Endpoint Protection
Les endpoints sont la première cible des attaquants. Découvre les technologies et stratégies pour protéger chaque appareil connecté à ton réseau.
- Comprendre ce qu'est un endpoint et pourquoi le protéger
- Connaître les techniques de détection antivirus/antimalware
- Différencier antivirus traditionnel et EDR
- Maîtriser les principes du hardening
- Découvrir les bases de l'analyse de malware
💻 22.1 — Qu'est-ce qu'un endpoint ?
Un endpoint est tout appareil qui se connecte au réseau de l'entreprise. Chaque endpoint est un point d'entrée potentiel pour un attaquant.
Imagine une forteresse. Les endpoints, ce sont les portes et fenêtres de la forteresse. Chaque porte non verrouillée est une invitation pour l'ennemi. Et plus tu as de portes, plus c'est difficile de toutes les surveiller.
Types d'endpoints
Postes de travail
PC, laptops, stations
Cible principale des malwares et du phishing. Accès aux données de l'entreprise et aux emails.
Serveurs
Web, fichiers, bases de données
Contiennent les données critiques. Une compromission donne accès à tout le réseau.
Mobiles
Smartphones, tablettes
BYOD (Bring Your Own Device) augmente le risque. Souvent moins contrôlés que les PC d'entreprise.
IoT
Caméras, capteurs, imprimantes
Souvent livrés avec des mots de passe par défaut et rarement mis à jour. Vecteur d'attaque sous-estimé.
🦠 22.2 — Antivirus / Antimalware
L'antivirus est la première ligne de défense sur un endpoint. Il utilise plusieurs techniques de détection pour identifier et bloquer les menaces.
Imagine un vigile à l'entrée d'un bâtiment. L'antivirus par signature, c'est le vigile avec une liste de photos de criminels connus : il les reconnaît immédiatement. L'antivirus heuristique, c'est un vigile qui observe les comportements suspects, même sans connaître la personne.
Techniques de détection
Détection par signature (Signature-based Detection)
La méthode la plus ancienne et la plus courante :
- Compare les fichiers avec une base de données de signatures connues (hash, patterns)
- Mise à jour quotidienne des définitions de virus
- Avantage : très rapide, faible taux de faux positifs
- Limite : incapable de détecter les menaces zero-day (inconnues)
- Contournement : polymorphisme (le malware modifie son code à chaque copie)
Détection heuristique (Heuristic Detection)
Analyse le code pour trouver des caractéristiques suspectes :
- Recherche de patterns typiques de malware (packing, obfuscation, code auto-modifiant)
- Peut détecter des variantes inconnues de malwares existants
- Avantage : détecte des menaces nouvelles basées sur des familles connues
- Limite : taux de faux positifs plus élevé
Détection comportementale (Behavioral Detection)
Surveille le comportement des programmes en temps réel :
- Détecte les actions suspectes : chiffrement massif de fichiers, injection de processus, modification du registre, connexion à des serveurs C2
- Peut arrêter un malware en cours d'exécution
- Avantage : efficace contre les menaces zero-day et fileless malware
- Limite : peut ralentir le système, faux positifs possibles
Sandboxing
Exécute les fichiers suspects dans un environnement isolé :
- Le fichier est ouvert dans une VM ou un conteneur sécurisé
- Son comportement est observé pendant quelques secondes/minutes
- Si des actions malveillantes sont détectées, le fichier est bloqué
- Avantage : détection très fiable, permet l'analyse en profondeur
- Limite : plus lent, certains malwares détectent les sandbox et restent dormants
Limites des antivirus traditionnels
| Limitation | Explication |
|---|---|
| Zero-day | Pas de signature disponible pour les menaces inconnues |
| Fileless malware | Le malware s'exécute en mémoire sans fichier sur disque |
| Polymorphisme | Le malware change de forme à chaque infection |
| Living-off-the-Land (LOL) | Utilise des outils légitimes du système (PowerShell, WMI) |
| Chiffrement | Le malware peut chiffrer ses communications et son payload |
🔍 22.3 — EDR (Endpoint Detection and Response)
L'EDR va bien au-delà de l'antivirus traditionnel. C'est une solution qui surveille en continu, détecte les menaces avancées et permet une réponse rapide aux incidents.
