Rechercher
Fermez ce champ de recherche.

Table des matières

Qu’est-ce que le rapport de non-remise ? Le guide définitif

Aujourd’hui, les décideurs en matière de sécurité sont confrontés à une myriade de choix lorsqu’il s’agit de créer une pile de sécurité moderne. Un contrôle de sécurité souvent négligé est la détection et la réponse réseau, ou NDR. Les solutions de cybersécurité NDR ne sont pas nouvelles. Cependant, en raison de la complexité perçue du déploiement, de la maintenance et de l'utilisation, de nombreux propriétaires de systèmes de sécurité ne donnent pas la priorité à cette technologie dans leur pile de sécurité, en supposant que d'autres produits de sécurité associés au réseau peuvent empêcher la compromission de leurs réseaux. Ce guide fournit une définition complète du NDR en tant que solution de cybersécurité moderne et son importance dans la lutte contre les cyberattaques.

Comment fonctionne le rapport de non-remise

Les technologies de détection et de réponse réseau sont conçues pour identifier les menaces sur votre infrastructure réseau et permettre aux analystes de sécurité de prendre rapidement des mesures de réponse décisives pour atténuer le risque de violation dommageable. Contrairement à d'autres technologies réseau qui nécessitent que les utilisateurs soient semi-experts en réseau, les analystes de sécurité possédant une expertise variée peuvent facilement utiliser les produits NDR. Pour mieux comprendre comment Les capacités NDR assurent la sécurité d'un réseau, nous devons d’abord comprendre comment ils sont déployés et fonctionnent. 

Votre réseau est le système nerveux central de toute votre organisation. Que vous soyez uniquement déployé « sur métal », sans présence dans le cloud, ou que vous ayez opté pour un « All-In » sur un fournisseur de cloud, le réseau permet une communication vitale d'un centre d'affaires à un autre. Historiquement, le déploiement d’un pare-feu était considéré comme offrant une sécurité suffisante à un réseau. Cependant, les fournisseurs ont introduit de nouveaux contrôles de sécurité pour protéger le réseau et lutter contre les progrès des méthodes d'attaque. " traiter avec."

Qu’est-ce que le rapport de non-remise ? Le guide définitif - L'évolution du NDR

L’évolution du NDR

Comme les fournisseurs de sécurité sont susceptibles de le faire lorsqu'ils sont confrontés à l'évolution des défis des attaquants, un nouveau type de produit a été introduit, connu sous le nom de Analyse du trafic réseau (NTA). Comme son nom l'indique, les produits NTA analyseraient le contenu et les mesures du trafic entre les actifs des organisations et le trafic vers et depuis des sources externes. Un analyste pourrait fouiller dans les détails de modèles inhabituels pour déterminer si des mesures correctives sont nécessaires. Maintenant, NDR entre en scène. NDR combine les meilleures fonctionnalités IDS/IPS, NTA et autres fonctionnalités de sécurité réseau en une solution unique pour protéger un réseau. Les produits NDR cherchent à offrir une vue globale des menaces de sécurité sur votre réseau. En utilisant une combinaison de signatures de réseau malveillantes connues, d’analyses de sécurité et d’analyse du comportement, les rapports de non-remise peuvent rapidement fournir une détection des menaces avec une grande efficacité. Pour être plus précis, les produits NDR peuvent non seulement analyser le contenu du trafic réseau mais également identifier les activités anormales en analysant les métadonnées du trafic réseau (taille/forme du trafic). Cette fonctionnalité est avantageuse lorsqu'il s'agit de trafic chiffré, où il peut être impossible pour le produit NDR de déchiffrer en temps réel. Les produits NDR typiques offrent des capacités de détection et la capacité de répondre à une menace potentielle.

Quel est le rôle du NDR dans la cybersécurité

Les attaquants modernes recherchent toute faiblesse dans l'environnement d'une organisation qu'ils peuvent exploiter. Même si les terminaux constituent une surface d'attaque privilégiée par la plupart des attaquants, ils cherchent de plus en plus à masquer leurs cybermenaces au sein du trafic réseau habituel. Cette approche gagne en popularité en raison de la complexité perçue associée à la surveillance, à l'analyse et à la détection des menaces lorsqu'elles traversent le réseau. Dans un passé pas si lointain, l'identification des menaces dans le trafic réseau nécessitait des ressources possédant une vaste expérience dans la configuration, la maintenance et la surveillance du trafic réseau. Aujourd’hui, cependant, le paysage de la cybersécurité est très différent, ce qui rend la protection d’un réseau beaucoup plus accessible à tous les professionnels de la sécurité, et pas seulement à ceux qui sont des experts en réseaux. 

