Principales caractéristiques à prendre en compte lors du choix d'une solution NDR
Savoir ce qui se passe sur l'ensemble du réseau de votre organisation est essentiel pour garantir la sécurité des utilisateurs, des appareils et des serveurs. Cet article expliquera comment la technologie de détection et de réponse réseau (NDR) basée sur l'IA s'impose comme l'avenir de la sécurité des réseaux – et quelles fonctionnalités spécifiques s'avèrent les plus intéressantes pour leur prix.
Guide du marché Gartner XDR
XDR est une technologie en évolution qui peut offrir des capacités unifiées de prévention, de détection et de réponse aux menaces...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour la détection instantanée des menaces...
Pourquoi avez-vous besoin d’une solution NDR ?
La sécurité des réseaux a toujours représenté l’une des frontières les plus difficiles à maîtriser. Même des configurations de réseau relativement complexes seraient faciles à sécuriser avec un simple pare-feu, si de nombreux services n'étaient aujourd'hui décentralisés. Avec autant d’appareils en dehors du périmètre traditionnel, le potentiel de vulnérabilités est plus élevé que jamais. Et ce ne sont pas seulement les services qui sont soustraits à vos propres défenses : les employés dépendent toujours des réseaux sans fil qui sont plus vulnérables aux écoutes clandestines et aux accès non autorisés. La nature inhérente des communications sans fil signifie que la sécurisation de ces réseaux nécessite une vigilance constante et des protocoles de sécurité avancés.
Parallèlement à un paysage réseau en évolution, il faut également faire face à la menace en constante évolution des cybercriminels profiteurs. Des techniques sophistiquées sont de plus en plus observées dans la nature, tandis que les attaques parrainées par l'État se multiplient dans le contexte des tensions géopolitiques actuelles. Ces menaces exploitent souvent les outils et configurations réseau légitimes qui maintiennent les véritables employés connectés, ce qui les rend plus difficiles à détecter et à se défendre.
Par conséquent, les organisations doivent garder un œil sur le trafic circulant dans leurs piles technologiques. Entrez dans la solution NDR : ces outils suivent en permanence l'activité du réseau qui se déroule sous le capot grâce à l'IA, vous permettant de détecter et de réagir beaucoup plus rapidement aux développements préoccupants. En savoir plus sur qu'est-ce que le NDR.
Parallèlement à un paysage réseau en évolution, il faut également faire face à la menace en constante évolution des cybercriminels profiteurs. Des techniques sophistiquées sont de plus en plus observées dans la nature, tandis que les attaques parrainées par l'État se multiplient dans le contexte des tensions géopolitiques actuelles. Ces menaces exploitent souvent les outils et configurations réseau légitimes qui maintiennent les véritables employés connectés, ce qui les rend plus difficiles à détecter et à se défendre.
Par conséquent, les organisations doivent garder un œil sur le trafic circulant dans leurs piles technologiques. Entrez dans la solution NDR : ces outils suivent en permanence l'activité du réseau qui se déroule sous le capot grâce à l'IA, vous permettant de détecter et de réagir beaucoup plus rapidement aux développements préoccupants. En savoir plus sur qu'est-ce que le NDR.
Quelles sont les principales caractéristiques du NDR ?
Compte tenu de l'importance cruciale du NDR pour assurer la sécurité des communications entre les appareils, il est essentiel que l'outil de votre choix dispose d'une suite de fonctionnalités qui éclairent même les coins difficiles d'accès de vos réseaux. Cependant, savoir lesquels sont importants nécessite une compréhension plus approfondie de la façon dont NDR maintient vos défenses.
