De l’EDR automatisé à l’XDR

Partenaires

De l’EDR automatisé à l’XDR

150 vues

18-03-2021 EDR, XDR

L’EDR n’est plus à présenter, il offre une visibilité complète sur tous les terminaux du réseau de l'entreprise, permet l'automatisation des tâches de routine afin de détecter, hiérarchiser, examiner et neutraliser les menaces les plus sophistiquées et les APT.

Mais il est question aujourd’hui de remédiation automatisée, d’investigations plus poussées et d’analyses extrêmement pointues.
Découvrez avec Thierry Gourdin, Head of presales, comment Kaspersky vous accompagne, de l’EDR automatisé aux solutions les plus sophistiquées du marché comme l’XDR.

View transcript

bonjour à tous donc je suis thierry bourdin le directeur avant vente pour kaspersky lab france et je vais passer les 15 à 20 prochaines minutes avec vous sur un sujet important le dr le dr automatisé et comment passez donc de le dr à l'x dr qui fait partie des nouveaux enjeux au niveau de la sécurité donc l'agenda va être assez assez succinct on va voir d'abord les différents niveaux de dr que l'on est capable de proposer chez kaspersky comment basculer dès à présent vers des solutions de type x dr et puis on va essayer de se projeter alors on va pas se projeter très très loin on va se projeter vers 2022 début 2022 pour voir ce qu'est ce que l'on peut faire au delà de ceux de ce x dr et commencer à préparer le futur alors tout le monde s'accorde sur le fait qu'aujourd'hui a eu des airs c'est indispensable en entreprise c'est indispensable quel que soit la taille de cette entreprise pour lutter contre les contres les différentes menaces mais force est de constater que les entreprises et du mois le niveau de maturité technique des entreprises n'est pas n'est pas le même on va avoir des petites structures dans lequel vous avez d haïti manager qui vont être à même de gérer la sécurité mais pas que ça malheureusement dans l'entreprise vous avez des entreprises un petit peu plus grosses qui peuvent disposer d' équipes de sécurité pas forcément dédié mais qui ont moins cette expertise et puis bien sûr vous avez des entreprises qui disposent dès qu'une équipe mature de sécurité et voire même de socle pour avoir un peu d air performant il va falloir que cette dr s'adapte donc à la personne qui va être en mesure de le gérer donc on a décliné notre offre des rangs trois produits le premier qui est celui qui est tout en bas du slide qui est automatique de dr le second optimum des airs pour finir avec le dr experts dans la gamme kaspersky alors tout d'abord l'automatique de dr l'automatique de dr c'est vraiment comme son nom l'indiqué un produit qui est intégralement automatisé le but ça va être d'augmenter le niveau de détection dans l'entreprise et pour autant éviter de prendre un maximum de temps à gérer cette guerre donc il est conçu pour lutter contre tout ce qui est zéro des contres menaces inconnues contre tout ce qui est ce qu'ils visent à contourner un ep traditionnel mais derrière en terme d'action et de réponse l'ensemble va être automatisés donc c'est le produit qui va aller décidé d'aller scanner l'ensemble d'un parc suite à la découverte par exemple d'une menace sur un des postes de travail au delà de 2,7 d'air automatisé on a le frémoire ce que l'on appelle optimum donc optimum lui va s'adresser déjà à des entreprises qui sont un petit peu plus mature alors ils n'ont pas forcément du personnel dédié mais ce personnel là quand ils gèrent la sécurité il a besoin d'avoir de la visibilité le but ici c'est de fournir un outil simple pour pouvoir mener des enquêtes pour pouvoir avoir des contre mesures rapidement sans pour autant prendre le temps d'une équipe à temps plein pour gérer cette 7e dr donc typiquement dans la table ronde que vous avez eu juste avant le zoo de beauval parlait de cette difficulté à gérer ce type d'outils et c'est typiquement ce produit là qui correspond lorsqu'on a une équipe de taille réduite qui souhaite positionner un peu d'air performant dans son dans son réseau alors bien sûr le dr dans le dr vous avez la réponse est le produit vous permet de mettre en place aussi bien automatiquement d'ailleurs que manuellement un certain nombre de réponses isoler une machine du réseau en cas d'infection exécuter un scan approfondie supprimer ou mettre en quarantaine un fichier allait tuer un processus en mémoire donc ça va quand même assez loin dans la capacité de réponse mais néanmoins ça reste simple à prendre en main au travers la même console d'administration qui est celle qui gère aujourd'hui l'ensemble des