Comme en conviennent la plupart des professionnels de la cybersécurité, la plupart des attaques touchent le réseau d’une manière ou d’une autre. Des études récentes suggèrent que 99 % des attaques réussies peuvent être détectées dans le trafic réseau, dont beaucoup pourraient être identifiées et atténuées avant que l'attaquant ne déploie ses charges utiles. Les solutions modernes de protection des réseaux rendent la protection des réseaux beaucoup plus accessible à tout professionnel de la sécurité en rendant leurs capacités faciles à utiliser. Associée à l'augmentation des capacités automatisées incluses dans la plupart des solutions, l'identification des menaces sur un réseau est désormais plus « sans intervention » que jamais. Pour la plupart des équipes de sécurité, même celles qui manquent d'expertise en réseau peuvent déployer une solution NDR dans leur pile de sécurité et commencent à identifier les menaces lorsqu'elles se déplacent entre les actifs du réseau et entrent et sortent du réseau avec peu d'intervention humaine. En incluant un NDR dans une pile de sécurité, les équipes de sécurité peuvent également constater d’énormes avantages stratégiques et tactiques qui dépassent la simple identification des menaces sur le réseau.

Défense en profondeur

Premièrement, en incluant le NDR dans votre pile de sécurité, vous suivez les meilleures pratiques de l’approche de « défense en profondeur » de la sécurité. Même si les plateformes de protection des points finaux et les solutions de détection et de réponse aux points finaux sont conçues pour identifier les menaces sur les points finaux, par exemple, elles sont généralement aveugles aux menaces lorsqu'elles se déplacent à travers le réseau. De même, les produits de prévention contre la perte de données sont très efficaces pour identifier le moment où des données importantes sont déplacées depuis un emplacement donné. Cependant, ils ne sont pas très doués pour détecter ces informations critiques traversant le réseau, surtout si elles sont obscurcies dans le trafic réseau régulier. C'est dans cette situation que les produits de sécurité NDR ont le potentiel d'améliorer la capacité d'une équipe de sécurité à réduire le risque d'une cyberattaque réussie. Tout comme les autres produits mentionnés sont dédiés à la détection des menaces dans un actif ou un type de données spécifique, le NDR se concentre uniquement sur la compréhension du trafic réseau d'une manière qu'aucun autre produit de sécurité ne peut faire. En permettant une analyse rapide du trafic réseau en temps réel, les produits de sécurité NDR peuvent révéler des menaces potentielles dans le trafic réseau qui auraient pu passer inaperçues.

Partage de l'information

Une fois les menaces détectées, ces informations peuvent facilement être partagées sur une plateforme SIEM ou XDR pour établir une corrélation avec d'autres menaces, dont certaines peuvent être considérées comme un signal faible. Avec un flux constant de menaces réseau désormais analysées avec d’autres données pertinentes pour la sécurité, les équipes de sécurité bénéficieront d’une vue plus globale des menaces dans l’ensemble de leurs environnements réseau. Par exemple, il est courant que les attaquants déploient des attaques multivecteurs contre leurs cibles, par exemple en lançant une campagne de phishing par courrier électronique contre plusieurs employés tout en cherchant simultanément à exploiter une vulnérabilité connue découverte quelque part sur le réseau. Lorsqu’elles sont étudiées séparément, elles peuvent être considérées comme moins prioritaires que lorsqu’elles sont considérées comme faisant partie d’une attaque ciblée. Avec le NDR en place, en conjonction avec un XDR, ces attaques ne font plus l’objet d’enquêtes isolées. Au lieu de cela, ils peuvent être corrélés et complétés par des informations contextuelles pertinentes, ce qui facilite grandement la détermination de leur lien. Cette étape supplémentaire, qui dans la plupart des cas peut se produire automatiquement, signifie que les analystes de sécurité deviennent plus productifs et efficaces sans déployer plus d'efforts. Pour plus d’informations sur les avantages stratégiques du NDR, consultez le Guide de l'acheteur NDR.

Comment le NDR se compare-t-il à l’EDR et au XDR ?

Avec autant de produits et services de cybersécurité prétendant offrir des avantages similaires, il peut être difficile pour certains décideurs en matière de sécurité de discerner quels produits déployer pour obtenir des avantages supplémentaires. NDR n'est pas à l'abri de cette confusion, donc pour aider les décideurs à comprendre les similitudes et les différences entre les contrôles de sécurité standard, ce qui suit décrit les différences entre NDR, EDR et XDR.