Inspection approfondie des paquets
L’activité réseau prend de nombreuses formes, mais au niveau des applications, les paquets sont rois. Lorsque les données sont envoyées via un réseau, elles sont divisées en parties plus faciles à gérer, appelées paquets. Comme une lettre, chaque paquet contient l'adresse à laquelle il est envoyé, ainsi que le message réel – ou les données – transmis. L’inspection traditionnelle des paquets examinait uniquement la partie en-tête de ces données, qui contenait uniquement des informations sur la destination et l’expéditeur. Malheureusement, même une simple usurpation de certificat permet aux attaquants de contourner cette défense – ce qui signifie qu’à l’heure actuelle, l’inspection approfondie des paquets est une norme minimale pour des fonctionnalités NDR sûres.
L'inspection approfondie des paquets repose sur un point de connexion central et un tap réseau : cela garantit un accès complet aux informations sur les paquets. Être capable de voir non seulement l'en-tête du paquet, mais aussi le contenu et le protocole qui l'accompagne, offre un degré de visibilité beaucoup plus approfondi sur ce qui est envoyé sur votre réseau. Savoir quelle application, quel utilisateur et quel appareil transfère quels paquets de données permet d'accélérer la compréhension et l'optimisation du réseau.
Cependant, le DPI présente quelques inconvénients majeurs. Les attaquants en sont déjà conscients. Par exemple, DPI nécessite beaucoup de puissance de traitement, car il inspecte minutieusement le segment de données de chaque paquet. Ironiquement, le DPI est en réalité moins utile sur les réseaux à large bande passante, car il ne peut tout simplement pas inspecter tous les paquets réseau.
Les organisations se tournent de plus en plus fréquemment vers le chiffrement pour sécuriser leurs communications réseau et leurs interactions numériques. Malheureusement, les attaquants aussi. DPI a du mal à glaner beaucoup d'informations à partir des données réseau cryptées, ce qui signifie qu'il ne serait pas en mesure d'intercepter les communications cryptées entre un cheval de Troie ransomware et son serveur C2.
Pour lutter contre cela, votre outil NDR doit avoir bien plus que du DPI dans sa boîte à outils.
L'inspection approfondie des paquets repose sur un point de connexion central et un tap réseau : cela garantit un accès complet aux informations sur les paquets. Être capable de voir non seulement l'en-tête du paquet, mais aussi le contenu et le protocole qui l'accompagne, offre un degré de visibilité beaucoup plus approfondi sur ce qui est envoyé sur votre réseau. Savoir quelle application, quel utilisateur et quel appareil transfère quels paquets de données permet d'accélérer la compréhension et l'optimisation du réseau.
Cependant, le DPI présente quelques inconvénients majeurs. Les attaquants en sont déjà conscients. Par exemple, DPI nécessite beaucoup de puissance de traitement, car il inspecte minutieusement le segment de données de chaque paquet. Ironiquement, le DPI est en réalité moins utile sur les réseaux à large bande passante, car il ne peut tout simplement pas inspecter tous les paquets réseau.
Les organisations se tournent de plus en plus fréquemment vers le chiffrement pour sécuriser leurs communications réseau et leurs interactions numériques. Malheureusement, les attaquants aussi. DPI a du mal à glaner beaucoup d'informations à partir des données réseau cryptées, ce qui signifie qu'il ne serait pas en mesure d'intercepter les communications cryptées entre un cheval de Troie ransomware et son serveur C2.
Pour lutter contre cela, votre outil NDR doit avoir bien plus que du DPI dans sa boîte à outils.
Analyse des métadonnées
L'analyse des métadonnées (MA) prend du recul par rapport à l'approche paquet par paquet hyper-spécifique de DPI, capturant plutôt l'ensemble des attributs concernant les communications réseau, les applications et les acteurs, sans explorer l'intégralité de la charge utile de chaque paquet. C'est ainsi que NDR peut réaliser la majorité de son meilleur Cas d'utilisation du rapport de non-remise.
