La détection et la réponse du réseau (NDR) est une catégorie de technologies de cybersécurité qui utilisent des méthodes non basées sur les signatures, telles que l'intelligence artificielle, le machine learning et l'analyse comportementale, pour détecter les activités suspectes ou malveillantes sur un réseau et faire face aux cybermenaces.
La NDR est issue de l'analyse du trafic réseau (NTA), une technologie développée initialement pour extraire des modèles de trafic réseau à partir de données brutes sur le trafic réseau. Les solutions NTA intégrant des fonctionnalités d'analyse comportementale et de réponse aux menaces, l'analyste Gartner a rebaptisé la catégorie NDR en 2020.
Les réseaux sont le fondement du monde connecté d’aujourd’hui, ce qui en fait une cible de choix pour les acteurs de la menace.
Traditionnellement, les organisations s'appuyaient sur des outils de détection des menaces tels que les antivirus, les systèmes de détection d'intrusion (IDS) et les pare-feux pour garantir la sécurité du réseau.
Nombre de ces outils utilisent une approche de détection basée sur les signatures, identifiant les menaces en comparant les indicateurs de compromission (IOC) à une base de données de signatures de cybermenaces.
Une signature peut être n'importe quelle caractéristique associée à une cyberattaque connue, comme une ligne de code d'une souche particulière de logiciel malveillant ou une ligne d'objet spécifique d'un e-mail d'hameçonnage. Ces outils basés sur les signatures surveillent les réseaux à la recherche de ces signatures précédemment découvertes et déclenchent des alertes lorsqu'ils les trouvent.
S'ils sont efficaces pour bloquer les cybermenaces connues, les outils basés sur les signatures ont du mal à détecter les menaces nouvelles, inconnues ou émergentes. Ils peinent également à détecter les menaces qui n'ont pas de signatures uniques ou qui ressemblent à un comportement légitime, telles que :
- Les pirates utilisant des identifiants volés pour accéder au réseau
- Les attaques de type « Business email compromise » (BEC) au cours desquelles des pirates se font passer pour un cadre ou détournent sa messagerie électronique
- Les employés adoptant involontairement des comportements à risque, tels que l'enregistrement de données de l'entreprise sur une clé USB personnelle ou le fait de cliquer sur des liens vers des sites web malveillants
Les gangs de ransomwares et autres menaces persistantes avancées peuvent exploiter ces lacunes en matière de visibilité pour infiltrer les réseaux, effectuer une surveillance, escalader les privilèges et lancer des attaques à des moments opportuns.
La NDR peut aider les organisations à combler les lacunes que présentent les solutions basées sur les signatures et à sécuriser les réseaux modernes et de plus en plus complexes.
Grâce à des analyses avancées, au machine learning et à l’analyse comportementale, la NDR peut détecter même les menaces potentielles sans signature connue. De cette manière, la NDR fournit une couche de sécurité en temps réel, aidant les organisations à identifier les vulnérabilités et détecter des attaques que d'autres outils de sécurité pourraient manquer.
Avec l’IBM Security X-Force Threat Intelligence Index, vous disposez d’informations qui vous permettent de vous préparer et de réagir plus rapidement et plus efficacement aux cyberattaques.
Les solutions de détection et de réponse du réseau reposent sur une approche proactive et dynamique de la gestion des menaces du réseau. Les outils NDR surveillent et analysent en permanence l'activité du réseau et les schémas de trafic en temps réel afin d'identifier toute activité suspecte susceptible d'indiquer une cybermenace.
La détection des menaces à l'aide d'une solution NDR comporte généralement les cinq étapes suivantes§:
- Collecter des données
- Établir le comportement de base du réseau
- Surveiller les activités malveillantes
- Répondre aux incidents
- Optimiser la détection au fil du temps
Les solutions NDR ingèrent des données brutes sur le trafic réseau et des métadonnées grâce à la télémétrie, une pratique qui consiste à utiliser l'automatisation pour collecter et transmettre des données depuis des sources distantes.
