Aujourd’hui, la plupart des solutions de détection et de réponse réseau (NDR) reposent sur la mise en miroir du trafic et l’inspection approfondie des paquets (DPI). La mise en miroir du trafic est généralement déployée sur un commutateur monocœur pour fournir une copie du trafic réseau à un capteur qui utilise DPI pour analyser en profondeur la charge utile. Bien que cette approche fournisse une analyse détaillée, elle nécessite une grande puissance de traitement et est aveugle en ce qui concerne le trafic réseau chiffré. L’analyse des métadonnées a été spécifiquement développée pour surmonter ces limitations. En utilisant les métadonnées pour l’analyse, les communications réseau peuvent être observées à n’importe quel point de collecte et être enrichies par les informations fournissant des informations sur la communication cryptée.
Les solutions de détection et de réponse réseau (NDR) sont devenues cruciales pour surveiller et protéger de manière fiable les opérations réseau. Cependant, à mesure que le trafic réseau devient crypté et que les volumes de données continuent d’augmenter, la plupart des solutions NDR traditionnelles atteignent leurs limites. Cela soulève la question suivante : quelles technologies de détection les organisations doivent-elles utiliser pour assurer la sécurité maximale de leurs systèmes ?
Cet article mettra en lumière le concept d’inspection approfondie des paquets (DPI) et d’analyse des métadonnées. Nous comparerons les deux technologies de détection et examinerons comment les solutions modernes de détection et de réponse réseau (NDR) peuvent protéger efficacement les réseaux IT/OT contre les cybermenaces avancées.
Qu’est-ce que l’inspection approfondie des paquets (DPI) et comment fonctionne-t-elle ?
DPI est un moyen de surveillance du trafic réseau utilisé pour inspecter les paquets réseau circulant sur un point de connexion ou un commutateur spécifique. En DPI, l’ensemble du trafic est généralement mis en miroir par un commutateur central vers un capteur DPI. Le capteur DPI examine ensuite à la fois l’en-tête et la section de données du paquet. Si la section de données n’est pas cryptée, les données DPI sont riches en informations et permettent une analyse robuste des points de connexion surveillés. Les solutions NDR traditionnelles reposent sur des technologies basées sur DPI, qui sont très populaires à ce jour. Cependant, face à l’expansion rapide des surfaces d’attaque et à l’évolution des environnements informatiques, les limites du DPI sont devenues de plus en plus courantes.
Pourquoi le DPI n’est-il pas suffisant pour détecter les cyberattaques avancées ?
Les organisations utilisent de plus en plus le cryptage pour protéger leur trafic réseau et leurs interactions en ligne. Bien que le cryptage apporte d’énormes avantages à la confidentialité et à la cybersécurité en ligne, il offre également aux cybercriminels une opportunité appropriée de se cacher dans l’obscurité lorsqu’ils lancent des cyberattaques dévastatrices. Comme DPI n’a pas été conçu pour l’analyse du trafic crypté, il est devenu aveugle à l’inspection des charges utiles de paquets cryptés. Il s’agit d’un manque à gagner important pour le DPI, car la plupart des cyberattaques modernes, telles que l’APT, les rançongiciels et les mouvements latéraux, utilisent fortement le cryptage dans leur routine d’attaque pour recevoir des instructions d’attaque des serveurs de commande et de contrôle (C&C) distants dispersés dans le cyberespace. En plus des capacités de cryptage absentes, DPI nécessite de grandes quantités de puissance de traitement et de temps afin d’inspecter minutieusement la section de données de chaque paquet. Par conséquent, DPI ne peut pas analyser tous les paquets réseau dans les réseaux à forte densité de données, ce qui en fait une solution irréalisable pour les réseaux à large bande passante.