Pour chaque session qui traverse le réseau, des métadonnées complètes sont enregistrées ; ces métadonnées s'étendent pour capturer une variété d'attributs critiques qui peuvent identifier une cyberattaque juste à temps. À son niveau le plus élémentaire, cela inclut les adresses IP de l'hôte et du serveur, les numéros de port et les détails de géolocalisation de chaque connexion. Mais les métadonnées offrent une plus grande richesse d'informations que cela : les journaux DNS et DHCP aident à mapper les appareils aux adresses IP, tandis que des détails supplémentaires sur l'accès aux pages Web peuvent donner une image plus claire des connexions en cours. Les journaux du contrôleur de domaine permettent de relier l'utilisateur aux systèmes auxquels il peut avoir accès. Le problème DPI du chiffrement est résolu grâce à la présence de métadonnées même sur les pages Web chiffrées : du type de chiffrement, chiffre, hachage ; aux noms de domaine pleinement qualifiés du client et du serveur ; et les hachages de divers objets comme JavaScript et les images, toutes ces données réseau peuvent être canalisées vers des rapports de non-remise modernes.
L'analyse des métadonnées offre une visibilité sur l'ensemble d'un réseau, ce qui rend MA optimale pour les réseaux non sécurisés par DPI. À savoir des réseaux à haut débit et plus distribués. Dans le même temps, notez que MA n'est pas affecté par le cryptage : cela lui permet de détecter et de prévenir les cyberattaques avancées qui se cachent derrière les processus de cryptage du trafic. L’accent mis sur les informations réseau multi-sources est bien mieux adapté aux piles de sécurité interfonctionnelles et étroitement intégrées d’aujourd’hui.
Pour chaque session qui traverse le réseau, des métadonnées complètes sont enregistrées ; ces métadonnées s'étendent pour capturer une variété d'attributs critiques qui peuvent identifier une cyberattaque juste à temps. À son niveau le plus élémentaire, cela inclut les adresses IP de l'hôte et du serveur, les numéros de port et les détails de géolocalisation de chaque connexion. Mais les métadonnées offrent une plus grande richesse d'informations que cela : les journaux DNS et DHCP aident à mapper les appareils aux adresses IP, tandis que des détails supplémentaires sur l'accès aux pages Web peuvent donner une image plus claire des connexions en cours. Les journaux du contrôleur de domaine permettent de relier l'utilisateur aux systèmes auxquels il peut avoir accès. Le problème DPI du chiffrement est résolu grâce à la présence de métadonnées même sur les pages Web chiffrées : du type de chiffrement, chiffre, hachage ; aux noms de domaine pleinement qualifiés du client et du serveur ; et les hachages de divers objets comme JavaScript et les images, toutes ces données réseau peuvent être canalisées vers des rapports de non-remise modernes.
L'analyse des métadonnées offre une visibilité sur l'ensemble d'un réseau, ce qui rend MA optimale pour les réseaux non sécurisés par DPI. À savoir des réseaux à haut débit et plus distribués. Dans le même temps, notez que MA n'est pas affecté par le cryptage : cela lui permet de détecter et de prévenir les cyberattaques avancées qui se cachent derrière les processus de cryptage du trafic. L’accent mis sur les informations réseau multi-sources est bien mieux adapté aux piles de sécurité interfonctionnelles et étroitement intégrées d’aujourd’hui.
Analyse comportementale
Nous avons expliqué quelles données doivent être collectées et pourquoi, mais pas comment elles sont utilisées pour mieux sécuriser vos réseaux. Dans le passé, les tentatives de protection du réseau se sont concentrées sur l'alignement des informations sur les paquets avec les signatures présentes dans les attaques de logiciels malveillants connues. Bien que mieux que rien, cette approche laisse vos réseaux largement ouverts à de nouvelles attaques. Les attaques d'aujourd'hui ne laissent aucune place à l'erreur, comme le prouve la récente attaque de ransomware de 22 millions de dollars contre Change Healthcare, et d'autres sont encore à venir.