Les outils NDR collectent souvent des données provenant des points de terminaison, de l'infrastructure réseau, des pare-feux et d'autres sources afin de fournir une vue d'ensemble du réseau. Les données collectées peuvent inclure des données de paquets réseau, des données de flux et des journaux.
Les outils NDR utilisent l’analyse comportementale, l’IA et le machine learning pour évaluer les données et établir un modèle de base du comportement et de l’activité normaux du réseau.
Une fois le modèle de référence établi, le système surveille en permanence le trafic réseau en temps réel. La NDR compare l'activité réseau actuelle à cette base de référence pour détecter des écarts pouvant signaler une exfiltration de données ou d'autres menaces potentielles.
Ces écarts peuvent inclure des tentatives d'accès non autorisées, des transferts de données inhabituels, des modèles de connexion anormaux (tels que l'accès aux données en dehors des heures normales) ou des communications avec des serveurs web inconnus.
Lorsqu'une activité suspecte est détectée, les solutions NDR alertent les équipes de sécurité pour qu'elles puissent agir. Certains outils NDR peuvent également prendre des mesures automatisées pour atténuer la menace. Ces réponses automatisées peuvent consister à bloquer les adresses IP malveillantes, à isoler les dispositifs compromis ou à limiter le trafic suspect afin d'éviter d'autres dommages.
Les systèmes NDR adaptent continuellement leurs modèles d'activité réseau en intégrant les informations provenant des menaces détectées et des réponses apportées. Ils intègrent également les données fournies par les analystes de sécurité et les renseignements sur les menaces. Ce perfectionnement continu améliore la précision et l'efficacité des outils NDR dans leur capacité à détecter les menaces nouvelles et évolutives et à y répondre.
Les solutions NDR offrent une gamme de capacités qui peuvent présenter des avantages par rapport aux outils traditionnels de détection des menaces basés sur les signatures. Ces capacités incluent :
Les solutions de NDR assurent une surveillance et une analyse des données du réseau en temps réel, ce qui permet d'identifier les menaces potentielles et d'y répondre plus rapidement. Certains outils NDR peuvent également classer les alertes par ordre de priorité et informer les équipes de sécurité ou les centres des opérations de sécurité (SOC) en fonction de la gravité potentielle de la menace.
La NDR peut offrir une visibilité sur toutes les activités du réseau sur site et dans les environnements de cloud hybride. Cette visibilité complète peut aider les organisations à intercepter davantage d'incidents de sécurité.
Comme les solutions NDR surveillent à la fois le trafic réseau nord-sud (sortie et entrée) et est-ouest (interne), elles peuvent détecter à la fois les intrusions au périmètre du réseau et les mouvements latéraux au sein du réseau. La capacité à repérer les anomalies à l'intérieur du réseau peut aider la NDR à détecter les menaces avancées qui se cachent. Certains outils NDR peuvent également détecter les menaces qui se cachent dans le trafic chiffré.
La NDR tire parti de l'IA et d'algorithmes avancés de machine learning pour analyser les données du réseau, identifier des schémas et repérer des menaces potentielles. Cela inclut des menaces jusqu'alors inconnues que les outils traditionnels ne détectent souvent pas.
Certaines solutions NDR sont dotées de capacités de réponse automatisées, telles que l'interruption d'une connexion réseau suspecte, afin de perturber ou de stopper une attaque au moment même où elle survient. Les outils NDR peuvent également s'intégrer à d'autres outils de sécurité pour exécuter des plans de réponse aux incidents plus complexes. Par exemple, après avoir détecté une menace, une NDR peut demander à une plateforme d'orchestration, automatisation et réponse aux incidents de sécurité (SOAR) d'exécuter un protocole de réponse prédéfini.
De nombreux outils NDR peuvent s'intégrer à des flux et des bases de données de renseignements sur les menaces, tels que le framework MITRE ATT&CK. Ces intégrations peuvent améliorer les modèles comportementaux et la précision de la détection des menaces, ce qui rend les outils de NDR moins sujets aux faux positifs.
