Détection Et Réponse Des Menaces Gérées

Dernièrement, nous ne pouvons nous empêcher de remarquer un cycle sans fin où plus d’entreprises investissent dans la prévention des menaces; plus les pirates s’adaptent et continuent de pénétrer les entreprises.

Pour aggraver les choses, la détection de ces pénétrations prend encore trop de temps avec un temps de séjour moyen qui dépasse 100 (!) Jours.

Pour protéger l’entreprise, l’informatique doit trouver un moyen de briser ce cycle sans fin sans acheter d’outils de sécurité et d’analyse de données complexes et sans embaucher les bons professionnels de la sécurité (qualifiés et coûteux) pour les faire fonctionner.

Entrez MDR

Un service de sécurité avancé, Managed Detection and Response (MDR), fournit une détection et une réponse des menaces 24h / 24 et 7j / 7, tirant parti de l’IA et de l’apprentissage automatique pour enquêter, alerter et contenir les menaces.

Publicité

Le MDR devient populaire et gagne du terrain. En fait, Gartner prévoit que d’ici 2024, 25% des organisations utiliseront les services MDR, contre moins de 5% aujourd’hui. Et d’ici 2024, 40% des entreprises de taille moyenne utiliseront MDR comme seul service de sécurité géré (source: Gartner’s Market Guide for Managed Detection and Response Services Publié le 15 juillet 2019 – ID G00367208).

Le MDR est l’espoir de l’industrie de briser le cycle de l’ajout de plus en plus d’outils de prévention des menaces, car les pirates informatiques augmentent constamment leurs capacités d’attaque. Pourtant, pour gagner en visibilité sur tout le trafic réseau – essentiel pour une détection et une réponse efficaces – les services MDR traditionnels nécessitent l’installation de logiciels et de matériel dédiés sur le réseau d’une entreprise.

Ce modèle de déploiement est coûteux et complexe, ce qui oblige de nombreuses entreprises à différer la mise en œuvre des services MDR tout en mettant leur réseau en danger.

Houston, nous avons un triple problème

1 – Chaque entreprise est une cible pour les pirates, quelle que soit sa taille ou son type d’entreprise. Selon le rapport d’enquête sur les violations de données (DBIR) de Verizon 2019, 43% des infractions impliquaient des petites entreprises victimes; 10% étaient des violations du secteur financier et 15% étaient des violations impliquant des organismes de santé.

2 – En plus de cela, les entreprises doivent toujours assumer le pire, comme l’indique clairement Gartner, « L’hypothèse doit être que l’organisation sera compromise, que la capacité du pirate à pénétrer les systèmes n’est jamais complètement contrée. La surveillance continue des systèmes et du comportement est la seul moyen de détecter de manière fiable les menaces avant qu’il ne soit trop tard. « 

3 – En conséquence, les entreprises doivent constamment garder la garde, ce qui représente un énorme défi pour l’informatique en termes de ressources et de compétences internes. En outre, selon le DBIR, « 56% des violations ont mis des mois ou plus à se découvrir », ce qui pendant ce temps prolongé, le malware se propage, se propage dans toute l’entreprise et lorsqu’il est activé, les dommages causés sont multipliés.

En bref, si toutes les entreprises sont des cibles et doivent toujours supposer qu’elles sont attaquées, le service informatique doit être à l’affût 24h / 24 et 7j / 7. Hmmm, est-ce que cela semble impossible pour quelqu’un d’autre?

D’accord, nous avons eu un problème – rencontrez Cato MDR

Cato MDR est intégré à la plateforme SASE de Cato, surmontant les complications du MDR traditionnel. Cato vise à briser le cycle sans fin des menaces croissantes et des pirates qui se cachent. Comment? En permettant aux clients qui utilisent Cato Cloud, de décharger le processus gourmand en ressources et dépendant des compétences de détection des points de terminaison compromis, vers son équipe SOC. L’équipe a une visibilité claire et instantanée sur tout le trafic, et il n’est pas nécessaire que les clients déploient des sondes réseau ou des agents logiciels supplémentaires.

Cato collecte, indexe et stocke automatiquement les métadonnées de chaque flux de trafic WAN et Internet traversant le cloud Cato. Les algorithmes d’agrégation de données et d’apprentissage automatique exploitent le contexte réseau complet de l’énorme entrepôt de données de Cato, détectant tous les indicateurs de logiciels malveillants sur les réseaux des clients. L’équipe SOC de Cato évalue les failles de trafic et alerte les clients sur toute menace active.

Un aperçu des coulisses

Cato affirme que son service MDR garde la garde des clients et que le temps de séjour passe de quelques mois à seulement 1-2 jours. Nous devions regarder de plus près pour comprendre si et comment cela était possible. Voici ce que nous avons trouvé.