Exigences de non-remise

Tout d’abord, pour établir une compréhension de base de l’objet de ce guide, le NDR, voici les capacités standard d’une solution NDR :
  • Produits NDR doit collecter des informations sur le trafic réseau en temps réel et stocker les données collectées pour rendre possible une analyse automatisée.
  • Produits NDR doit être capable de normaliser et d'enrichir les données collectées avec des informations contextuellement pertinentes pour faciliter une analyse complète
  • Produits NDR doit également établir une base de référence pour le trafic réseau régulier, généralement à l’aide d’algorithmes d’apprentissage automatique. Une fois la ligne de base établie, le produit NDR doit rapidement détecter les cas où le trafic réseau observé se situe en dehors des modèles de trafic habituels, alertant ainsi les analystes de sécurité en temps réel de l'anomalie. 
  • Produits NDR devrait couvrir à la fois les actifs sur site et dans le cloud.
  • Produits NDR devrait s'efforcer de regrouper les alertes associées dans des compartiments d'enquête exploitables, permettant aux analystes de sécurité de 1) comprendre facilement la portée d'une attaque et 2) de prendre des mesures de réponse
  • Produits NDR doit fournir un moyen automatisé pour prendre les mesures de réponse appropriées lorsqu'elles sont jugées nécessaires en raison de la nature et de la portée d'une attaque

Exigences EDR

Les produits Endpoint Detection and Response (EDR) doivent offrir les fonctionnalités suivantes pour assurer la protection nécessaire de leur domaine d'intervention, à savoir les appareils d'extrémité :
  • Produits EDR doit fournir aux équipes de sécurité un moyen de collecter et d’analyser les données des points finaux en temps réel. Généralement, cela est fourni via un agent de point final déployable qui peut être facilement distribué via l'outil choisi par l'organisation. Ces agents de point de terminaison doivent être gérés de manière centralisée et être facilement mis à jour sans nécessiter le redémarrage de l'appareil. 
  • Produits EDR devrait être capable d’analyser les applications et les services en temps réel pour éliminer les fichiers et services potentiellement malveillants. Une fois découverts, il devrait être possible de mettre automatiquement en quarantaine les fichiers et services suspects. 
  • Produits EDR devrait inclure un moteur de règles de corrélation personnalisable dans lequel les équipes de sécurité peuvent soit télécharger un ensemble de règles de corrélation accessibles au public, soit créer leurs propres règles à partir de zéro. Ces règles doivent inclure la capacité de détecter une menace et un moyen de réagir automatiquement si nécessaire. 
  • Produits EDR doit être facilement intégré du point de vue des données dans un autre produit de sécurité, tel qu'une plateforme SIEM ou XDR, afin que les riches données collectées puissent être analysées dans le contexte d'autres informations pertinentes pour la sécurité. 
  • Produits EDR devrait prendre en charge les déploiements sur les appareils Microsoft Windows et différentes versions d'appareils Linux. 
  • EDR moderne les produits peuvent également être déployés sur certaines plates-formes basées sur le cloud et d'autres applications fournies dans le cloud telles que Microsoft Office 365. 

Exigences XDR

Détection et réponse étendues (XDR) Les produits sont l'une des technologies les plus récentes du marché, née de la nécessité de permettre aux équipes de sécurité réduites de fournir plus facilement des résultats de sécurité continus dans l'ensemble de leur entreprise. Les produits XDR doivent inclure les fonctionnalités suivantes pour offrir les avantages attendus par la plupart des équipes de sécurité. 

  • Produits XDR doit ingérer des données provenant de n’importe quelle source de données disponible. Ces données peuvent inclure 1) des alertes provenant de tout contrôle de sécurité déployé, 2) des données de journalisation de tout service utilisé par une organisation, telles que les journaux créés par le système de gestion des identités de l'organisation, et 3) des informations relatives aux journaux et aux activités provenant de n'importe quel cloud. l'environnement et l'application, telles que les informations d'activité collectées à partir d'une solution Cloud Access Security Broker (CASB).
  • Produits XDR devrait idéalement normaliser toutes les données collectées pour permettre une analyse complète à grande échelle.
  • Produits XDR devrait utiliser l’apprentissage automatique et l’intelligence artificielle (IA) pour corréler des données d’alerte et d’activité apparemment disparates et sans rapport avec des incidents/cas de sécurité faciles à enquêter. 
  • Produits XDR devrait automatiquement contextualiser toutes les données collectées avec des informations importantes, permettant ainsi aux analystes de sécurité de mener rapidement à bien leurs enquêtes.
  • Produits XDR devrait orienter les efforts des analystes de sécurité en hiérarchisant les incidents de sécurité suspectés en fonction de leur impact potentiel sur l'organisation.
  • Produits XDR devrait fournir une capacité de réponse automatisée qui peut être lancée sans intervention humaine en fonction de la gravité/de l’impact d’une menace potentielle. 