L'analyse comportementale est la réponse du secteur aux attaques de plus en plus nouvelles et distribuées. Les algorithmes de Machine Learning permettent de regrouper toutes ces métadonnées et informations sur les paquets dans des modèles de comportement plus larges. Ceci est réalisé de deux manières différentes : par des techniques d’apprentissage supervisé et non supervisé. L'apprentissage automatique supervisé identifie les comportements fondamentaux communs à diverses variantes de menaces (comme le fait que les logiciels malveillants nouvellement déployés atteignent généralement un serveur C2), permettant une détection cohérente dans différents scénarios. D’un autre côté, les algorithmes d’apprentissage automatique non supervisés examinent les données d’entreprise à une échelle bien plus vaste, effectuant des milliards de calculs probabilistes à partir des données observées. Ces algorithmes ne s'appuient pas sur des connaissances préalables sur les menaces, mais catégorisent indépendamment les données et identifient des modèles significatifs.
Essentiellement, les algorithmes non supervisés permettent aux outils NDR d'établir une base de référence de ce qui est normal pour votre réseau. Ils permettent ensuite à votre équipe SOC de voir toutes les connexions inhabituelles qui apparaissent soudainement : celles-ci peuvent être des indicateurs d'une attaque de la chaîne d'approvisionnement si elles proviennent soudainement d'une seule source ; ou, si plus de données que la moyenne sont envoyées à un périphérique externe, cela peut être la preuve d'un utilisateur malveillant ou compromis. Les modèles d’apprentissage supervisé et non supervisé sont importants, car collectivement, ils couvrent toute l’étendue de l’analyse comportementale dont vos réseaux ont besoin.
L'analyse comportementale est la réponse du secteur aux attaques de plus en plus nouvelles et distribuées. Les algorithmes de Machine Learning permettent de regrouper toutes ces métadonnées et informations sur les paquets dans des modèles de comportement plus larges. Ceci est réalisé de deux manières différentes : par des techniques d’apprentissage supervisé et non supervisé. L'apprentissage automatique supervisé identifie les comportements fondamentaux communs à diverses variantes de menaces (comme le fait que les logiciels malveillants nouvellement déployés atteignent généralement un serveur C2), permettant une détection cohérente dans différents scénarios. D’un autre côté, les algorithmes d’apprentissage automatique non supervisés examinent les données d’entreprise à une échelle bien plus vaste, effectuant des milliards de calculs probabilistes à partir des données observées. Ces algorithmes ne s'appuient pas sur des connaissances préalables sur les menaces, mais catégorisent indépendamment les données et identifient des modèles significatifs.
Essentiellement, les algorithmes non supervisés permettent aux outils NDR d'établir une base de référence de ce qui est normal pour votre réseau. Ils permettent ensuite à votre équipe SOC de voir toutes les connexions inhabituelles qui apparaissent soudainement : celles-ci peuvent être des indicateurs d'une attaque de la chaîne d'approvisionnement si elles proviennent soudainement d'une seule source ; ou, si plus de données que la moyenne sont envoyées à un périphérique externe, cela peut être la preuve d'un utilisateur malveillant ou compromis. Les modèles d’apprentissage supervisé et non supervisé sont importants, car collectivement, ils couvrent toute l’étendue de l’analyse comportementale dont vos réseaux ont besoin.
Renseignement sur les cybermenaces
L'intégration aux flux de renseignements sur les menaces permet au système NDR de croiser l'activité du réseau avec les menaces connues, les adresses IP malveillantes et les indicateurs de compromission (IoC). Cela aide la solution NDR à identifier et à détecter les menaces qui ont été observées et documentées par la communauté de sécurité au sens large. Lorsqu’ils sont associés aux solutions NDR, les flux de renseignements sur les menaces agissent comme des fournisseurs de contexte rapides et précis. Cela va bien au-delà des signatures de base des anciens logiciels malveillants, avec des flux d'informations sur les menaces leaders du marché, comprenant les tactiques, techniques et procédures des attaques les plus récentes, ainsi que leur impact.
Ces informations contextuelles aident une solution NDR à mieux comprendre la nature de chaque anomalie détectée et à prendre des décisions plus éclairées sur la réponse appropriée. Ce support pour vos analystes peut être approfondi par une intégration plus poussée avec le framework MITRE ATT&CK, ainsi qu'un support supplémentaire provenant des outils qui assurent déjà la sécurité du reste de votre organisation.