Le service MDR de Cato offre ces fonctionnalités clés:

  • Collecte de données sans empreinte: Cato peut accéder à toutes les informations pertinentes pour l’analyse des menaces, car il sert déjà de plate-forme réseau du client (rappelez-vous, Cato MDR est intégré à la plate-forme SASE de Cato). Cela élimine le besoin de toute autre installation, et tout ce qui reste aux clients est de s’abonner au service.
  • Chasse automatisée aux menaces: Cato utilise des algorithmes de Big Data et d’apprentissage automatique pour exploiter le réseau à la recherche de flux suspects, qui sont basés sur les nombreux attributs de flux disponibles pour Cato. Il s’agit notamment de l’identification précise des applications client, de la géolocalisation, de l’évaluation des risques de la destination en fonction de l’IP, de la catégorie d’URL, de la structure du nom de l’URL, de la fréquence d’accès, etc.
  • Vérification humaine: L’équipe SOC de Cato inspecte quotidiennement les flux suspects, clôturant l’enquête sur le trafic bénin.
  • Confinement des menaces au niveau du réseau: Cato alerte les clients en cas de menace vérifiée et, sur la base d’une politique prédéfinie, appliquera une limitation des menaces au niveau du réseau en bloquant le trafic réseau.
  • Assainissement guidé: Cato fournit le contexte des menaces pour une référence supplémentaire de l’informatique et recommande les mesures à prendre pour la correction.

Capacités supplémentaires intéressantes

Approche multidimensionnelle:
Cato a une visibilité complète sur tout le trafic réseau. À partir de chaque flux réseau passant par son service MDR, Cato extrait et collecte des métadonnées sur les éléments suivants:

  • La source – Cato fait la distinction entre le trafic humain et non humain, le type de client, les données du système d’exploitation,
  • et plus.
  • Destination – Cato voit la popularité, la catégorie et la réputation.
  • Comportement – Cato connaît les modèles de trafic, tels que la fréquence et le volume des données.

Cato stocke ensuite toutes ces métadonnées dans son référentiel de Big Data.

L'approche Multidimensionnelle Unique De Cato
L’approche multidimensionnelle unique de Cato

Chasse aux menaces:

Nous avons zoomé sur la technologie de chasse aux menaces de Cato et avons appris que Cato réduit une quantité quotidienne de millions de flux à seulement 10-20 flux, qui doivent en fait être étudiés par son équipe SOC. L’équipe examine ensuite la liste et s’assure que les clients ne sont informés que des menaces confirmées qui nécessitent une attention. Cela élimine ce que nous redoutons tous – les faux positifs.

Chasse Aux Menaces - De Millions D'événements À Un Élément Significatif Et Exploitable
Chasse aux menaces – de millions d’événements à un élément significatif et exploitable

Procédure pas à pas de service

Le portail Cato MDR est l’endroit où les clients gèrent toutes les demandes et activités. Le portail comprend un système de billetterie en ligne, à travers lequel toutes les menaces sont signalées et leur état de correction est suivi. Nous avons trouvé que le portail était intuitif et explicite; nous sommes heureux de vous guider à travers une procédure pas à pas:

Une fois connecté au portail, vous pourrez voir le statut détaillé des activités de votre entreprise.

Voir Toutes Les Activités Et Demandes De L'entreprise
Voir toutes les activités et demandes de l’entreprise

Pour chaque catégorie de demande, vous pouvez voir un résumé de tous les tickets actifs qui incluent: le numéro d’identification d’une demande spécifique, le nom du demandeur, l’heure de la dernière activité effectuée sur la demande et le statut du ticket.

En cliquant sur l’une des demandes, nous avons pu approfondir ses spécificités. Chaque incident de menace comprend les informations détaillées suivantes:

  • Nom et IP du site sur lequel une menace a été découverte.
  • Type et nom de la menace.
  • Niveau de risque d’un type de menace spécifique.
  • Adresse IP interne / externe qui est la cible d’une attaque.
  • Nom de domaine qui fait référence à l’adresse IP d’un serveur.
  • Numéro de port de destination d’un canal de communication.
  • Référence et lien vers la découverte d’événements de Caton (Instant Insight).
  • Mesures prises par l’équipe SOC de Cato.
  • Référence supplémentaire à une menace ou une attaque spécifique.
  • Action recommandée aux clients pour supprimer une menace.
Explorer En Profondeur N'importe Quelle Demande
Explorer en profondeur n’importe quelle demande

Cato MDR génère des rapports mensuels qui répertorient toutes les enquêtes précédentes et en cours et incluent une section de résumé exécutif, que nous avons trouvée particulièrement bénéfique pour un partage facile avec les pairs et les gestionnaires concernés.

Rapports D'audit Mensuels De Tous Les Événements
Rapports D'audit Mensuels De Tous Les Événements

Rapports d’audit mensuels de tous les événements

Emballer

Cato MDR nous a séduits – et) avec ses capacités sophistiquées d’une part, et son portail facile à utiliser d’autre part. Mais surtout, nous avons été impressionnés par la paix et la tranquillité qu’il procure aux entreprises et à leurs équipes informatiques.

Clients – plus avec ses capacités sophistiquées d’une part, et son portail facile à utiliser d’autre part. Mais surtout, nous avons été impressionnés par la paix et la tranquillité qu’il procure aux entreprises et à leurs équipes informatiques.

Cato prend en charge les quatre étapes d’une architecture de sécurité adaptative de Gartner. La pile de sécurité intégrée de Cato aborde les étapes de prédiction et de prévention, et Cato MDR conclut avec les étapes restantes de détection et de réponse.

Cato Cloud
Cato MDR ajoute la détection et la réponse à la prédiction et à la prévention déjà fournies par Cato Cloud

Big LIKE Cato Networks!


Rate this post
Publicité
Article précédentLa plupart des technologies nécessaires pour atteindre zéro net ne sont pas encore matures
Article suivantTour d’horizon des technologies de recyclage des plastiques: 6 juillet 2020
Avatar De Violette Laurent
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici