La détection et la réponse des points finaux (EDR) sont devenues une nécessité dans l’arsenal de protection actuel. Il ne s'agit pas de remplacer les dispositifs de protection locaux (EPP) par l'EDR, mais d'apporter une visibilité supplémentaire aux utilisations d'analyse dans les centres de sécurité opérationnelle (SOC) afin d'aider à la prise de mesure plus rapidement défensive.
En juin 2016, Augusto Barros et Anton Chuvakin, de Gartner, ont expliqué que "l'EDR se concentre sur la réaction aux incidents et la découverte d'activités malveillantes sophistiquées" lorsque PPE relève de "l'hygiène" de Gartner. base de protection contre les menaces connues. Des éléments complémentaires donc, mais de plus en plus indispensables les uns aux autres.
Cette complémentarité apparaît aujourd'hui de plus en plus appréhendée. Récemment, Gerome Billois, directeur associé de la cybersécurité et de la confiance numérique de Wavestone, a également indiqué observer "le nombre de clients [qui] démarrer sur des scénarios Defender + un EDR en dehors de l'éditeur [d’antivirus] classique. "
Il y a trois ans, Augusto Barros et Anton Chuvakin avaient anticipé un rapprochement entre EPP et EDR: "Il est naturel de s'attendre à ce que les principaux éditeurs du PPE entrent sur le marché des EDR par le biais d'acquisitions. Soit en développant leurs propres produits, soit en intégrant les capacités d'EDR dans leurs plates-formes PPE existantes ".
Dans l'édition 2019 de son quadrant magique sur le PPE, Gartner dresse le bilan des évolutions du marché et déclare: "Les capacités traditionnelles présentes sur le marché de l'EDR sont désormais considérées comme des composants essentiels d'un PPE capable de faire face aux menaces modernes". Mais à présent, tous les acteurs historiques du PPE ne semblent pas avoir pris le tournant au même rythme.
La société reconnaît Bitdefender comme un agent modulaire unique intégrant les fonctionnalités EDR. Mais il déplore le manque de "nombreuses fonctionnalités communes pour les utilisateurs avancés du Security Operations Center (SOC)" – comme Kaspersky ou même McAfee et Microsoft, avec Defender ATP. Et pour souligner que les fonctionnalités EDR de Bitdefender ne sont disponibles qu’avec l’offre cloud de l’éditeur.
Gartner ne peut également s'empêcher de souligner les faiblesses du côté de Blackberry Cylance, dont le module EDR, CylanceOptics, repose sur un agent distinct – pour le moment, de toute façon, car l'intégration dans un agent unique serait imminente. Cylance se prépare également à ajouter des fonctionnalités de surveillance des vulnérabilités et de la configuration. Mais le cabinet regrette que CylanceOptics stocke actuellement ses données de télémétrie localement sur les machines surveillées, comme côté de FireEye ou de Sophos. En 2018, Anton Chuvakin parlait ouvertement de ce point. Et cette année encore, Gartner regrette que Check Point continue à stocker des données brutes sur les ordinateurs, en ne transférant que le stockage des données relatives aux incidents et des rapports d'enquête.
Du côté d’Eset, le cabinet critique le manque de prise en charge – temporaire – de macOS pour les fonctionnalités EDR, mais également les "options de correction limitées" ou la nécessité de passer d’une console à l’autre pour initier certaines actions. Mais les données de télémétrie sont déportées.
Du côté de Fortinet, pour obtenir un spectre fonctionnel complet d'EDR, il ne suffit pas de s'appuyer sur FortiClient: selon Gartner, il est nécessaire de le combiner avec FortiAnalyzer, FortiInsight et FortiSIEM.
Écoutez Gartner, le composant EDR de F-Secure est immature, avec des fonctionnalités de recherche de menaces et des requêtes bêta lors de la préparation du quadrant magique, et n’est accessible que depuis une console dédiée.
Pour Malwarebytes, c’est encore moins glorieux: l’outil "ne conserve pas les données historiques ni permet les requêtes de recherche ou la recherche de processus spécifiques, l’automatisation des alertes ou la personnalisation des règles pour le blocage d’événements".
Palo Alto Networks, qui a lancé Cortex XDR cette année, n’est pas à l’abri des critiques des analystes. La société critique le manque de certaines capacités de contrôle chez Traps, son offre EPP, mais aussi les capacités de "workflow limité" pour EDR, et l'impossibilité de créer des règles de blocage personnalisées, voire même l'absence d'informations sur les configurations et les vulnérabilités. Des critiques similaires sont formulées à l'encontre de Symantec, même si les efforts d'intégration des éditeurs sont soulignés. Et ceci est également vrai pour Trend Micro qui, accessoirement, est épinglé pour des capacités d’investigation "compliquées" pour une solution visant à milieu de marché ".
Panda Security n’est pas non plus épargné, bien que le cabinet semble apprécier les fonctionnalités offertes par le progiciel Adaptive Defense 360. Enfin, SentinelOne semble avoir plutôt convaincu les analystes, même s’ils déplorent les limites des capacités de gestion des flux de travail des grandes équipes. , ou l’absence de sandboxing pour l’analyse de contenu suspect.
Pour Gartner, Crowdstrike peut être très attrayant pour ceux qui recherchent une solution EPR axée sur les BDU … et basée sur le cloud. Le cabinet n'oublie pas Cybereason ou Endgame – récemment acheté par Elastic – et enSilo, mais ils ne sont pas suffisamment présents sur le marché pour figurer dans son quadrant magique.
En résumé, pour le moment, les efforts des spécialistes du PPE pour développer les capacités de RED ne semblent pas totalement convaincants. Et cela s'applique également à ceux de la seconde qui voudraient s'aventurer dans la première. De quoi réconforter, peut-être, un Tanium qui, conscient de la complémentarité, semble se concentrer principalement sur les partenariats. Tant que Microsoft, en particulier, lui laisse la place. Loin de rester inactif, l'éditeur de Redmond vient d'annoncer, par exemple, la prise en charge de Windows Server 2008 R2 pour les fonctions EDR Defender ATP.
Commentaires
Laisser un commentaire