Déployer un EDR à chaud, pendant ou à la suite d’une attaque, permet non seulement d’aider à endiguer la menace, mais aussi limiter la propagation, et d'améliorer la visibilité sur le Système d'Information.
De l’investigation à la remédiation, voyons en détails les avantages d’un EDR lorsqu’il est déployé alors qu’une crise cyber frappe un Système d’Information.
Pendant ou après une attaque : l’utilité d’un EDR
Quand un Système d’Information (SI) est victime d’une attaque, les actions à prioriser vont dépendre de la manière dont l’attaque est détectée, et son stade d’avancement.
Voici quelques exemples de la façon dont un incident cyber peut être identifié :
- un outil de sécurité (autre qu’un EDR) détecte la compromission d’un ou plusieurs postes de travail, ou de serveurs ;
- un outil de sécurité identifie une attaque en bordure réseau ;
- un utilisateur en interne remarque un comportement suspect de son poste de travail ;
- le RSSI ou la DSI sont notifiés par une tierce partie (ANSSI, CERT...) ;
- un message de demande de rançon apparaît sur tout ou partie du parc informatique (ici, l’attaquant est parvenu à concrétiser son projet, mais nous allons voir que le déploiement d’un EDR reste pertinent)…
En cas d’incident de sécurité avéré, un EDR peut alors remplir différentes fonctions selon les situations.
Cas n°1 : déployer un EDR pour faire face à une attaque sans impact visible
Dans ce cas, l’attaquant cherche généralement à s’infiltrer dans le SI sans se faire remarquer, généralement pour faire de l’espionnage, du vol de données, ciblage de prestataires externes (ESN, chaînes d’approvisionnement, etc.)... L’EDR permet alors de surveiller l’attaquant, notamment en ajoutant des règles spécifiques au contexte, par exemple pour suivre ses déplacements, comprendre son objectif, ou encore s’assurer d’avoir pris connaissance des éventuels points d’entrée et portes dérobées avant la remédiation.
Toutefois, le déploiement d’un EDR doit être envisagé avec précaution car pour prendre l’attaquant en filature, il faut pouvoir rester discret. Il y a donc des choix stratégiques à faire sur la méthode de déploiement pour tirer le meilleur parti de l’EDR dans ce contexte particulier. Par exemple : un déploiement sur certaines parties du SI où l'attaquant n'est pas encore présent, pour surveiller une éventuelle latéralisation ; un déploiement en mode détection sans blocage dans un premier temps...
Cas n°2 : déployer un EDR à la suite d’une attaque avec un impact visible
Dans le cas d’une attaque avec un impact visible, l’EDR permet d’investiguer via de la collecte de données, de surveiller le SI pour se prémunir contre de nouveaux incidents, de prendre des mesures de remédiation... Dans une démarche plus proactive que dans le cas d’une attaque sans impact visible.
Dans le cas d’un ransomware, par exemple, la nécessité de déployer un EDR peut sembler évidente, mais encore faut-il que le SI soit toujours en état pour le faire. Il faut aussi avoir en tête le phénomène du Shadow IT - de plus en plus répandu - qui peut poser des questions supplémentaires, notamment sur le fait de savoir si tous les endpoints seront bien couverts si un EDR est mis en place.
A défaut de pouvoir déployer un EDR de façon classique, notamment via des outils de déploiement centralisés (GPO, SCCM...), dans le cas où le SI n’est plus en état de marche, des méthodes plus artisanales peuvent se révéler nécessaires (clé USB, machine par machine...).
Quoiqu’il en soit, déployer un EDR à ce stade critique va permettre de lancer les investigations pour comprendre ce que l’attaquant a fait : par où il est entré, ce qu’il a pu exfiltrer... et limiter la surinfection.
Maintenant que nous avons vu les différentes situations et le lot de questions qui en découlent, allons plus loin pour comprendre les capacités d’un EDR déployé à chaud. Véritable outil tout-en-un pour soutenir les analystes, il permet de centraliser l'ensemble des actions à mener pour venir à bout d’une attaque et renforcer la résilience du SI : collecte, remédiation, surveillance.
Le rôle de l’EDR pour soutenir le travail des analystes en cas d’attaque
Pendant ou après une attaque, les analystes cyber peuvent s’appuyer sur un EDR pour le travail d’investigation et de remédiation. En pratique, dès son déploiement, il permet les actions suivantes :
- Détection globale ou spécifique (via l’ajout de règles et IOC spécifiques à l’attaque - IP ou hash) ;
- Investigation pour comprendre ce qui s’est passé, par où est passé l’attaquant et ce qu’il fait ;
- Remédiation, par exemple via :
- la suppression des fichiers,
- l'arrêt de processus,
- la mise en quarantaine de fichiers,
- la suppression de services ou tâches planifiées...
En outre, l’EDR offre une visibilité sur l'ensemble du parc qui faisait forcément défaut par le passé (profitons-en pour rappeler l’importance de cartographier son SI), ce qui est utile dans la mesure ou un attaquant cherche généralement à se latéraliser dans le SI.
Dans la perspective d’une investigation, l’un des points importants à valider en amont est la capacité de l’EDR à être opérationnel sans redémarrage des postes. En effet, le redémarrage pourrait entraîner la perte de données utiles aux investigations, comme par exemple les traces laissées par l'attaquant. Perdre ces traces rendrait la compréhension de la situation encore plus complexe, dans un contexte déjà bien chargé.