L'antivirus, c'est un vigile à la porte. L'EDR, c'est un système de surveillance complet : caméras dans chaque pièce, capteurs de mouvement, enregistrement 24/7, et une équipe de sécurité prête à intervenir. Même si un intrus entre, l'EDR le détecte, enregistre ses actions et peut l'isoler.
Fonctionnalités clés de l'EDR
Collecte en continu des événements : processus, fichiers, réseau, registre, connexions. Tout est enregistré pour l'analyse.
Utilise l'IA/ML, les règles comportementales et les IOC (Indicators of Compromise) pour détecter les menaces avancées, y compris les zero-day.
Permet aux analystes de rechercher proactivement des menaces dans la télémétrie historique. Corrélation d'événements et timeline d'attaque.
Isolation de l'endpoint, kill de processus, quarantaine de fichiers, rollback automatique. Réponse en temps réel.
Antivirus vs EDR
| Critère | Antivirus traditionnel | EDR |
|---|---|---|
| Approche | Préventive (bloquer avant l'infection) | Prévention + Détection + Réponse |
| Détection | Signatures principalement | Comportementale, IA/ML, IOC |
| Visibilité | Fichiers sur disque | Processus, mémoire, réseau, registre |
| Threat hunting | Non | Oui — recherche proactive |
| Réponse | Quarantaine basique | Isolation, kill, rollback, forensics |
| Fileless malware | Non détecté | Détecté par analyse comportementale |
| Coût | Faible | Élevé (nécessite des analystes SOC) |
Solutions EDR populaires
Leader du marché. Solution 100% cloud avec un agent léger. Utilise l'IA pour la détection et offre un service de threat hunting managé (Falcon OverWatch).
Enregistre toutes les activités de l'endpoint (process, file, network). Excellent pour le threat hunting et les investigations forensiques. Disponible en cloud ou on-premise.
Forte automatisation avec la capacité de rollback : peut automatiquement annuler les modifications d'un ransomware et restaurer les fichiers. Utilise l'IA comportementale Storyline.
Intégré à l'écosystème Microsoft 365. Avantage : déjà présent sur les machines Windows. Bonne intégration avec Azure Sentinel (SIEM) et Microsoft 365 Defender (XDR).
🛡️ 22.4 — Host-based IDS/IPS (HIDS / HIPS)
Les systèmes de détection et prévention d'intrusion basés sur l'hôte surveillent les activités sur le système lui-même (contrairement aux NIDS qui surveillent le réseau).
Si le NIDS est une caméra dans la rue, le HIDS est une caméra à l'intérieur de ta maison. Il voit tout ce qui se passe sur la machine : fichiers modifiés, processus lancés, connexions réseau.
HIDS vs HIPS
| Critère | HIDS | HIPS |
|---|---|---|
| Mode | Détection (alerte) | Prévention (bloque) |
| Action | Surveille et log les événements suspects | Bloque activement les actions malveillantes |
| Risque | Peut manquer des attaques rapides | Peut bloquer des actions légitimes (faux positifs) |
FIM — File Integrity Monitoring
Le FIM est une fonctionnalité clé des HIDS. Il surveille les modifications de fichiers critiques :
- Fichiers de configuration système (
/etc/passwd, registre Windows) - Fichiers binaires du système d'exploitation
- Fichiers de configuration des applications
Le FIM calcule un hash de référence (baseline) de chaque fichier surveillé. Si le hash change, une alerte est générée.
