Rate this post


Network Detection & Response (NDR) est une technologie émergente développée pour fermer les angles morts de sécurité laissés par les solutions de sécurité conventionnelles, que les pirates informatiques ont exploitées pour prendre pied dans les réseaux cibles.

De nos jours, les entreprises utilisent une pléthore de solutions de sécurité pour protéger leur réseau contre les cybermenaces. Les plus importants sont les pare-feu, IPS/IDS, SIEM, EDR et XDR (qui combine les fonctionnalités d’EDR et de SIEM). Cependant, toutes ces solutions souffrent de failles de sécurité qui les empêchent de stopper efficacement les cyberattaques avancées.

NDR a été développé sur la base du système de détection d’intrusion (IDS). Une solution IDS est installée sur le périmètre du réseau et surveille le trafic réseau à la recherche d’activités suspectes.

Les systèmes IDS souffrent de nombreux inconvénients qui les rendent inefficaces pour arrêter les cyberattaques modernes : les IDS utilisent des techniques de détection basées sur les signatures pour découvrir les activités anormales, les rendant incapables de détecter les attaques inconnues.

De plus, les systèmes IDS déclenchent un grand nombre d’alertes de sécurité. Cela fait perdre du temps à l’équipe de sécurité et l’empêche d’enquêter sur toutes les alertes de sécurité. Enfin, IDS n’a pas été conçu pour fournir des capacités de réponse ou d’enquête, ce qui le rend incapable de répondre efficacement aux cyberattaques en cours.

Network Detection & Response pour extraire des informations du trafic réseau

NDR était la réponse pour atténuer les inconvénients que les systèmes IDS ne parviennent pas à protéger. Les systèmes NDR vont au-delà de la détection basée sur les signatures et analysent tout le trafic réseau entrant ou sortant du réseau et créent une base de référence de l’activité réseau normale. La ligne de base est utilisée ultérieurement pour comparer le trafic actuel avec l’activité réseau régulière afin de détecter les comportements suspects.

Les solutions NDR utilisent des technologies avancées pour détecter les menaces émergentes et inconnues, telles que Apprentissage automatique et Intelligence Artificielle (IA). L’utilisation de ces technologies permet aux systèmes NDR de convertir les informations recueillies à partir du trafic réseau en informations exploitables utilisées pour détecter et arrêter les cybermenaces inconnues.

Une solution NDR peut s’exécuter automatiquement indépendamment de la supervision humaine pour détecter les cybermenaces et y répondre. NDR peut également s’intégrer aux solutions de sécurité existantes telles que SIEM et SOAR pour une détection et une réponse améliorées.

Défauts des NDR traditionnels dans la gestion du chiffrement et de la quantité croissante de données

Jusqu’à présent, les rapports de non-remise s’appuyaient sur la mise en miroir du trafic, généralement associée à des capteurs matériels pour extraire les informations, de la même manière que l’IDS le faisait auparavant. Cependant, trois changeurs de jeu remettent de plus en plus en question cette approche :

  1. Une grande partie du trafic Internet est cryptée, selon le Rapport de transparence Google, déjà 90% du trafic web. Par conséquent, la mise en miroir du trafic traditionnelle ne peut plus extraire d’informations de la charge utile et perd ainsi de son efficacité.
  2. Augmentation des bandes passantes et des nouvelles technologies de mise en réseau, rendant la mise en miroir du trafic coûteuse, voire impossible.
  3. Une évolution vers des réseaux hybrides hautement distribués où la simple analyse du trafic sur un ou deux commutateurs principaux ne suffit plus. De nombreux points de collecte doivent être surveillés, ce qui rend les solutions basées sur la mise en miroir du trafic encore plus coûteuses à exploiter.

Compte tenu de ces évolutions, la mise en miroir des réseaux n’est plus une solution d’avenir pour sécuriser les réseaux.

ExeonTrace : une solution NDR fiable et pérenne

ExeonTrace ne nécessite pas de mettre en miroir le trafic réseau pour détecter les menaces et décrypter le trafic crypté ; il utilise des algorithmes qui ne fonctionnent pas sur la charge utile, mais sur des données de journal de réseau légères exportées à partir d’une infrastructure réseau existante via NetFlow.

Cela lui permet d’analyser les métadonnées traversant le réseau à de nombreux points de collecte pour découvrir les canaux de communication secrets utilisés par les acteurs de menace avancés, tels que les attaques APT et les ransomwares.

NetFlow est une norme ouverte qui permet aux périphériques réseau (par exemple, les routeurs, les commutateurs ou les pare-feu) d’exporter les métadonnées de toutes les connexions qui les traversent (réseau physique, environnement virtualisé et environnement de cloud privé – ou ce que l’on appelle nord-sud et est -capacité de surveillance ouest). Ainsi, cette approche est optimale pour les réseaux distribués qui incluent également des environnements cloud.

ExeonTrace La solution offre une visibilité complète sur l’ensemble de votre environnement informatique, y compris les services cloud connectés, les périphériques informatiques fantômes, et peut détecter les attaques non malveillantes telles que les menaces internes, l’abus d’informations d’identification et l’exfiltration de données. La visibilité complète du réseau permettra d’inspecter tout le trafic réseau entrant ou sortant de votre réseau d’entreprise.

ExeonTrace ne s’arrêtera pas là, car il surveillera toutes les interactions internes entre tous les appareils de votre réseau d’entreprise, pour détecter les acteurs de menace avancés qui se cachent dans vos réseaux, tels que APT et Ransomware.

ExeonTrace L’utilisation de modèles d’apprentissage automatique supervisés et non supervisés lui permet de détecter les menaces non malveillantes, telles que les menaces internes, les mouvements latéraux, les fuites de données et la reconnaissance interne. ExeonTrace permet également l’ajout d’ensembles de règles personnalisés basés sur le réseau pour vérifier que tous les utilisateurs adhèrent aux politiques de sécurité mises en œuvre (par exemple, empêcher les utilisateurs d’utiliser des protocoles particuliers). En haut, ExeonTrace peut s’intégrer aux flux de menaces disponibles ou utiliser un flux de menaces spécifique au client pour détecter les menaces connues.

Conclusion

Les systèmes NDR sont devenus une nécessité pour arrêter le nombre toujours croissant de cyberattaques. Les solutions NDR traditionnelles doivent cependant refléter l’intégralité du trafic réseau pour analyser les charges utiles des paquets, ce qui n’est plus efficace pour empêcher les cybermenaces modernes qui utilisent le cryptage pour dissimuler leurs activités. De plus, la mise en miroir de l’intégralité du trafic réseau devient de plus en plus gênante, notamment avec l’augmentation massive du volume de données transitant par les réseaux d’entreprise. Un NDR évolutif comme ExeonTrace qui repose sur l’analyse des métadonnées permet d’atténuer ces inconvénients – et devrait donc être le moyen de choix pour protéger les réseaux d’entreprise de manière efficace et efficiente.



Leave a Reply