Qu'est-ce que le NDR ?
![Gartner | Cyber stellaire](https://stellarcyber.ai/wp-content/uploads/2024/07/gartner.png)
Guide du marché Gartner pour la détection et la réponse réseau (NDR)
Dans les récents rapports Gartner® sur la détection et la réponse réseau (NDR), Gartner note que les environnements OT et IT...
![IA | Cyber stellaire](https://stellarcyber.ai/wp-content/uploads/2024/07/AI.png)
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour une détection et une réponse instantanées aux menaces. Planifiez votre démo dès aujourd'hui !
Comment fonctionne le rapport de non-remise
Votre réseau est le système nerveux central de toute votre organisation. Que vous soyez uniquement déployé « sur métal », sans présence dans le cloud, ou que vous ayez opté pour un « All-In » sur un fournisseur de cloud, le réseau permet une communication vitale d'un centre d'affaires à un autre. Historiquement, le déploiement d’un pare-feu était considéré comme offrant une sécurité suffisante à un réseau. Cependant, les fournisseurs ont introduit de nouveaux contrôles de sécurité pour protéger le réseau et lutter contre les progrès des méthodes d'attaque. " traiter avec."
![| Cyber stellaire Qu’est-ce que le rapport de non-remise ? Le guide définitif - L'évolution du NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
L’évolution du NDR
Comme les fournisseurs de sécurité sont susceptibles de le faire lorsqu'ils sont confrontés à l'évolution des défis des attaquants, un nouveau type de produit a été introduit, connu sous le nom de Analyse du trafic réseau (NTA). Comme son nom l'indique, les produits NTA analyseraient le contenu et les mesures du trafic entre les actifs des organisations et le trafic vers et depuis des sources externes. Un analyste pourrait fouiller dans les détails de modèles inhabituels pour déterminer si des mesures correctives sont nécessaires. Maintenant, NDR entre en scène. NDR combine les meilleures fonctionnalités IDS/IPS, NTA et autres fonctionnalités de sécurité réseau en une solution unique pour protéger un réseau. Les produits NDR cherchent à offrir une vue globale des menaces de sécurité sur votre réseau. En utilisant une combinaison de signatures de réseau malveillantes connues, d’analyses de sécurité et d’analyse du comportement, les rapports de non-remise peuvent rapidement fournir une détection des menaces avec une grande efficacité. Pour être plus précis, les produits NDR peuvent non seulement analyser le contenu du trafic réseau mais également identifier les activités anormales en analysant les métadonnées du trafic réseau (taille/forme du trafic). Cette fonctionnalité est avantageuse lorsqu'il s'agit de trafic chiffré, où il peut être impossible pour le produit NDR de déchiffrer en temps réel. Les produits NDR typiques offrent des capacités de détection et la capacité de répondre à une menace potentielle.
Quel est le rôle du NDR dans la cybersécurité
Comme en conviennent la plupart des professionnels de la cybersécurité, la plupart des attaques touchent le réseau d’une manière ou d’une autre. Des études récentes suggèrent que 99 % des attaques réussies peuvent être détectées dans le trafic réseau, dont beaucoup pourraient être identifiées et atténuées avant que l'attaquant ne déploie ses charges utiles. Les solutions modernes de protection des réseaux rendent la protection des réseaux beaucoup plus accessible à tout professionnel de la sécurité en rendant leurs capacités faciles à utiliser. Associée à l'augmentation des capacités automatisées incluses dans la plupart des solutions, l'identification des menaces sur un réseau est désormais plus « sans intervention » que jamais. Pour la plupart des équipes de sécurité, même celles qui manquent d'expertise en réseau peuvent déployer une solution NDR dans leur pile de sécurité et commencent à identifier les menaces lorsqu'elles se déplacent entre les actifs du réseau et entrent et sortent du réseau avec peu d'intervention humaine. En incluant un NDR dans une pile de sécurité, les équipes de sécurité peuvent également constater d’énormes avantages stratégiques et tactiques qui dépassent la simple identification des menaces sur le réseau.
Défense en profondeur
Partage de l'information
Une fois les menaces détectées, ces informations peuvent facilement être partagées sur une plateforme SIEM ou XDR pour établir une corrélation avec d'autres menaces, dont certaines peuvent être considérées comme un signal faible. Avec un flux constant de menaces réseau désormais analysées avec d’autres données pertinentes pour la sécurité, les équipes de sécurité bénéficieront d’une vue plus globale des menaces dans l’ensemble de leurs environnements réseau. Par exemple, il est courant que les attaquants déploient des attaques multivecteurs contre leurs cibles, par exemple en lançant une campagne de phishing par courrier électronique contre plusieurs employés tout en cherchant simultanément à exploiter une vulnérabilité connue découverte quelque part sur le réseau. Lorsqu’elles sont étudiées séparément, elles peuvent être considérées comme moins prioritaires que lorsqu’elles sont considérées comme faisant partie d’une attaque ciblée. Avec le NDR en place, en conjonction avec un XDR, ces attaques ne font plus l’objet d’enquêtes isolées. Au lieu de cela, ils peuvent être corrélés et complétés par des informations contextuelles pertinentes, ce qui facilite grandement la détermination de leur lien. Cette étape supplémentaire, qui dans la plupart des cas peut se produire automatiquement, signifie que les analystes de sécurité deviennent plus productifs et efficaces sans déployer plus d'efforts. Pour plus d’informations sur les avantages stratégiques du NDR, consultez le Guide de l'acheteur NDR.
Comment le NDR se compare-t-il à l’EDR et au XDR ?
Exigences de non-remise
- Produits NDR doit collecter des informations sur le trafic réseau en temps réel et stocker les données collectées pour rendre possible une analyse automatisée.