Ces informations contextuelles aident une solution NDR à mieux comprendre la nature de chaque anomalie détectée et à prendre des décisions plus éclairées sur la réponse appropriée. Ce support pour vos analystes peut être approfondi par une intégration plus poussée avec le framework MITRE ATT&CK, ainsi qu'un support supplémentaire provenant des outils qui assurent déjà la sécurité du reste de votre organisation.
Intégration de la pile technologique de sécurité
Vous ne limiteriez pas un analyste de sécurité à une seule plate-forme : tout comme les flux de renseignements tiers fournissent un contexte sur les menaces existantes, votre pile technologique plus large peut offrir une vue sur mesure de votre propre paysage. Lorsque NDR s'intègre aux outils Endpoint Detection and Response (EDR) et Security Information and Event Management (SIEM) dont vous disposez déjà, vos équipes sont en mesure de fonctionner au même niveau multidimensionnel que les attaquants.
Prenez le cadre MITRE ATT&CK : bien qu'explicitement développé pour identifier les tactiques, techniques et procédures (TTP), MITRE ATT&CK présente un biais important en faveur des tactiques de point final. Grâce à cela, EDR a connu une phase d’investissements importants dans tous les secteurs. Cela est parfaitement compréhensible : adapter vos outils aux frameworks leaders du secteur est un pas dans la bonne direction. Malgré cela, il est essentiel de garder un œil sur la réalité de l’exploitation des vulnérabilités. Lorsqu’une campagne d’attaque touche à sa fin, de nombreuses techniques critiques sont en réalité plus faciles à détecter du point de vue du réseau. Dans la même période d'attaque tardive, les minutes passent à une vitesse incroyable : en réduisant l'importance des activités réseau, certaines organisations compromettent en fait leur potentiel de réponse en matière de sécurité au moment où il est le plus critique. L'analyse et la corrélation des données provenant à la fois des points finaux et des sources réseau offrent aux analystes un spectre complet de visibilité.
Prenez le cadre MITRE ATT&CK : bien qu'explicitement développé pour identifier les tactiques, techniques et procédures (TTP), MITRE ATT&CK présente un biais important en faveur des tactiques de point final. Grâce à cela, EDR a connu une phase d’investissements importants dans tous les secteurs. Cela est parfaitement compréhensible : adapter vos outils aux frameworks leaders du secteur est un pas dans la bonne direction. Malgré cela, il est essentiel de garder un œil sur la réalité de l’exploitation des vulnérabilités. Lorsqu’une campagne d’attaque touche à sa fin, de nombreuses techniques critiques sont en réalité plus faciles à détecter du point de vue du réseau. Dans la même période d'attaque tardive, les minutes passent à une vitesse incroyable : en réduisant l'importance des activités réseau, certaines organisations compromettent en fait leur potentiel de réponse en matière de sécurité au moment où il est le plus critique. L'analyse et la corrélation des données provenant à la fois des points finaux et des sources réseau offrent aux analystes un spectre complet de visibilité.
Automatisez la détection et la réponse du réseau avec Stellar Cyber
Lorsque le NDR détecte une activité suspecte ou malveillante au sein du réseau, ces données doivent être transmises à votre équipe de sécurité avec un maximum de clarté et d'efficacité. Lors d’événements critiques en matière de sécurité, chaque seconde compte. Traditionnellement, les alertes basées sur le réseau étaient envoyées aux mêmes listes d'alertes que tout le reste, ce qui entraînait des retards de plusieurs kilomètres qui consommaient de plus en plus de temps précieux sur les heures limitées de vos analystes de sécurité. Les NDR modernes reconnaissent que les flux d'alertes incessants nuisent à leur manière à la sécurité de l'organisation : ils visent plutôt à rassembler les problèmes individuels dans des alertes contextuelles plus larges.