ppn payne kaspersky donc une seule console une cartographie plutôt simple à comprendre et des actions à mettre en place qui vont dans le sens de la détection lorsque l'entreprise a un besoin un peu plus mature en termes de dr quand je parle de besoins mature c'est que l'entreprise dispose d'une capacité d' expertise et qu'elle a besoin d'aller voir encore plus loin et d'avoir des outils performants qui lui permettent encore d'aller plus loin au niveau du réseau on va pouvoir positionner un produit qu'on appelle edr experts donc la première chose que l'on peut constater c'est que l'ensemble des moteurs de détection de corrélation tout ce qui va faire le coeur de la solution compris le machine learning et la déporter dans une console à part donc dans un serveur dédié à cette tâche et au niveau des postes de travail on va récupérer l'ensemble de la télémétrie donc c'est ce que fait de manière traditionnelle a eu des airs il va envoyer c'est télémétrie à ce central mode et ce centre en lot derrière va corréler les informations il va comparer ça à l'as red intelligence kaspersky il va déposer des verdicts et surtout il va trier de manière à remonter uniquement les incidents qui sont les plus les plus pertinents on le sait même si vous avez un soc en entreprise le temps de traiter ce type d'information c'est vraiment ce qui va jouer au niveau d'un produit et notamment au niveau d'un produit le dr - vous perdez temps sur des alertes basique qui n'ont pas d'importance et plus vous allez gagner en expertise et plus vous allez pouvoir vous concentrer sur les vrais problèmes c'est ce qu'apporte dr expert en ne montrant en fait que les incidents corréler les plus pertinents bien sûr des respects re fourni de la même manière que la couche optimum un certain nombre d'outils de rémédiation ces outils de remédiation peuvent être pilotés depuis le concert une depuis une console pardon qui n'est pas security center parce qu'elle s'adresse à des équipes dédiées de sécurité et on va pouvoir donc arrêté en processus supprimer un objet mettre en quarantaine cet objet créer des règles de prévention pour éviter qu'un objet ne puisse exécuter sur d'autres machines du parc mais on va pouvoir aller jusqu à l'isolation de postes voire à l'isolation granulaire de processus donc on peut aller isolé juste un processus en mémoire ou récupérer un fichier sur la machine donc on voit que les outils s'adressent pas du tout à la même au même niveau de maturité là on est vraiment à des équipes de ce raid hunting ou à des équipes d'investigation avancé alors le sujet de cette présentation c'est aller au delà de ligue 2 le dr pour aller vers l'x dr alors d'abord qu'est-ce qu'un xdr globalement on a le dr qui récupère la télémétrie de tout ce qui est points finaux et on peut avoir également la possibilité de récupérer la télémétrie du réseau des mails du web en fait c'est que ça dure l'igs rlx d'air c'est la collecte de l'ensemble de la télémétrie y compris la télémétrie raisonnons qu'on ne sera pas plus que wayne coyne on s'adresse à l'ensemble du parc et à l'ensemble du réseau mail et web compris et on va corrélés l'ensemble de ces informations pour avoir une couverture encore plus grande et une visibilité encore plus grande au niveau de la détection et surtout au niveau de l'arrêt médiation alors il existe un produit dans la gamme kaspersky qui est là depuis pas mal d'années maintenant qu'ils s'appellent kaspersky anti target et d'attac kaspersky anti targeted attaques utilisent la même console d'administration le même serveur que le dr experts il utilise les mêmes moteur de corrélation il utilise la même ce raid intelligence il utilise les mêmes mécanismes d'analysés rétrospectives donc la seule différence que vous allez à voir avec le produit anti target et d'attac sait qu'il va apporter cette visibilité au niveau du réseau on va pouvoir connecter l'anti target et d'attac sur un flux réseau sur un flux mail sur un flux web et donc obtenir une visibilité qui va au delà de la télémétrie des simples endpoint qui sont positionnées sur le parc alors si je reprends mon slide d'avant sur sur la partie xdr on allait endpoint les réseaux hybrides le web le mail l'ensemble de la collecte d'informations la détection le thread hunting l'investigation et éventuellement donc la partie réponse à un incident et lorsqu'on vient positionner donc cet anti ariete d'attac en corrélation avec le dr experts on obtient la partie xdr que dont tout le monde parle puisque c'est un des sujets majeurs de 2021 de pouvoir avoir cette visibilité étendue