Qu’est-ce qu’un service NDR (Network Detection and Response) ? 

Sophos Network Detection and Response Qu’est-ce qu’un service MDR ?

Votre entreprise a tout intérêt à mettre en œuvre une solution NDR (Network Detection and Response) pour surveiller son trafic réseau. Cet outil identifiera les cybermenaces et les comportements anormaux sur votre réseau, vous informera des attaques réseau et pourra y répondre pour vous. De plus, une solution NDR vous fournira des informations sur la sécurité réseau que vous pourrez utiliser pour faire renforcer votre protection réseau et votre posture de sécurité globale.

À propos des solutions NDR

Selon Gartner, les solutions NDR font référence aux produits qui appliquent l’analyse comportementale aux données de trafic réseau pour identifier les comportements anormaux se produisant sur le réseau. Ces outils analysent les paquets réseau ou les métadonnées du trafic entre les réseaux internes (est-ouest) et les réseaux publics (nord-sud). Ils peuvent être fournis par le biais d’appliances logicielles, et matérielles, de logiciels sur site ou de SaaS.

Les solutions NDR utilisent l’intelligence artificielle (IA), le Machine Learning (ML) et l’analyse de données pour évaluer le comportement du réseau et construire des modèles basés sur celui-ci. Ils détectent les menaces réseau, informent les utilisateurs dès qu’ils sont découverts et y répondent en conséquence.

Pourquoi les solutions NDR sont-elles si importantes ?

Les cybercriminels parviennent parfois à contourner les solutions EDR (Endpoint Detection and Response) et de nombreux autres outils et technologies de sécurité. Certains arrivent même à désactiver et à supprimer les journaux système. Cependant, aucun cybercriminel ne peut se cacher dans un réseau. C’est la raison pour laquelle les solutions NDR sont essentielles.

Avec une solution NDR, vous pouvez détecter les activités malveillantes sur votre réseau qui peuvent passer sous les radars des autres technologies de sécurité. Votre solution NDR peut détecter les flux de trafic anormaux au sein de votre réseau. Cela vous aide à sécuriser le périmètre de votre réseau et à garder le contrôle sur tout ce qui entre et sort de celui-ci.

Comment fonctionne une solution NDR ?

Une solution NDR utilise le Machine Learning et d’autres techniques d’analyse non basées sur les signatures pour identifier les activités réseau suspectes. Elle surveille et analyse le trafic réseau et utilise ces informations pour établir une base de référence des comportements normaux sur le réseau. En cas d’écart par rapport à cette base de références, la solution avertit les utilisateurs de la présence d’une menace potentielle sur le réseau.

En outre, une solution NDR vous donne des informations au-delà de celles fournies par une solution de pare-feu. Elle identifie également les activités suspectes qui se déplacent sur le réseau et qu’un pare-feu ou une solution de sécurité Endpoint ne parvient pas à détecter.

Menaces repérées par les solutions NDR

  • Appareils connectés (IoT) et technologies opérationnelles (OT) non gérées
  • Systèmes réseau inconnus ou non identifiés
  • Menaces internes
  • Mouvements latéraux
  • Activités de types C2 (Command-and-Control)
  • Modèles et flux de trafic de réseaux malveillants
  • Malwares
  • Ransomware
  • Attaques par force brute
  • Ingénierie sociale
  • Vols et manipulations de données
  • Comportements à risque (tels que l’accès à distance aux terminaux, partage de comptes utilisateur, etc.)

Principales fonctionnalités NDR

  • Détection des incidents : identifie les anomalies et les modèles dans le trafic réseau afin de détecter les incidents de sécurité avant qu’ils ne dégénèrent.
  • Investigation sur les menaces : suit les modèles et flux de trafic de réseau et transmet ces informations aux analystes de sécurité, afin qu’ils les utilisent dans le cadre d’investigation sur les incidents.
  • Renseignements sur les menaces : collecte et analyse les données sur les menaces internes et externes à votre entreprise et vous permet de partager ces renseignements sur les menaces avec d’autres produits de sécurité, afin que vous tiriez le meilleur parti de ces produits.
  • Alertes de sécurité : fournit des alertes de sécurité donnant un aperçu de la posture de sécurité de votre entreprise et des cybermenaces auxquelles elle fait face. 
  • Prévention des menaces : fonctionne avec votre pare-feu et d’autres outils et technologies de sécurité pour bloquer tout trafic réseau suspect qui pourrait entraîner des violations de données. 

Avantages des solutions NDR

Visibilité complète du réseau

Une solution NDR vous permet de voir toute l’activité de votre réseau. Si un cybercriminel parvient à lancer une attaque sur votre réseau, vous serez en mesure de retracer exactement ce qui s’est passé. Ces informations vous permettent de comprendre les tactiques, techniques et procédures (TTP) utilisées par les cybercriminels et de mettre en place les mesures nécessaires pour vous en prémunir.

Réponse aux menaces et résolutions rapides

Avec une solution NDR, vous pouvez détecter les attaques réseau à un stade précoce. En effet, les outils NDR vous donnent un aperçu d’une attaque dès qu’elle commence. Vous pouvez ensuite neutraliser l’attaque avant qu’elle ne porte préjudice à votre organisation, à ses employés et à ses clients.

Analyse infaillible

En général, une solution NDR analyse les paquets réseau pour évaluer les comportements des utilisateurs et des appareils et identifier les attaques. La solution établit le profil des comportements sur le réseau dans toutes les entités, établit une base de référence à partir de ces informations puis détecte les comportements anormaux pouvant être le signe d’une attaque. Comme la solution utilise des données réseau qui ne peuvent pas être falsifiées ou supprimées, elle constitue une source infaillible unique pour tous les comportements sur le réseau. 