Autre point à prendre en considération : si un EDR est déployé en réponse à un incident, les artefacts liés à l’incident lui-même seront moins exhaustifs, et il faudra plus de temps pour reconstituer l’ensemble des actions liées à l’attaque.
A cette fin, un travail d’analyse forensique peut être nécessaire, mais c’est une tâche qui aurait été moins chronophage et fastidieuse si l'EDR avait été déployé avant que l’attaque ne survienne. Même chose si un SIEM était déjà en place avant l’attaque : il aide à récupérer des logs, mais là aussi, le travail d’analyse sera plus long par rapport à ce qu’aurait permis un EDR. En effet, un SIEM collecte de très grands volumes de données qui ne viennent pas que des endpoints, et il faut donc les traiter pour pouvoir se concentrer sur celles qui sont pertinentes dans le contexte de l’attaque. Bref, il est bien plus stratégique de prévoir un EDR dans sa feuille de route cyber, plutôt que d’attendre une attaque pour s'en préoccuper.
D’ailleurs, une fois déployé, comment l’EDR protège le SI dans la durée ?
Limiter la propagation d’une menace et anticiper les attaques à venir avec un EDR
Comme nous l’avons mentionné plus tôt, en dehors de ses capacités de détection, un EDR offre la possibilité d’ajouter des IOC et des règles supplémentaires propres à l’incident pour limiter la propagation et amplifier la visibilité des analystes. C’est dans cette optique que l’EDR d’HarfangLab utilise des formats standard tels que YARA et Sigma, déjà utilisés par de nombreux CERT. Cela facilite la prise en main, et en cas de besoin de montée en compétence sur ces formats, ces compétences sont acquises et réutilisables dans d’autres contextes.
Dans le cas d’une attaque par ransomware, le déploiement d’un EDR permet de protéger les postes de travail qui n’auraient pas encore été touchés. L’EDR permet aussi de limiter les risques de surinfection, lorsque des attaquants tentent de chiffrer plusieurs fois le SI. Une étude de Cymulate de 2022 indique que 66% des organisations attaquées ont des chances de l’être à nouveau !
Enfin, un EDR aide également à disposer des données pour une analyse post-mortem, en vue de tirer les enseignements de l’incident et mieux se protéger pour la suite !
"En cas de compromission d’une machine (poste de travail ou serveur), l’isolation est un réflexe évident, mais cette action peut ne pas être suffisante car il faut avoir une approche globale. L’isolation ne doit pas être vue comme l’aboutissement de la remédiation, car c’est potentiellement le point de départ ou l’une des étapes dans le cadre d’une investigation."
Emeric Boit, Lead CTI - HarfangLab
En conclusion, si une attaque survient en l’absence d’un EDR, il ne va pas donner l’alerte ni identifier la menace, mais une fois déployé il va permettre de :
- contenir la menace,
- faciliter les investigations,
- soutenir le travail des analystes,
- optimiser la visibilité sur le SI,
- augmenter le niveau de protection pour se prémunir contre de futures attaques.
Déploiement d’EDR à chaud : ils témoignent
"Notre client a été victime d'un ransomware déployé sur l'ensemble du domaine, postes et serveurs, via deux Active Directories reliés. La compromission était telle que nous nous sommes attachés à sauver les meubles... mais pas les murs ! Nous étions face à deux cas de figure.
Premièrement, pour les serveurs applicatifs, il n'était pas question de les redéployer, et nous avons donc installé l'EDR à chaud, très souvent à la main via l'installer d'HarfangLab. Nous avons aussi dû recréer toute une partie des serveurs en partant de 0, avec l'EDR installé de base, avant de migrer les fichiers qui n'avaient pas été chiffrés. Quant aux postes, ils ont été installés via GPO.
L'EDR nous a permis de faire de la recherche de menaces par IOC, nous avons aussi pu faire de la recherche de sessions locales que l'attaquant aurait laissées, et nous nous sommes beaucoup appuyés sur les jobs pour des scans de fichiers avec YARA au fil de leur migration.
En ce qui concerne les applicatifs (téléphonie, serveurs d'impression...), ce sont des environnements particuliers sur lesquels on ne peut pas mettre en place de politique trop restrictive, sinon, plus rien ne marche. Nous avons donc appliqué des politiques de blocage au cas par cas, et une fois l'ensemble des processus nécessaires whitelistés, nous avons configuré tout le reste en bloquant.
Enfin, nous avons appliqué une politique la plus restreinte possible aux postes de travail, via des règles Sigma, avec un maximum de télémétrie. Par la suite, nous avons déployé des scripts de protection sur les serveurs, via l'API d'HarfangLab.
Ce dispositif est très apprécié par les utilisateurs et les gestionnaires du SI, car il permet automatiquement de renforcer les restrictions pendant le week-end et les heures non ouvrées, et d'assouplir les politiques le reste du temps pour permettre l'utilisation des applicatifs par les équipes métier.
De manière générale, la solution est très facile à prendre en main, et l'interface parfaitement claire. Dès que l'EDR est déployé, toutes les informations nécessaires pour l'investigation et la remédiation remontent, et il permet aussi de lancer des scans. C'est rassurant, surtout dans le feu de l'action quand on a besoin d'agir très vite. Une attaque est un moment éprouvant, et avoir un outil facile à prendre en main contribue à limiter le stress et à gagner du temps – c'est vraiment précieux !"
Nicolas Zisswiller, Dirigeant Associé & Olivier Moreau, Devops – Aktea
En cas de crise, comment organiser vos équipes et communiquer efficacement ?