Outils HIDS populaires
OSSEC
- HIDS open source très populaire
- File Integrity Monitoring (FIM)
- Analyse des logs en temps réel
- Détection de rootkits
- Alertes et réponses actives (blocage d'IP)
- Multi-plateforme : Linux, Windows, macOS
Wazuh
- Fork d'OSSEC avec de nombreuses améliorations
- Interface web intégrée (Kibana/OpenSearch Dashboards)
- Intégration avec Elastic Stack pour la visualisation
- Compliance monitoring (PCI-DSS, GDPR, HIPAA)
- Cloud security monitoring (AWS, Azure, GCP)
- Vulnerability detection intégrée
- Très utilisé dans les SOC modernes
🔧 22.5 — Hardening (Durcissement)
Le hardening consiste à réduire la surface d'attaque d'un système en supprimant tout ce qui n'est pas nécessaire et en sécurisant ce qui reste.
Imagine ta maison. Le hardening, c'est : fermer toutes les fenêtres que tu n'utilises pas, changer les serrures par défaut, installer une alarme, et ne garder que les portes dont tu as besoin. Moins il y a de points d'entrée, plus c'est difficile à attaquer.
Mesures de hardening
Le Center for Internet Security publie des guides de configuration sécurisée (benchmarks) pour chaque système :
- Windows 10/11, Windows Server
- Ubuntu, RHEL, CentOS
- macOS, Docker, Kubernetes
- Applications : Apache, Nginx, MySQL, PostgreSQL
Ces benchmarks sont le standard de l'industrie pour le hardening et sont utilisés dans les audits de conformité.
Chaque service actif est un vecteur d'attaque potentiel :
- Désactiver les services réseau non utilisés (Telnet, FTP, SMBv1)
- Fermer les ports non nécessaires avec le firewall local
- Supprimer les logiciels pré-installés inutiles (bloatware)
- Désactiver les comptes par défaut (guest, admin sans mot de passe)
Principe du moindre privilège : ne donner que les accès strictement nécessaires.
Appliquer les correctifs de sécurité rapidement :
- Patches critiques : appliquer sous 24-72h
- Patches importants : appliquer sous 1-2 semaines
- Tester les patches en environnement de staging avant production
- Automatiser avec des outils (WSUS, SCCM, Ansible)
Rappel : WannaCry a exploité une vulnérabilité pour laquelle un patch existait depuis 2 mois.
Les GPO permettent de configurer centralement la sécurité des postes Windows :
- Politique de mots de passe (longueur, complexité, expiration)
- Verrouillage de compte après tentatives échouées
- Restriction des logiciels (AppLocker, SRP)
- Configuration du firewall Windows
- Audit et journalisation des événements
- Chiffrement BitLocker
Systèmes de contrôle d'accès obligatoire (MAC — Mandatory Access Control) pour Linux :
| Critère | SELinux | AppArmor |
|---|---|---|
| Distribution | RHEL, CentOS, Fedora | Ubuntu, SUSE, Debian |
| Approche | Labels sur les fichiers et processus | Profils basés sur les chemins de fichiers |
| Complexité | Plus complexe mais plus granulaire | Plus simple à configurer |
| Principe | Limite ce qu'un processus peut faire, même s'il est compromis | |
🔬 22.6 — Analyse de malware basique
L'analyse de malware permet de comprendre ce que fait un programme malveillant, comment il fonctionne et comment s'en protéger.
Analyse statique vs dynamique
Analyse statique (sans exécution)
Examiner le malware sans l'exécuter :
- File hash : calculer le MD5/SHA-256 et vérifier sur VirusTotal
- Strings : extraire les chaînes de caractères lisibles (URLs, IP, messages d'erreur, clés de registre)
- PE Header : analyser l'en-tête du fichier exécutable (imports, sections, compilation date)
- Packing : détecter si le malware est packé (compressé/obfusqué) avec UPX, Themida, etc.
- Outils : strings, PEiD, pestudio, CFF Explorer, file, exiftool
Analyse dynamique (avec exécution)
Exécuter le malware dans une sandbox et observer son comportement :
- Processus : quels processus sont créés ou injectés ?
- Fichiers : quels fichiers sont créés, modifiés, supprimés ?
- Réseau : quelles connexions sont établies (C2 server) ?
