origine. Les règles de segmentation tiennent compte des terminaux des utilisateurs finaux et assurent qu'il n'y ait pas de chemin facile vers les actifs précieux de l'organisation, de sorte que le réseau reste protégé contre des violations aux conséquences catastrophiques.
Comment l'EDR et la segmentation se complètent-elles ?
L'EDR et la segmentation répondent toutes deux à des défis de sécurité majeurs, mais à différentes étapes de la chaîne d'attaque et de façon différente. L'EDR est une solution efficace pour identifier de nouvelles attaques. Toutefois, si votre objectif est de réduire de manière significative la surface d'attaque sur le réseau et de limiter les voies pouvant être empruntées par les programmes malveillants à partir d'un terminal piraté, il vous faut une solution de segmentation.
Les deux solutions peuvent être basées sur des agents, chaque agent se concentrant sur des objectifs différents, tout en réduisant la consommation du processeur. Dans certains cas, une seule solution intégrée suffit à offrir à la fois des capacités EDR et des capacités de segmentation pour un terminal donné.
En savoir plus
Pour plus d'informations sur l'utilité des solutions de segmentation pour protéger le réseau d'une attaque provenant d'un terminal, consultez cette présentation rapide de la solution.