En résumé, les produits NDR et EDR sont en fin de compte des éléments d'une plate-forme XDR qui permet aux analystes de sécurité de mener à bien leurs enquêtes de cybersécurité plus rapidement et plus efficacement que jamais. 

Cas d'utilisation courants du rapport de non-remise

Il doit être évident que les produits NDR visent à identifier les menaces de sécurité lorsqu'elles traversent l'infrastructure réseau d'une organisation. Cela dit, il peut être plus facile pour les décideurs en matière de sécurité de comprendre les avantages qu'offre un produit NDR en appliquant une perspective de cas d'utilisation à la discussion. La discussion suivante décrit plusieurs cas d'utilisation de sécurité courants qu'un produit NDR peut aider une équipe de sécurité à résoudre.

Mouvement latéral

Un défi courant pour une équipe de sécurité est de comprendre quand un attaquant se déplace latéralement dans son environnement. Par exemple, lorsqu'un attaquant réussit à compromettre un compte utilisateur ou un point de terminaison sans détection, l'étape logique suivante consiste pour l'attaquant à tenter d'aller plus loin dans l'environnement. Supposons qu'ils puissent passer d'un appareil à un autre en mode furtif. Dans ce cas, ils peuvent découvrir où se trouvent des informations sensibles dans l’environnement, ce qui rend leur attaque plus efficace dans le cas d’un ransomware.

En se déplaçant sur le réseau, ils pourraient également identifier une application ou un service vulnérable qui leur permettrait d’ouvrir plus tard une « porte dérobée » pour réintégrer l’environnement à volonté. De plus, pour maintenir la persistance dans un environnement, de nombreux attaquants tenteront d'élever les privilèges d'un compte utilisateur compromis vers des droits d'administrateur, leur donnant carte blanche pour apporter des modifications à l'environnement, désactivant potentiellement certaines fonctionnalités de sécurité, supprimant les journaux qui pourrait laisser un fil d’Ariane aux équipes de sécurité pour mener à bien leurs enquêtes. Grâce à un NDR qui surveille l'activité du réseau en temps réel, les équipes de sécurité peuvent identifier rapidement les activités suspectes entre les actifs du réseau et les modèles de trafic anormaux de leur réseau vers le monde extérieur. Les produits NDR mettent en corrélation cette activité anormale avec les actions des utilisateurs, ce qui peut mettre en évidence le moment où un attaquant se déplace librement sur les actifs de son réseau.

Identifiants compromis

Un autre cas d’utilisation quotidienne en matière de sécurité que les produits NDR peuvent résoudre est celui des informations d’identification compromises. Malheureusement, aujourd'hui, un attaquant peut obtenir des informations d'identification valides de plusieurs manières, depuis l'achat sur le dark web jusqu'à ce qu'un employé involontaire fournisse volontairement ses informations d'identification en réponse à un e-mail frauduleux ou via un site Web malveillant. Une fois que l’attaquant a obtenu les informations d’identification, il lui devient facile d’accéder à l’environnement. Une fois à l'intérieur de l'organisation, l'attaquant peut mener un certain nombre d'activités malveillantes, telles que le déploiement de ransomwares débilitants, la suppression de données critiques ou l'exposition d'informations confidentielles de l'entreprise au monde extérieur pour provoquer des ravages. Les produits NDR facilitent la détection des informations d'identification compromises grâce à la nature du fonctionnement d'un rapport de non-remise. Par exemple, si un employé basé en Amérique du Nord est détecté en train de se connecter depuis la Chine. Dans ce cas, le produit NDR détectera cette anomalie et générera une alerte sur laquelle un analyste de sécurité pourra enquêter rapidement. Étant donné que le produit NDR contextualisera automatiquement l'avertissement, l'analyste de sécurité peut déterminer rapidement si cette anomalie constitue une menace et lancer une réponse automatisée en quelques secondes, par exemple en restreignant l'accès de l'utilisateur à tous les environnements réseau et en forçant une réinitialisation du mot de passe. Ils pourraient également garantir que l'accès de l'utilisateur à toutes les applications et actifs réseau basés sur le cloud est désactivé via une intégration à un produit CASB.
Remonter en haut