La nouvelle approche : analyse des métadonnées
L’analyse des métadonnées a été développée pour surmonter les limites du DPI. En utilisant les métadonnées pour l’analyse du réseau, les équipes de sécurité peuvent surveiller toutes les communications réseau passant par des réseaux physiques, virtualisés ou cloud sans inspecter l’intégralité de la section de données de chaque paquet. Par conséquent, l’analyse des métadonnées n’est pas affectée par le cryptage et peut gérer un trafic réseau en constante augmentation. Afin de fournir aux équipes de sécurité des informations en temps réel sur tout le trafic réseau, l’analyse des métadonnées capture de vastes gammes d’attributs sur les communications réseau, les applications et les acteurs (par exemple, les connexions des utilisateurs). Par exemple, pour chaque session passant par le réseau, l’adresse IP source/destination, la durée de la session, le protocole utilisé (TCP, UDP) et le type de services utilisés sont enregistrés. Les métadonnées peuvent capturer de nombreux autres attributs clés, qui aident efficacement à détecter et à prévenir les cyberattaques avancées :
- Adresse IP de l’hôte et du serveur, numéro de port, informations de géolocalisation
- Mappage des informations DNS et DHCP des périphériques aux adresses IP
- Accès aux pages Web, ainsi que l’URL et les informations d’en-tête
- Mappage des utilisateurs aux systèmes à l’aide des données de journal DC
- Pages Web cryptées – type de cryptage, chiffrement et hachage, FQDN client/serveur
- Différents hachages d’objets – tels que JavaScript et les images
Comment les équipes de sécurité peuvent-elles bénéficier d’un NDR basé sur les métadonnées ?
La mise en œuvre d’une solution de détection et de réponse réseau (NDR) basée sur l’analyse des métadonnées fournit aux équipes de sécurité des informations fiables sur ce qui se passe à l’intérieur de leur réseau, que le trafic soit crypté ou non. L’analyse des métadonnées complétée par les journaux du système et des applications permet aux équipes de sécurité de détecter les vulnérabilités et d’améliorer la visibilité interne des angles morts, tels que les dispositifs informatiques fantômes, qui sont considérés comme un point d’entrée commun exploité par les cybercriminels. Cette visibilité holistique n’est pas possible avec les solutions NDR basées sur DPI. De plus, les métadonnées légères permettent un stockage efficace des données de journal des enregistrements historiques, facilitant ainsi les enquêtes médico-légales. L’analyse DPI lourde en données rend le stockage à long terme des données historiques pratiquement impossible ou très coûteux. Enfin, l’approche des métadonnées permet aux équipes de sécurité de déterminer la source de tout le trafic transitant par les réseaux d’entreprise et de surveiller les activités suspectes sur tous les appareils connectés aux réseaux, tels que les appareils IoT. Cela rend possible une visibilité complète sur les réseaux d’entreprise.
Conclusion : L’avenir de la cybersécurité est l’analyse des métadonnées
Les outils NDR traditionnels basés sur DPI finiront par devenir obsolètes pour la cybersécurité des entreprises à mesure que le paysage des menaces s’étendra et que davantage de trafic sera crypté. Ces développements se font déjà sentir dans l’industrie de la cybersécurité, car de plus en plus d’entreprises adoptent des systèmes de sécurité basés sur MA pour combler efficacement les failles de sécurité et protéger leurs actifs numériques.
ExeonTrace est une solution NDR leader basée sur l’analyse des métadonnées. Contrairement aux systèmes NDR traditionnels basés sur DPI, ExeonTrace fournit une gestion intelligente des données, n’est pas affecté par le cryptage et ne nécessite aucun capteur matériel. De plus, ExeonTrace peut gérer sans effort le trafic réseau à large bande passante car il réduit les volumes de réseau et fournit un stockage de données plus efficace. Par conséquent, ExeonTrace est la solution NDR de choix pour les réseaux d’entreprise complexes et à large bande passante.
 |
| Plate-forme ExeonTrace : capture d’écran d’un graphique d’analyseur de réseau personnalisé |
Réservez une démo gratuite pour découvrir comment ExeonTrace peut vous aider à relever vos défis de sécurité et à rendre votre organisation plus cyber-résiliente.
