Détection et réponse du réseau (NDR) a une longue histoire, évoluant à partir de la sécurité du réseau et analyse du trafic réseau (NTA). La définition historique de la sécurité réseau consiste à utiliser un pare-feu de périmètre et Système de prévention des intrusions (IPS) pour filtrer le trafic entrant dans le réseau, mais comme Technologie informatique et technologie de sécurité ont évolué en raison des attaques modernes exploitant des approches plus complexes, la définition est maintenant beaucoup plus large.
Aujourd'hui, la sécurité du réseau est tout ce qu'une entreprise fait pour assurer la sécurité de ses réseaux, et tout ce qui y est lié. Cela inclut le réseau, le cloud (ou les clouds), les terminaux, les serveurs, les utilisateurs et les applications. Le trafic de tous ces systèmes doit passer par le réseau, de sorte que le réseau est la source logique d'informations réelles sur les failles de sécurité.
L'analyse des données des terminaux et des journaux des outils de sécurité ne suffit pas pour contrecarrer les attaques d'aujourd'hui. S'il y a une chose importante à savoir sur le réseau, c'est qu'il ne ment pas. C'est pourquoi Détection et réponse du réseau complète le parcours de détection et de réponse aux attaques d'une organisation pour XDR / Open XDR aux côtés de EDR pour point final données et SIEM pour les journaux des outils de sécurité. Spécifiquement, NDR voit ce que les points de terminaison et autres journaux ne voient pas (l'ensemble du réseau ; appareils, applications SaaS, comportement des utilisateurs), agit comme le véritable ensemble de données et permet une réponse en temps réel.
Alors que Zero Trust continue d'être adopté, le réseau subira différentes segmentations améliorant les fondamentaux de la sécurité. Comme pour tout système complexe, un "faire confiance mais vérifier" approche doit être adoptée. Détection et réponse du réseau complète parfaitement Zero Trust comme son homologue de vérification. Détection et réponse du réseau permet aux organisations d'adopter le Zero Trust en toute confiance et de vérifier son application.
Comment fonctionne le NDR ?
NDR les solutions utilisent des techniques sans signature (par exemple, machine learning ou d'autres techniques analytiques) pour les attaques inconnues ainsi que des techniques basées sur des signatures de qualité (par exemple, des informations sur les menaces fusionnées en ligne pour les alertes) pour les attaques connues afin de détecter le trafic ou les activités suspectes. Détection et réponse du réseau peut ingérer des données à partir de capteurs dédiés, de pare-feu existants, IPS / IDS, des métadonnées comme NetFlow, ou toute autre source de données réseau, en supposant un placement stratégique de capteurs et/ou d'autres télémétries réseau. Le trafic nord/sud et le trafic est/ouest doivent être surveillés et le trafic dans les environnements physiques et virtuels doit être surveillé. Toutes les données sont collectées et stockées dans un lac de données centralisé avec un Moteur AI pour détecter les schémas de trafic suspects et déclencher des alertes.
La réponse est la contrepartie essentielle des détections pour permettre une approche réseau performante des opérations de sécurité, et est fondamentale pour NDR. Les réponses automatiques telles que l'envoi de commandes à un pare-feu afin de supprimer le trafic suspect ou à un outil EDR afin de mettre en quarantaine un point de terminaison affecté, ou des réponses manuelles telles que la fourniture d'outils de recherche de menaces ou d'enquête sur les incidents sont des éléments courants de Détection et réponse du réseau.
Détection et réponse du réseau est un élément essentiel de toute infrastructure de cybersécurité moderne. Il vous permet de « voir l'intégralité de l'éléphant » – l'ensemble du réseau – plutôt que d'afficher uniquement certains points de terminaison, utilisateurs ou appareils qui y sont liés.