En se connectant à votre suite plus large d’outils de défense, une solution NDR automatisée peut prendre en charge une partie du travail fastidieux qui ralentit aujourd’hui vos équipes de sécurité. Le tri manuel automatisé est encore incroyablement linéaire – et lent. Ainsi, même si une réponse multidimensionnelle est capable de pousser la détection des menaces vers de nouveaux sommets, le maillon faible reste le fait que les analystes ne peuvent traiter qu’un nombre limité d’informations à la fois. Entrez, les algorithmes.
Cette approche de plus en plus globale de la sécurité constitue le fondement de la détection et de la réponse étendues. Au lieu de surcharger les analystes avec toujours plus d'outils, de tableaux de bord et d'alertes, la nouvelle phase de la cybersécurité vise à utiliser les vastes pans d'informations déjà à votre disposition via l'automatisation.
La plate-forme Open XDR de Stellar Cyber exploite les capacités du NDR isolé et les associe à des algorithmes EDR et d'automatisation. De cette façon, votre sécurité est plus qu'une analyse approfondie de chaque zone isolée de votre pile technologique : au lieu de cela, une alerte provenant d'un appareil peut être comparée et contrastée avec l'activité réseau qui lui est associée. Non seulement davantage d'informations aident un analyste de sécurité à comprendre de manière globale la nature et l'impact potentiel de la menace détectée, mais le recours à des analyses avancées permet à chaque aspect d'influencer le niveau de gravité d'une alerte.
En pré-préparant une alerte avec sa criticité, l'outil XDR de Stellar Cyber est capable de voir rapidement et facilement l'impact potentiel et la probabilité d'exploitation. Cette automatisation est essentielle non seulement pour gérer de grandes quantités de données réseau, mais aussi pour identifier les anomalies et les problèmes qui doivent réellement être résolus. Réévaluez dès aujourd'hui la relation de votre organisation avec les alertes réseau et découvrez comment Stellar guide les équipes de sécurité vers des temps de résolution plus rapides que jamais.
En se connectant à votre suite plus large d’outils de défense, une solution NDR automatisée peut prendre en charge une partie du travail fastidieux qui ralentit aujourd’hui vos équipes de sécurité. Le tri manuel automatisé est encore incroyablement linéaire – et lent. Ainsi, même si une réponse multidimensionnelle est capable de pousser la détection des menaces vers de nouveaux sommets, le maillon faible reste le fait que les analystes ne peuvent traiter qu’un nombre limité d’informations à la fois. Entrez, les algorithmes.
Cette approche de plus en plus globale de la sécurité constitue le fondement de la détection et de la réponse étendues. Au lieu de surcharger les analystes avec toujours plus d'outils, de tableaux de bord et d'alertes, la nouvelle phase de la cybersécurité vise à utiliser les vastes pans d'informations déjà à votre disposition via l'automatisation.
La plate-forme Open XDR de Stellar Cyber exploite les capacités du NDR isolé et les associe à des algorithmes EDR et d'automatisation. De cette façon, votre sécurité est plus qu'une analyse approfondie de chaque zone isolée de votre pile technologique : au lieu de cela, une alerte provenant d'un appareil peut être comparée et contrastée avec l'activité réseau qui lui est associée. Non seulement davantage d'informations aident un analyste de sécurité à comprendre de manière globale la nature et l'impact potentiel de la menace détectée, mais le recours à des analyses avancées permet à chaque aspect d'influencer le niveau de gravité d'une alerte.
En pré-préparant une alerte avec sa criticité, l'outil XDR de Stellar Cyber est capable de voir rapidement et facilement l'impact potentiel et la probabilité d'exploitation. Cette automatisation est essentielle non seulement pour gérer de grandes quantités de données réseau, mais aussi pour identifier les anomalies et les problèmes qui doivent réellement être résolus. Réévaluez dès aujourd'hui la relation de votre organisation avec les alertes réseau et découvrez comment Stellar guide les équipes de sécurité vers des temps de résolution plus rapides que jamais.