Qu'est-ce que le NDR ?
Aujourd'hui détection et réponse du réseau (NDR) a une longue histoire, évoluant à partir de la sécurité du réseau et analyse du trafic réseau (NTA). La définition historique de la sécurité réseau consiste à utiliser un pare-feu de périmètre et des systèmes de prévention des intrusions pour filtrer le trafic entrant sur le réseau, mais à mesure que les technologies de l'information et de la sécurité ont évolué, la définition est maintenant beaucoup plus large en raison des attaques modernes exploitant des approches plus complexes.
Aujourd'hui, la sécurité des réseaux est tout ce qu'une entreprise fait pour assurer la sécurité de ses réseaux, et de tout ce qui y est connecté. Cela inclut le réseau, le cloud (ou les clouds), les terminaux, les serveurs, l'IoT, les utilisateurs et les applications. Sécurité Internet Les produits cherchent à utiliser des mesures préventives physiques et virtuelles pour protéger le réseau et ses actifs contre l'accès non autorisé, la modification, la destruction et l'utilisation abusive.
Pourquoi le NDR est-il important ?
NDR est important car le réseau est l'épine dorsale de l'infrastructure informatique, et chaque utilisateur et appareil y est connecté. C'est la seule source de vérité si vous pouvez voir le trafic de manière significative. Le trafic de tous vos systèmes, y compris les points de terminaison, les serveurs, les applications et Internet, doit passer par le réseau, de sorte que le réseau est la source logique d'informations réelles sur les exploits de sécurité, et NDR est l'outil qui capture cette information.
Il existe de nombreux outils de sécurité qui couvrent les terminaux, les applications telles que la messagerie électronique et les serveurs, mais l'analyse des données et des journaux de ces outils ne suffit pas pour contrecarrer les attaques d'aujourd'hui. S'il y a une chose importante à savoir sur le réseau, c'est qu'il ne ment pas. C'est pourquoi NDR complète le parcours d'une organisation vers Tout Détection et Réponse (c'est à dire, XDR) aux côtés de la détection et de la réponse des points de terminaison (c'est-à-dire EDR) pour les données de point de terminaison et SIEM pour les journaux des outils de sécurité. Spécifiquement, NDR voit ce que les points de terminaison et les autres journaux ne voient pas (l'ensemble du réseau ; appareils, applications SaaS, comportement des utilisateurs), agit comme le véritable ensemble de données et permet des réponses en temps réel.
Comment fonctionne le NDR ?
NDR les solutions utilisent des techniques sans signature (par exemple, machine learning ou d'autres techniques analytiques) pour les attaques inconnues ainsi que des techniques basées sur des signatures de qualité (par exemple, des informations sur les menaces fusionnées en ligne pour les alertes) pour les attaques connues afin de détecter le trafic ou les activités suspectes. NDR peut ingérer des données à partir de capteur, pare-feu existants, IPS/IDS, métadonnées de NetFlow, ou toute autre source de données réseau, en supposant un placement stratégique de capteurs et/ou d'autres télémétries réseau. Le trafic nord/sud et le trafic est/ouest doivent être surveillés ainsi que le trafic dans les environnements physiques et virtuels. Toutes les données sont collectées et agrégées dans un lac de données central, enrichi de contextes tels que Renseignement sur les menaces, nom d'hôte et/ou informations d'utilisateur, puis traitées par un moteur d'IA pour détecter les schémas de trafic suspects et déclencher des alertes.
Une fois les alertes déclenchées, l'analyste ou NDR la solution doit répondre. La réponse est la contrepartie critique des détections et est fondamentale pour NDR. Réponses automatiques telles que l'envoi de commandes à un pare-feu pour abandonner le trafic suspect ou vers un EDR outil pour mettre en quarantaine un point de terminaison affecté, ou des réponses manuelles telles que la fourniture d'outils de recherche de menaces ou d'enquête sur les incidents sont des éléments communs de NDR.
Comment intégrez-vous NDR avec d'autres outils de sécurité ?
Les outils NDR s'intègrent à d'autres outils de sécurité via des interfaces de programmation d'applications (API) fournies par le NDR vendeur. Bien sûr, si vous utilisez Stellar Cyber's Open XDR , NDR y est déjà intégré, ainsi qu'une nouvelle génération SIEM et le renseignement sur les menaces.