Gain de temps et de coûts

Vous n’aurez probablement pas besoin de dépenser beaucoup de temps ou d’argent pour configurer les journaux d’une solution NDR ou pour normaliser ses formats de journaux. La plupart des solutions NDR peuvent accéder aux paquets réseau et analyser et stocker les données réseau immédiatement. Elles peuvent également extraire et stocker les métadonnées comportementales nécessaires pour établir avec précision le profil des comportements sur le réseau et détecter les attaques.

Déploiement Cloud transparent

De nombreuses solutions NDR sont basées dans le Cloud. Cela signifie que vous n’aurez pas à déployer de serveurs de journaux pour collecter et analyser les données de votre réseau. Vous pouvez même collecter des journaux réseau à partir de vos pare-feux et autres produits de sécurité réseau et éviter d’avoir à investir et à configurer des capteurs réseau.

Les défis des solutions NDR

  • Évolution du paysage des cybermenaces : les cybercriminels développent constamment de nouvelles TTP pour infiltrer les réseaux.
  • Surface d’attaques de plus en plus large : l’expansion rapide de l’environnement numérique augmente la surface d’attaque des entreprises, multipliant les possibilités d’attaque des réseaux par les cybercriminels.
  • Pénurie d’experts : la pénurie de professionnels qualifiés en matière de cybersécurité peut compliquer la mise en œuvre et la gestion des solutions NDR.
  • Restrictions budgétaires : de nombreuses entreprises manquent de temps et de ressources pour intégrer ce type de solutions dans leurs activités quotidiennes.    

NDR vs EDR

Tandis qu’une solution NDR va surveiller le trafic de votre réseau, une solution EDR recherchera les activités suspectes sur vos ordinateurs, appareils mobiles, serveurs et autres terminaux. Lorsqu’une solution EDR identifie une activité suspecte sur un terminal, elle en informe les utilisateurs. En outre, une solution EDR peut répondre à ce type d’attaques et fournir des analyses qui permettent d’optimiser la protection Endpoint. 

NDR vs MDR

Une solution NDR (Network Detection and Response) est un sous-ensemble d’un service MDR (Managed Detection and Response) qui vous permet de confier vos capacités de détection et de réponse aux menaces à un fournisseur de services MDR (MSSP). Avec une solution MDR, le MSSP recherche, surveille et réagit aux cybermenaces sur l’ensemble de votre infrastructure informatique. Ce partenaire peut traiter les menaces seul ou travailler avec vous pour résoudre de tels problèmes chaque fois qu’ils surviennent.

NDR vs XDR

Une solution XDR (Extended Detection and Response) permet de bénéficier d’une visibilité sur votre réseau, vos terminaux et vos données Cloud. Parallèlement, la solution peut détecter et corriger automatiquement les attaques sur l’ensemble de votre infrastructure informatique. Elle offre également des analyses pour vous aider à vous tenir au fait des menaces actuelles et émergentes.

À quoi reconnait-on une solution NDR fiable ?

Visibilité contextuelle

Si votre solution NDR offre une visibilité contextuelle, vous serez en mesure d’examiner facilement l’ensemble de votre activité réseau au même endroit. Vous pourrez ainsi savoir quels utilisateurs sont connectés à votre réseau, avec quels appareils ils interagissent, d’où ils accèdent à votre réseau et quelles données sont partagées. Cela vous aidera à détecter les menaces, à trouver leur source, à déterminer quels utilisateurs ont été compromis, et plus encore.

Détection des menaces non basée sur les signatures

Votre solution NDR doit être capable d’utiliser le Machine Learning, la modélisation comportementale et d’autres techniques d’analyse non basées sur les signatures pour créer une ligne de base de l’activité normale du réseau. Elle peut ensuite identifier les menaces et signaler tout écart par rapport aux valeurs de référence du trafic de votre réseau. Cela permet d’être rapidement informé en cas de tentative d’accès à votre réseau à l’aide d’informations d’identification d’employés volées, d’exfiltration des données de votre réseau et autres incidents liés à la sécurité.

Identification des menaces et alertes

Vous pouvez opter pour une solution NDR qui identifie les accès à distance inhabituels à votre réseau, l’utilisation de ports ou de protocoles restreints et d’autres menaces potentielles. La solution fournit également des alertes « haute fidélité » et les hiérarchise en fonction de leur gravité. Outre ces éléments, la solution peut répondre automatiquement aux menaces en votre nom.

Moteurs de détection des menaces

Les meilleures solutions NDR intègrent un moteur de requêtes et un modèle de prédiction basé sur le deep learning pour analyser le trafic chiffré et identifier des modèles de comportements dans des flux de réseaux non apparentés. ElIe utilise des indicateurs de compromission connus (IOC) pour identifier les acteurs malveillants et les tactiques, techniques et procédures malintentionnées dans le trafic réseau chiffré et non chiffré. Elles détectent également les serveurs C2 Zero-day et les nouvelles variantes de familles de malwares et peuvent envoyer des alertes en fonction de facteurs de risque liés à la session.

Gestion et rapports simples

Toute solution NDR digne de ce nom est dotée d’un tableau de bord unique pour la gestion et le reporting. Ce tableau de bord doit vous permettre d’afficher plusieurs produits de sécurité à la fois. Il doit aussi permettre de partager des informations entre vos produits de sécurité et de répondre automatiquement aux incidents de sécurité.

Vous voulez en savoir plus ? Contactez un expert Sophos NDR dès aujourd’hui.

Contactez-nous

Sujet connexe : Qu’est-ce qu’un fournisseur de services de sécurité managés (MSSP) ?

Plus d’actualités sur la cybersécurité