NDR vs EDR : les principales différences
La détection et la réponse réseau (NDR) font de plus en plus partie intégrante de la panoplie d'outils de cybersécurité : elles offrent une visibilité approfondie des activités internes d'un réseau et révèlent le contenu des paquets circulant entre les appareils. La détection et la réponse aux points d'extrémité (EDR), quant à elle, se concentrent entièrement sur la découverte des processus individuels se produisant au sein de chaque terminal d'une organisation.
Bien qu'ils s'appuient sur des mécanismes similaires d'analyse des menaces et de profilage, leurs déploiements et cas d'utilisation sont très distincts. Cet article détaille ces différences et explique comment les protocoles EDR et NDR sont souvent déployés conjointement.
Solutions NDR Gartner® Magic Quadrant™
Découvrez pourquoi nous sommes le seul fournisseur placé dans le quadrant Challenger...
Découvrez la sécurité basée sur l'IA en action !
Découvrez l'IA de pointe de Stellar Cyber pour la détection instantanée des menaces...
Qu'est-ce que le NDR ?
NDR est un outil qui surveille les interactions entre les appareils sur le réseau interne d'une organisation. Il déploie des capteurs sur les réseaux de l'organisation, surveille les appareils qui interagissent avec lui et analyse les données qu'ils envoient à leurs homologues et aux serveurs externes.
Cela peut ressembler à un pare-feu : s'il analyse le trafic entrant et sortant d'un réseau (appelé trafic Nord-Sud), il n'offre aucune visibilité sur le trafic entre les périphériques internes. Les NDR permettent de surveiller le trafic interne d'un réseau (ou trafic Est-Ouest) : ils offrent une visibilité réseau d'un niveau supérieur, sans nécessiter de configuration complexe.
Les données brutes collectées par les systèmes NDR sont les suivantes :
- Paquets réseau bruts : Capturés directement à partir du trafic réseau via des ports SPAN, des TAP ou des capteurs dédiés, ces paquets offrent une visibilité complète des transactions, y compris les en-têtes de protocole et les métadonnées relatives à la charge utile.
- Enregistrements de flux : Formats de métadonnées tels que NetFlow ou IPFIX qui résument les modèles de communication, y compris les adresses IP source et de destination, les numéros de port, les protocoles et le nombre d'octets.
- Métadonnées de trafic : Dérivé de l'analyse des paquets, cela inclut la durée de la session, la fréquence de communication, les modèles de comportement des appareils et les données des protocoles de la couche application.
Toutes ces données sont ensuite intégrées au moteur d'analyse de l'outil NDR et traitées pour détecter tout signe de trafic malveillant. Pour maximiser les chances de détection des menaces, NDR utilise deux stratégies d'analyse :
Analyse de réseau basée sur la signature
Chaque point de données réseau étant assemblé dans un graphique chronologique, les activités de chaque appareil peuvent être comparées aux menaces connues. La détection basée sur les signatures consolide les comportements d'attaque spécifiques au niveau du réseau en indicateurs de compromission (IoC), stockés dans la base de données du NDR.
Une signature désigne tout attribut identifiable lié à une cyberattaque connue ; il peut s'agir d'un extrait de code d'une variante spécifique de malware ou de l'objet reconnaissable d'un e-mail de phishing. Les outils de détection basés sur les signatures analysent l'activité réseau à la recherche de ces modèles connus et déclenchent des alertes lorsqu'ils trouvent des correspondances.
La surveillance des indicateurs de compromission est intrinsèquement réactive. La détection d'un indicateur de compromission indique généralement qu'une violation a déjà eu lieu. Cependant, si l'activité malveillante est toujours en cours, la détection précoce d'un indicateur de compromission peut jouer un rôle crucial pour interrompre l'attaque, permettant ainsi un confinement plus rapide et une réduction des dommages potentiels pour l'organisation.
Analyse des réseaux comportementaux
Outre la détection basée sur les signatures, la plupart des rapports de non-remise de rapports (NDR) proposent également une analyse comportementale. Celle-ci intègre tous les points de données, mais au lieu de les comparer statiquement à une base de données de risques externe, elle les utilise pour établir une base de référence comportementale.
Cette ligne de base représente une activité normale : elle aligne les appareils et les utilisateurs sur leur fréquence de communication, leur volume de données et leur utilisation des protocoles. Une fois ces comportements attendus définis, les solutions NDR peuvent identifier efficacement les écarts susceptibles de signaler une menace potentielle. Il peut y avoir des écarts entre le comportement attendu et réel du protocole, ainsi qu'une activité applicative inhabituelle en dehors des heures de travail. NDR peut également s'intégrer à d'autres outils de sécurité afin d'obtenir une vision encore plus complète de l'activité réseau normale d'une organisation.
Collectivement, la détection des menaces basée sur le comportement et la signature permet à NDR de fournir non seulement une visibilité complète Est-Ouest, mais également une détection complète des menaces au niveau du réseau.
Qu'est-ce qu'EDR ?
- Données d'exécution du processus : Détails de tous les processus en cours d'exécution, y compris les relations parent-enfant, les arguments de ligne de commande et les horodatages d'exécution.
- Changement du système de fichiers : Créations, modifications, suppressions et vérifications d'intégrité de fichiers (y compris les hachages de fichiers et les sources de téléchargement).