d'où le x extended de lyster on va aller voir un petit peu plus loin un petit peu plus loin ça veut dire se projeter jusqu'à en effet fin 2021 début 2022 on a un produit aujourd'hui dans la gamme qui s'appelle kuma unify monitoring analysis plateforme jeudi il existe dans la gamme parce que il ya release numéro un est déjà est déjà sorti cette release numéro un le permet de faire que de la surveillance de sécurité de l'analyse de sécurité en gros on pourrait rapprocher sa d'un outil de sienne qui va collecter des log équivalent et centralisé dans un data lake le cas d'espèce d' espace qui va contenir l'ensemble des données de télémétrie du réseau le but c'est de faire évoluer donc cette solution vers de l'orchestration de l'incidence response et vert de l'unification de consoles donc le but c'est d'orchestrés l'ensemble des produits de la gamme kaspersky autour de cette console quand je parle de l'ensemble des produits je ne m'arrête pas à l'x dr et à le dr mais on va beaucoup plus loin on va dans des produits dédiés à la partie industrielle dans la serait d' intelligence on va dans tout ce qui va être mail gateway est également si vous pouvez le voir en bas à droite de l'écran tout ce qui va être tiers aux solutions kaspersky les boîtiers les routeurs les proxys les firewall tout ce qui n'est pas forcément de marque kaspersky mais qui agit au niveau du réseau et qui pourrait être intéressant de corréler de manière centrale pour pouvoir détecter des nouvelles attaques donc cette solution elle existe déjà en version 1 elle permet de s'interconnecter a security center pour récupérer l'ensemble des as est donc quand elle récupère l'ensemble des assets elle récupère l'ensemble du parc du client mais elle va un petit peu plus loin récupère aussi l'ensemble des vulnérabilités qui assure ce poste donc ça va permettre aussi de mettre en corrélation les attaques avec les différentes vulnérabilités des postes de travail cette solution elle permet aussi déjà de s'interfacer au travers un produit qui s'appelle seiver trahi ce don va pas parler aujourd'hui on a matériellement pas le temps de le faire mais ce qu'il faut comprendre c'est que ça libère trice fait la passerelle avec l'as red intelligence kaspersky donc lorsqu'il ya un élément qui remonte dan boyle ou d'un outil réseau il va être enrichie avec la sérénité jones kaspersky pour fournir encore une fois de l'information et de la visibilité ce coup là est capable également d'interroger la threat look up kaspersky donc la stricte look up c'est un outil qui permet de manière simple de poser une question à l'intelligence kaspersky est d'obtenir en réponse l'ensemble de ce qui va tourner autour de cette menace donc je positionne par exemple une adresse ip dans le srec look up il va me répondre d'où vient ce type est la première fois qu'on l'a vu en quoi les corréler avec d'autres informations avec d'autres menaces et tout ça c'est déjà intégré dans la plateforme kuma donc j'ai pas besoin de sortir de cette plate forme pour pouvoir faire derrière de l'incidence response par exemple alors très bien jusqu'à présent je vous ai globalement décrit un siem qui permet d'accéder à la glacerie dit elle mais comme je voulais dit le but c'est de faire évoluer cette solution évoluée en termes de de gestion de plateforme unique de gestion mais évoluer aussi en termes d'orchestration la prochaine étape c'est d'intégrer le dr le fameux edr experts que j'ai présentée tout à l'heure pour faire en sorte qu' on est aussi la partie réponse c'est à dire que lorsqu'il y a quelque chose de détecter au niveau de qumas que coumba puisse donner des ordres et donner des ordres de réponse type isoler une machine tu es un processus etc comme on l'a vu en début de présentation donc on a ici une plateforme complète et c'est ça qui est intéressant avec avec notre architecture sait qu'on est capable de créer intégralement une sécurité au niveau d'un client en lui intégrant 2 le dr de l'x d'air de la gestion de ces oeufs pp du coup ma avec un siem et bientôt du sort et bien sûr de l'orchestration unique et de la et de la gestion unique de réseau donc tout ça autour de l'architecturé des produits kaspersky mais également des connecteurs avec des solutions tierces alors je crois qu'il ya quelques cas quelques questions alors merci thierry pour toutes ces précisions sur la détection est tendue xdr effectivement on a pas mal de questions de l'auditoire alors on pourra pas tout les traiter maintenant malheureusement mais on y répondra également après l'événement on va juste effectivement traiter une question de stéphane jourdain notamment de khéops le dr optimum est il compatible et connectables avec anti targeted attaque alors non il faut bien voir que le dr optimum a été créé dans le but de simplifier la structure de le dr et que l'anti targeted attaquer plus tôt dans une approche xdr donc on est déjà à un niveau de maturité qui est le niveau du dessus ce triste épisode donc aujourd'hui non on n'est pas capable de connecter un le dr optimum sur un anti target et d'attac mais sans trop spoiler on travaille sur en effet une unification de ses dignes ces différents niveaux de dr donc sans doute oui qu'à terme on sera capable de faire évoluer cette solution et d'air optimum vers un panel d'un panel xdr parce que le niveau de maturité des clients augmentent et leurs besoins en termes de détection augmenté qualité faire alors une autre question effectivement quels sont les avantages d'une protection xdr par rapport à un adr c'est la couverture et la visibilité encore une fois le xc vraiment étendue donc le but c'est de ne pas se limiter à une vision endpoint le pp mais d'avoir un ensemble de flûtes lire ok j'ai une menace sur ma machine mais je veux en savoir plus comment elle est arrivée cette menace par quel biais est ce qu'elle est arrivée par un mail ok ce mail y vient d'où peut-être que ce mail il est arrivé il ya une semaine où il ya deux semaines dans mon réseau et qu'il a été ouvert par l'utilisateur que maintenant et en fait j'ai besoin de l'ensemble de ces informations pour pouvoir remonter jusqu'à la source de la menace et mettre en place le contre mesures nécessaires à l'intérieur étaient importantes l'antériorité importante et la visibilité de l'ensemble du parquet est important alors une autre question effectivement de quoi ai-je besoin pour implémenter un x dr dans mon infrastructures actuelles et ainsi modernisé ma sécurité alors vous avez besoin d'un le dr déjà c'est la première étape donc le dr expert en l'occurrence en ce qui nous concerne et vous avez besoin de positionner donc le module le module complémentaire même si c'est une solution à part entière le kaspersky anti target et d'attac puisque c'est en fait l'association des dieux des deux qui forment le xt et effectivement après on rajoute des fonds complémentaires si on a besoin et après on peut aller donc sur cette vision que j'expliquais jusqu'à un coup ma qui va permettre de corréler encore plus loin l'information est d'apporter toute cette notion de 2 threat intelligence alors on avait également une autre question qui plus relative effectivement à siem j'effectue de la corrélation avec mon siège et qu'importe un exergue par rapport à ça alors c'est vrai qu'il y a aujourd'hui les ng sienne ou next gen sienne ce qu'il faut savoir c'est qu'à la base le ciem c'est pas un outil qui est fait pour faire de la corrélation d'information c'est pas un outil qui est fait pour faire de la détection enfin de la détection au sens au sens strict sens strict du terme le ciem est là pour en effet corrélés de l'information puisqu'il récupère l'information de tout est centralisé cette information l'avantagent du x dr et notamment de passer par la plateforme kata kata edr c'est déjà d'une part l'ensemble de ces moteurs sont des moteurs kaspersky donc son des moteurs de détection qui sont dédiés à ça l'ensemble de la suède intelligence et déjà implémenté et le but ça va être justement de soulager 6e ça va être de ne remonter aux siennes que les informations les plus pertinentes aujourd'hui on a vite fait de se perdre dans un siem parce qu'il courait tout il remonte tout est derrière il va falloir manuellement créer des règles pour pouvoir obtenir en fait que le bénéfice du ciem là les règles sont créés de manière automatisée les règles de le dr experts et de l'anti targeted attaques sont des règles qui viennent de notre intelligence et qui sont créés automatiquement dans le produit donc ça va encore une fois soulagé les équipes et éviter d'avoir des besoins de créer des scripts et des règles précises au niveau des hauts niveaux des cimes donc ces données là sont plus orientés sur la sécurité du parc par rapport à un siem qui est peut-être moins le ciel est aussi orientée dans la sécurité puisque le ciem est là pour corréler toutes les informations de sécurité mais elle la pertinence de la solution c'est vraiment de remonter tout ce qu'il ya de plus de plus pertinent excusez moi je vois là pour la redondance mais mais pour faire ce triage en amont et ne pas avoir à le faire de manière manuelle au niveau du sien