Support à distance : TeamViewer
TeamViewer est un module compact qui s'exécute sur votre ordinateur et permet au service technique d'EVOK de vous dépanner à distance

Notag

Les solutions EDR sont nées pour compenser le manque de capacité des anciennes plates-formes de protection des points d'extrémité et des solutions de sécurité antivirus à prévenir toute attaque. La société EVOK vous propose son expertise dans la création des solutions de sécurité EDR

Début 2010, la sécurité défensive et les opérations offensives ont réalisé comment exécuter un code malveillant sans installer de logiciel, en utilisant un exécutable pour échapper à la fois au réseau et aux logiciels antivirus existants. Il existe des moyens courants d'obtenir l'exécution d'un code sans que les défenseurs n'aient rien à analyser dans le système infecté.

De nombreux utilisateurs pensent qu'une application peut exécuter du code mais qu'un fichier tel que Microsoft Word, Excel, PowerPoint ou PDF ne le peut pas : il ne peut être que lu ou écrit. Ce n'est pas tout à fait vrai, mais à cause de ce malentendu, la plupart des utilisateurs sont prêts à ouvrir un document Word envoyé par une campagne de phishing bien conçue. Il est beaucoup plus facile de convaincre un utilisateur d'ouvrir ce qu'il pense être un document inoffensif que de convaincre quelqu'un de double-cliquer sur un exécutable dont il sait qu'il exécutera du code (même s'il le fait).

Les fichiers document étant généralement perçus comme des conteneurs de contenu inoffensif, les auteurs de logiciels malveillants ont rapidement trouvé des moyens faciles d'infecter les cibles par le biais de ce type de fichier. La façon la plus connue d'exécuter du code à partir de documents est d'utiliser des macros, qui ont été conçues pour automatiser des tâches fréquentes dans des documents mais qui sont maintenant souvent armées pour compromettre le système d'un utilisateur final.

De nombreuses personnes soucieuses de la sécurité pourraient dire : "Alors, quel est le problème ? Il suffit de ne pas autoriser les macros et vous êtes en sécurité ! "Techniquement, c'est correct. Cependant, elle néglige deux réalités importantes concernant le mode de fonctionnement des entreprises modernes et la manière dont la sécurité s'intègre dans le modèle économique.

La première raison est que les fichiers malveillants basés sur des macros sont toujours disponibles et réussissent, en partie parce que les entreprises utilisent toujours des macros pour faire leur travail. Ils ont été inventés pour augmenter la productivité et ils font un bon travail. Par conséquent, pour de nombreux utilisateurs et entreprises, la désactivation des macros est un sacrifice de productivité qu'ils ne sont pas prêts à faire. Des macros VBA dans Excel (utilisées pour extraire des données d'autres systèmes ou automatiser des calculs) aux macros Word (utilisées pour insérer un en-tête de lettre ou créer des styles et des formats personnalisés), les macros sont devenues des outils essentiels pour gagner du temps. Il est tout simplement irréaliste pour de nombreuses entreprises de les bloquer.

La deuxième raison pour laquelle les documents infectés sont toujours en circulation est qu'il est plus facile pour les attaquants de les placer sur les appareils que, par exemple, un binaire ou une application malveillante qui pourrait être analysé par une solution de sécurité. Avec un minimum de personnalisation, les chances qu'un destinataire ouvre un document provenant d'un courriel de phishing augmentent de façon exponentielle. Envoyez à quelqu'un un CV, une demande de paiement ou une facture et si vous touchez la personne appropriée comme un recruteur ou quelqu'un de la comptabilité fournisseurs, vos chances d'obtenir le "clic" pourraient être assez élevées (surtout par rapport à l'envoi d'un fichier exécutable).

Dans le passé (et dans une certaine mesure aujourd'hui), les entreprises ont engagé des équipes de réponse aux incidents pour saisir et enquêter sur les violations de la sécurité. En 2013, le plus fiable d'entre eux était Mandiant. Ils ont proposé des professionnels de la sécurité qui étaient toujours prêts à intervenir et à découvrir ce qui s'était passé. Et ils n'étaient pas bon marché.

En parallèle, d'autres entreprises technologiques ont commencé à investir dans des outils de visibilité comme osquery de Facebook et d'autres moyens de voir et d'enquêter dans les réseaux. Cela a ouvert une nouvelle catégorie pour le marché surchargé de la cybersécurité et de nombreuses nouvelles solutions ont été créées en conséquence. Ils étaient souvent regroupés sous le terme générique de "EDR" (initialement "endpoint threat detection and response").

Cette révolution s'est accompagnée de problèmes inhérents aux solutions EDR. Il fallait une équipe hautement qualifiée pour gérer ces solutions, car elles fournissaient une grande quantité de données (souvent sans contexte). Les entreprises se sont mises à recruter de plus en plus d'entités pour résoudre ce problème, mais au cours des deux dernières années, il ne s'est pas passé un seul mois sans qu'une nouvelle violation de données très médiatisée ne fasse la une des journaux.

L'autre problème critique de l'EDR concernait le "temps de présence". Le délai d'attente représente le temps qui s'écoule entre l'infection et la découverte d'une activité malveillante. Un rapport de 2019 sur le coût d'une violation de données a révélé que le délai moyen d'identification d'une violation était de 200 jours. Dans certains cas, même 10 secondes sont trop longues : les attaquants peuvent exécuter leur code, mener leur attaque, terminer et nettoyer en quelques secondes. Toute solution qui ne peut pas détecter ce qui se passe en temps réel est hors-jeu.

La Société EVOK vous propose des solutions EDR ultra compétitives ! Prenez contact sans attendre pour mettre en sécurité les données de votre entreprise

EVOK Fribourg

Siège principal - Altern8 SA
Rte des Arsenaux 9
1700 Fribourg
Suisse

EVOK Lausanne

Succursale - Altern8 SA
Av. des Baumettes 7
1020 Renens
Suisse

EVOK Genève

Succursale - Altern8 SA
Grand-Rue 26
1204 Genève
Suisse