- Registre : quelles clés de registre sont modifiées (persistance) ?
- Outils : Any.Run, Cuckoo Sandbox, Joe Sandbox, Process Monitor, Wireshark
Workflow d'analyse basique
Calculer le hash (SHA-256) et vérifier sur VirusTotal. Si déjà connu, récupérer les informations existantes.
Extraire les chaînes de caractères : URLs, adresses IP, noms de domaine, messages, chemins de fichiers.
Examiner la structure du fichier : type, taille, en-tête PE, imports, sections, packing.
Exécuter dans un environnement isolé et observer : processus, fichiers, réseau, registre.
Documenter les résultats et extraire les IOC (hashes, IPs, domaines) pour les partager avec l'équipe SOC.
VirusTotal
VirusTotal est un service en ligne gratuit qui analyse les fichiers et URLs suspects avec plus de 70 moteurs antivirus. C'est l'outil incontournable pour un premier triage :
- Upload d'un fichier ou soumission d'un hash
- Résultats de détection par chaque moteur AV
- Informations communautaires et commentaires
- Relations (fichiers associés, IPs contactées, domaines)
🔬 22.7 — Exercice : Identifier les mesures de hardening
Tu es analyste SOC et on te demande de sécuriser un serveur Windows fraîchement installé. Classe chaque mesure dans la bonne catégorie :
🚫 Services & Ports
🔄 Patches
🔐 Comptes & Accès
🛡️ 22.8 — Technologies complementaires de protection endpoint
Cisco AMP (Advanced Malware Protection)
Cisco AMP est une solution de protection contre les malwares avances qui utilise la threat intelligence (renseignement sur les menaces) comme methode principale de protection. Elle combine :
- Threat intelligence globale : base de donnees de menaces alimentee par Cisco Talos
- File reputation : verification instantanee de la reputation des fichiers
- File trajectory : suivi du parcours des fichiers dans le reseau
- Retrospective security : capacite a revenir en arriere pour analyser des fichiers initialement juges surs
Cisco Threat Grid Glovebox
Cisco Threat Grid Glovebox est un produit de sandbox utilise pour l'analyse de malwares. Il permet d'executer des fichiers suspects dans un environnement isole et securise pour observer leur comportement. Il est particulierement utile pour :
- Analyser les malwares polymorphiques qui changent de signature a chaque copie
- Creer des signatures apres avoir isole et execute le malware dans la sandbox
- Observer le comportement reseau, les modifications fichiers et les appels systeme
Detection anomaly-based (basee sur les anomalies)
L'approche de detection anomaly-based (basee sur les anomalies) dans un systeme de detection d'intrusion compare les operations du systeme contre un ensemble de regles de securite predefinies. Toute activite qui devie de ces regles est signalee comme potentiellement malveillante.
Anomaly-based : compare les operations contre des regles de securite definies et des baselines comportementales.
Heuristic : utilise des algorithmes pour detecter des patterns suspects inconnus.
Iptables : firewall Linux
Iptables est une application de firewall basee sur des regles pour Linux. C'est l'outil natif de filtrage de paquets du noyau Linux qui permet de :
- Definir des regles de filtrage par chaines :
INPUT,OUTPUT,FORWARD - Filtrer par adresse IP, port, protocole, interface
- Appliquer des actions :
ACCEPT,DROP,REJECT,LOG
Successeur moderne : nftables (depuis le noyau Linux 3.13).
Distributed Firewall (Firewall distribue)
Un distributed firewall (firewall distribue) combine les fonctionnalites des firewalls host-based (sur chaque machine) avec une gestion centralisee. Les politiques de firewall sont definies centralement et poussees vers tous les endpoints, assurant une protection coherente sur l'ensemble du reseau.
| Type | Deploiement | Gestion |
|---|---|---|
| Host-based firewall | Sur chaque machine | Locale (par l'utilisateur ou l'admin) |
| Network firewall | Au perimetre reseau | Centralisee |
| Distributed firewall | Sur chaque machine | Centralisee (GPO, MDM, orchestrateur) |
🧠 22.9 — Forensique mémoire (Memory Forensics)
La forensique mémoire est l'analyse du contenu de la RAM d'un système. Elle est cruciale car de nombreux malwares modernes sont fileless — ils opèrent uniquement en mémoire sans écrire sur le disque.
