Sécurité : CrowdStrike pousse l’approche de détection et de réponse étendue XDR vers l’Internet des objets

Crowdstrike XDR for IoT

Spécialiste de la cybersécurité et de la protection des postes de travail, de l’identité et des données, la société américaine CrowdStrike estime être l'un des premiers acteurs du marché à proposer une solution logicielle opérationnelle dans le monde de l'Internet des objets (IoT) pour la prévention, la détection et la réponse aux attaques selon la méthodologie EDR/XDR (pour Endpoint Detection and Response/eXtended Detection Response).

Pour rappel, l’EDR est une technologie qui collecte et analyse au niveau des terminaux des anomalies comportementales qui pourraient être des signes de la présence d’une menace potentielle. Cette détection d’activités suspectes directement sur des systèmes en bout de chaîne (équipements connectés, terminaux informatiques...) est portée par une génération d’outils anti-malware qui ne s’appuient pas sur des technologies d’analyse de signature mais plutôt sur une analyse comportementale des processus.

Quand à l’XDR, il s’agit d’une extension de l’EDR, intégrant des analyses avancées pour corréler les alertes provenant de plusieurs sources (équipements connectés, serveurs, outils dans le cloud, réseaux…) pour les présenter avec des capacités d’anticipation évoluées, comme lors d'incidents avec une suspicion d’actes potentiellement malveillants. Avec pour ce faire une analyse de la contextualité en croisant les informations techniques détectées avec du contenu externe, et en optimisant des processus d’automatisation de la réponse aux problèmes détectés.

Chez CrowdStrike, cette approche est désormais disponible en intégrant l’IoT via la plateforme CrowdStrike Falcon Insight qui procure des capacités de protection, de détection et de réponse pour ce type d’actifs connectés - appareils médicaux, IoT industriel, etc. Ainsi les utilisateurs sont en mesure, avec cet environnement, de sécuriser leur organisation avec la même plateforme prenant en compte l'IoT, les terminaux informatiques, les applications cloud natives, les identités et les données.

« D’ici à 2025, 70% des entreprises possédant un grand nombre d'actifs auront fusionné leurs fonctions de sécurité, qu'il s'agisse de l'environnement général de l'entreprise ou de celui qui est plus strictement opérationnel, estime le cabinet Gartner (*). Dans ce cadre, la convergence IT-OT conduit les équipes chargées de la sécurité et de la prévention à sécuriser les systèmes d'infrastructures critiques. Cependant, les solutions de sécurité IT traditionnelles ne sont pas souvent compatibles avec les actifs IoT, et manquent de données sur le contexte pour une prévention et une détection efficaces des menaces. En collectant et en exploitant le contexte spécifique des actifs pour conduire une politique de prévention des menaces sur les actifs de l’IoT, une approche comme celle de l’outil Falcon Insight for IoT favorise une transformation numérique des systèmes opérationnels OT sécurisée et atténue les menaces critiques sur le plan opérationnel sans interrompre les opérations. »

Concrètement, CrowdStrike indique que son outil procure aux utilisateurs de puissantes capacités de détection des menaces en identifiant les ransomwares et les tentatives de modification de fichiers à l’aide de logiciels malveillants et en exploitant le contexte spécifique des actifs tels que le type d’appareil, la version d’OS, les protocoles, etc.

Parallèlement, l’outil bloque les menaces à la source avec les capacités de prévention fondées sur des algorithmes d’intelligence artificielle.

Au-delà, pour les actifs difficiles à surveiller, l’outil permet, selon CrowdStrike, de contenir rapidement les menaces avec des actions et des réponses intégrées, comme le confinement hôte/processus et le contrôle des dispositifs USB, afin de minimiser les disruptions opérationnelles.

Au niveau de l’interopérabilité avec les actifs IoT cruciaux pour les missions de l’entreprise, l’agent logiciel léger intégré dans l’outil CrowdStrike Falcon Insight a été testé et validé par les principaux fournisseurs de systèmes de contrôle industriel (automates programmables) afin d’autoriser un déploiement et une sécurité simplifiés sur ce type d’équipement industriel connecté.

« L’accélération de la transformation numérique de l’OT oblige aujourd’hui les entreprises à déployer des efforts considérables pour répondre aux défis liés à la sécurité, précise Michael Sentonas, président de CrowdStrike. Elles doivent pour cela stopper des attaques sophistiquées et gérer la complexité opérationnelle en sécurisant les actifs IoT dans les réseaux ICS (Industrial Control Systems). Pour résoudre cette problématique, la plateforme Falcon Insight pour l’IoT propose d’étendre les capacités EDR/XDR aux systèmes connectés de l’IoT pour bloquer les atteintes à la sécurité en ne laissant aucun “endpoint” sans protection. »

(*) Gartner, Magic Quadrant for Endpoint Protection Platforms, décembre 2022.