- Modifications du registre : Modifications apportées aux clés de registre Windows et aux paramètres de configuration essentiels au comportement du système.
- Comptes utilisateurs : Tous les comptes utilisateurs qui se sont connectés, directement et à distance
- Configurations système : Applications installées, états de service et données de conformité à la politique de sécurité.
Tout comme les capteurs NDR, les agents EDR transmettent en continu des données brutes à une plateforme centralisée, où les modèles d'apprentissage automatique les analysent à la recherche d'anomalies telles que des chaînes de processus non autorisées, des communications réseau suspectes ou des modifications de registre associées à des techniques d'attaque connues.
EDR vs NDR : différents cas d'utilisation
Sécurité IoT
Les capteurs NDR sont souvent basés sur des ports SPAN. Ces derniers créent des copies de chaque paquet transitant par leur réseau. Ces copies sont ensuite transmises aux outils de surveillance du NDR : ce processus de copie des informations sur les paquets, plutôt que de transmission de tous les paquets d'origine au moteur d'analyse, évite toute perturbation du réseau hôte.
Outre la protection des réseaux sensibles, cette configuration permet de suivre et de sécuriser les activités réseau des objets connectés (IoT). Les objets connectés sont souvent trop légers et trop nombreux pour être équipés d'agents, ce qui en fait une menace de sécurité désormais reconnue. Mots de passe faibles, paramètres par défaut défaillants et manque cruel d'options de gestion des appareils rendent la sécurité des objets connectés extrêmement difficile. Cependant, grâce à l'enregistrement de toutes les communications réseau par les outils NDR, le comportement est-ouest de l'IoT peut être surveillé. De plus, le trafic suspect entre les objets connectés et leur réseau peut être associé à des menaces connues, ce qui accélère considérablement le temps moyen de réponse.
Protection des employés à distance
L'EDR offre des capacités de surveillance continue, de détection des menaces et de réponse automatisée directement au niveau du terminal. Ceci est particulièrement important car les terminaux distants ne peuvent pas toujours être limités à des réseaux et périphériques spécifiques. Sans cette protection, les employés hybrides risquent de devenir des vecteurs d'infection lorsqu'ils reconnectent des appareils distants aux réseaux de l'organisation.
De plus, lorsqu'un événement de sécurité est détecté sur un appareil distant, EDR peut déclencher le plan de réponse en fonction des facteurs environnants. Par exemple, si un ensemble d'indicateurs de compromission (IoC) indiquant un rançongiciel est détecté, il peut isoler les appareils affectés avant leur propagation.
Détection de mouvement latéral
NDR vs EDR : les différences en un coup d'œil
|
Fonctionnalité / Capacité |
NDR |
EDR |
| Secteur d'intérêt |
Surveille le trafic réseau et les communications. |
Surveille les périphériques terminaux individuels (par exemple, les ordinateurs portables, les serveurs). |
| Les sources de données | Paquets réseau, enregistrements de flux (NetFlow/IPFIX), métadonnées. | Journaux système, activité des fichiers, comportement des processus, modifications du registre. |
| Lunette de visibilité | Visibilité étendue à l’échelle du réseau. | Visibilité approfondie au niveau de l'appareil. |
| Méthodes de détection des menaces | Détection d'anomalies, analyse comportementale, inspection du trafic crypté. | Analyse de fichiers, surveillance du comportement, détection basée sur les signatures. |
| Cas d'usage | Mouvement latéral, trafic de commandement et de contrôle, exfiltration de données. | Infections par logiciels malveillants, menaces internes, tentatives d'exploitation. |
| Capacités de réponse | Alertes et intégrations avec SIEM/SOAR; remédiation directe limitée. | Confinement automatisé des menaces (par exemple, arrêt du processus, isolation du périphérique). |
| Scénario de déploiement | Réseaux d’entreprise avec de nombreux appareils connectés. | Effectifs distants, environnements BYOD, terminaux à haut risque. |
| Exigences de déploiement | Généralement sans agent ; utilise des capteurs réseau tels que des robinets et des ports SPAN. | Nécessite des agents installés sur chaque périphérique de point de terminaison surveillé. |
Intégrer EDR avec NDR via Stellar Cyber
Étant donné l'excellente synergie entre les deux outils, ils sont souvent déployés conjointement. Cela renforce l'importance de l'intégration de chaque outil, car les renseignements obtenus de chacun peuvent accélérer considérablement le MTTR. Stellar Cyber incarne cette capacité conjointe grâce à son OuvrezXDR produit – s'intégrant à n'importe quel EDR, il effectue une inspection approfondie des paquets (DPI) ainsi qu'un sandboxing contre les logiciels malveillants pour une détection et une prévention des logiciels malveillants toujours actives et de jour zéro.
OuvrezXDR Stellar met en corrélation les alertes réseau avec celles générées par les outils de sécurité internes de l'organisation afin de les transformer en incidents accessibles. Au lieu de surcharger le travail des analystes d'alertes interminables, Stellar les trie et les filtre proactivement pour identifier les actions immédiates à entreprendre. Découvrez comment OpenXDR peut redonner des capacités de réponse proactive à votre équipe de sécurité avec une démo aujourd'hui.