Pourquoi analyser la RAM ?
- Malware fileless — N'existe qu'en mémoire, invisible sur le disque
- Clés de chiffrement — Présentes en mémoire même si le disque est chiffré
- Connexions réseau actives — Révèlent les communications C&C
- Processus cachés — Rootkits qui masquent des processus au niveau OS
- Code injecté — DLL injection, process hollowing visibles en mémoire
- Historique des commandes — Commandes exécutées en mémoire
Techniques d'attaque détectables en mémoire
| Technique | Description | Indicateur en mémoire |
|---|---|---|
| DLL Injection | Injection d'une DLL malveillante dans un processus légitime | DLL inconnue chargée dans un processus système (ex : svchost.exe) |
| Process Hollowing | Remplacement du code d'un processus légitime par du code malveillant | Le contenu mémoire du processus ne correspond pas au fichier sur disque |
| Reflective DLL Loading | Chargement d'une DLL directement en mémoire sans passer par le disque | DLL en mémoire sans entrée correspondante dans le PEB |
| Parent-child suspect | Processus légitime lancé par un parent anormal | cmd.exe lancé par winword.exe (macro malveillante) |
Volatility Framework
Volatility est le framework de référence pour l'analyse forensique de la mémoire. Commandes essentielles :
| Plugin Volatility | Usage |
|---|---|
pslist / pstree | Lister les processus et leurs relations parent-enfant |
psscan | Trouver les processus cachés (non listés par pslist) |
netscan | Lister les connexions réseau actives et en écoute |
malfind | Détecter le code injecté dans les processus |
dlllist | Lister les DLLs chargées par chaque processus |
handles | Lister les handles ouverts (fichiers, registry, mutex) |
hashdump | Extraire les hashes de mots de passe de la mémoire |
cmdline | Arguments de ligne de commande de chaque processus |
- Acquérir la RAM avant toute autre action (éteindre = perdre la RAM)
- Utiliser un outil d'acquisition sur support externe (USB) pour ne pas écraser des données en mémoire
- Documenter l'heure exacte de l'acquisition et calculer le hash du dump
- Outils : WinPmem (Windows), LiME (Linux), FTK Imager (multi-plateforme)
📝 22.10 — Quiz de revision
🔬 22.7 — Lab : Analyse de malware et hardening
Mets en pratique l'analyse statique de fichiers suspects et les commandes de hardening systeme.
Exercice : associe chaque technique de detection a son type
Points clés du Module 22
- Un endpoint est tout appareil connecté au réseau : PC, serveur, mobile, IoT
- L'antivirus utilise la détection par signature, heuristique, comportementale et le sandboxing
- Les antivirus traditionnels ne détectent pas les menaces zero-day et les fileless malwares
- L'EDR offre télémétrie continue, détection avancée, threat hunting et réponse automatisée
- Les HIDS/HIPS (OSSEC, Wazuh) surveillent les activités sur l'hôte et le FIM détecte les modifications de fichiers
- Le hardening réduit la surface d'attaque : CIS Benchmarks, désactivation des services, patches, GPO
- SELinux et AppArmor limitent les actions des processus compromis sous Linux
- L'analyse de malware se fait en statique (sans exécution) et dynamique (en sandbox)
- VirusTotal est l'outil de premier triage, mais ne jamais y uploader de fichiers confidentiels
- La forensique mémoire est essentielle pour les malwares fileless qui n'existent qu'en RAM
- Volatility est le framework de référence (plugins : pslist, malfind, netscan, dlllist)
- Les techniques comme DLL injection et process hollowing ne sont détectables qu'en mémoire
- Les relations parent-enfant suspectes entre processus sont des indicateurs clés