- Produits NDR doit être capable de normaliser et d'enrichir les données collectées avec des informations contextuellement pertinentes pour faciliter une analyse complète
- Produits NDR doit également établir une base de référence pour le trafic réseau régulier, généralement à l’aide d’algorithmes d’apprentissage automatique. Une fois la ligne de base établie, le produit NDR doit rapidement détecter les cas où le trafic réseau observé se situe en dehors des modèles de trafic habituels, alertant ainsi les analystes de sécurité en temps réel de l'anomalie.
- Produits NDR devrait couvrir à la fois les actifs sur site et dans le cloud.
- Produits NDR devrait s'efforcer de regrouper les alertes associées dans des compartiments d'enquête exploitables, permettant aux analystes de sécurité de 1) comprendre facilement la portée d'une attaque et 2) de prendre des mesures de réponse
- Produits NDR doit fournir un moyen automatisé pour prendre les mesures de réponse appropriées lorsqu'elles sont jugées nécessaires en raison de la nature et de la portée d'une attaque
Exigences EDR
- Produits EDR doit fournir aux équipes de sécurité un moyen de collecter et d’analyser les données des points finaux en temps réel. Généralement, cela est fourni via un agent de point final déployable qui peut être facilement distribué via l'outil choisi par l'organisation. Ces agents de point de terminaison doivent être gérés de manière centralisée et être facilement mis à jour sans nécessiter le redémarrage de l'appareil.
- Produits EDR devrait être capable d’analyser les applications et les services en temps réel pour éliminer les fichiers et services potentiellement malveillants. Une fois découverts, il devrait être possible de mettre automatiquement en quarantaine les fichiers et services suspects.
- Produits EDR devrait inclure un moteur de règles de corrélation personnalisable dans lequel les équipes de sécurité peuvent soit télécharger un ensemble de règles de corrélation accessibles au public, soit créer leurs propres règles à partir de zéro. Ces règles doivent inclure la capacité de détecter une menace et un moyen de réagir automatiquement si nécessaire.
- Produits EDR doit être facilement intégré du point de vue des données dans un autre produit de sécurité, tel qu'une plateforme SIEM ou XDR, afin que les riches données collectées puissent être analysées dans le contexte d'autres informations pertinentes pour la sécurité.
- Produits EDR devrait prendre en charge les déploiements sur les appareils Microsoft Windows et différentes versions d'appareils Linux.
- EDR moderne les produits peuvent également être déployés sur certaines plates-formes basées sur le cloud et d'autres applications fournies dans le cloud telles que Microsoft Office 365.
Exigences XDR
Détection et réponse étendues (XDR) Les produits sont l'une des technologies les plus récentes du marché, née de la nécessité de permettre aux équipes de sécurité réduites de fournir plus facilement des résultats de sécurité continus dans l'ensemble de leur entreprise. Les produits XDR doivent inclure les fonctionnalités suivantes pour offrir les avantages attendus par la plupart des équipes de sécurité.
- Produits XDR doit ingérer des données provenant de n’importe quelle source de données disponible. Ces données peuvent inclure 1) des alertes provenant de tout contrôle de sécurité déployé, 2) des données de journalisation de tout service utilisé par une organisation, telles que les journaux créés par le système de gestion des identités de l'organisation, et 3) des informations relatives aux journaux et aux activités provenant de n'importe quel cloud. l'environnement et l'application, telles que les informations d'activité collectées à partir d'une solution Cloud Access Security Broker (CASB).
- Produits XDR devrait idéalement normaliser toutes les données collectées pour permettre une analyse complète à grande échelle.
- Produits XDR devrait utiliser l’apprentissage automatique et l’intelligence artificielle (IA) pour corréler des données d’alerte et d’activité apparemment disparates et sans rapport avec des incidents/cas de sécurité faciles à enquêter.
- Produits XDR devrait automatiquement contextualiser toutes les données collectées avec des informations importantes, permettant ainsi aux analystes de sécurité de mener rapidement à bien leurs enquêtes.
- Produits XDR devrait orienter les efforts des analystes de sécurité en hiérarchisant les incidents de sécurité suspectés en fonction de leur impact potentiel sur l'organisation.
- Produits XDR devrait fournir une capacité de réponse automatisée qui peut être lancée sans intervention humaine en fonction de la gravité/de l’impact d’une menace potentielle.
En résumé, les produits NDR et EDR sont en fin de compte des éléments d'une plate-forme XDR qui permet aux analystes de sécurité de mener à bien leurs enquêtes de cybersécurité plus rapidement et plus efficacement que jamais.
Cas d'utilisation courants du rapport de non-remise
Mouvement latéral
En se déplaçant sur le réseau, ils pourraient également identifier une application ou un service vulnérable qui leur permettrait d’ouvrir plus tard une « porte dérobée » pour réintégrer l’environnement à volonté. De plus, pour maintenir la persistance dans un environnement, de nombreux attaquants tenteront d'élever les privilèges d'un compte utilisateur compromis vers des droits d'administrateur, leur donnant carte blanche pour apporter des modifications à l'environnement, désactivant potentiellement certaines fonctionnalités de sécurité, supprimant les journaux qui pourrait laisser un fil d’Ariane aux équipes de sécurité pour mener à bien leurs enquêtes. Grâce à un NDR qui surveille l'activité du réseau en temps réel, les équipes de sécurité peuvent identifier rapidement les activités suspectes entre les actifs du réseau et les modèles de trafic anormaux de leur réseau vers le monde extérieur. Les produits NDR mettent en corrélation cette activité anormale avec les actions des utilisateurs, ce qui peut mettre en évidence le moment où un attaquant se déplace librement sur les actifs de son réseau.