Les solutions NDR fournissent des données contextuelles et des fonctionnalités que les équipes de sécurité peuvent utiliser dans leur travail de traque des menaces qui n'ont pas été détectées auparavant.
Malgré leurs avantages, les solutions NDR ont leurs limites. Voici quelques-unes des principales limitations des outils NDR actuels :
Les outils NDR peuvent nécessiter des investissements importants en matériel, en logiciels et en personnel de cybersécurité. La configuration initiale peut, par exemple, impliquer le déploiement de capteurs sur plusieurs segments du réseau et l'investissement dans un système de stockage de données de grande capacité pour les gros volumes de données relatives au trafic sur le réseau.
La mise à l’échelle des solutions NDR pour les réseaux en pleine croissance peut s’avérer difficile. L'augmentation du flux de données peut peser sur les ressources et créer des goulets d'étranglement, ce qui rend les solutions de détection et de réponse aux menaces moins efficaces dans les grandes entreprises.
Les outils de NDR peuvent générer de nombreux faux positifs et submerger les équipes de sécurité d'alertes intempestives. Les moindres écarts par rapport aux caractéristiques normales des réseaux peuvent être signalés comme suspects, ce qui entraîne une perte de temps et potentiellement entraver la détection de menaces réelles.
La surveillance continue du trafic réseau, y compris les communications chiffrées, peut soulever des problèmes de confidentialité. Le non-respect des réglementations telles que le Règlement général sur la protection des données (RGPD) et la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) peut entraîner des amendes et des sanctions importantes.
Les réseaux d'entreprise d'aujourd'hui sont décentralisés et étendus, connectant des centres de données, du matériel, des logiciels, des appareils IdO et des workloads sur site et dans des environnements cloud.
Les organisations et leurs centres des opérations de sécurité (SOC) ont besoin d'un ensemble robuste d'outils pour bénéficier d'une visibilité complète sur ces réseaux complexes. De plus en plus, elles optent pour une combinaison de NDR et d'autres solutions de sécurité.
Par exemple, la NDR est l'un des trois piliers de la triade de visibilité SOC de Gartner, avec la détection et la réponse des terminaux (EDR) et la gestion des informations et des événements de sécurité (SIEM).
- L'EDR est un logiciel conçu pour protéger automatiquement les utilisateurs finaux, les terminaux et les actifs informatiques d'une organisation contre les cybermenaces. Là où la NDR fournit une « vue aérienne » du trafic réseau, l'EDR peut fournir une vue supplémentaire « sur le terrain » de l’activité à des points de terminaison individuels.
- La SIEM combine et met en corrélation les données des journaux et des événements liés à la sécurité provenant d’outils de sécurité et de sources réseau disparates, tels que les serveurs, les applications et les appareils. Les outils NDR peuvent renforcer ces efforts en transmettant leurs données et analyses de trafic réseau aux systèmes SIEM, améliorant ainsi la sécurité et l'efficacité de la conformité réglementaire.
Plus récemment, les SOC ont adopté des solutions de détection et de réponse étendues (XDR). XDR intègre des outils de cybersécurité sur l'ensemble de l'infrastructure informatique hybride d'une organisation, y compris les points de terminaison, les réseaux et les workloads dans le cloud. De nombreux fournisseurs XDR incluent des fonctionnalités NDR, tandis que les solutions XDR ouvertes peuvent tirer parti des capacités NDR existantes d'une organisation, en s'intégrant aux workflows de sécurité déjà en place.
Tirez parti des solutions de détection et de réponse aux menaces d’IBM pour renforcer votre sécurité et accélérer la détection des menaces.
Passez en toute confiance au multicloud hybride et intégrez la sécurité à chaque étape de votre parcours d’adoption du cloud.
Protégez votre infrastructure et votre réseau contre les menaces de cybersécurité sophistiquées grâce à des compétences, à une expertise et à des solutions modernes éprouvées en matière de sécurité.
Préparez-vous au mieux pour faire face aux violations de données en maîtrisant les causes et les facteurs qui augmentent ou réduisent les coûts de ces violations.
Découvrez comment l’environnement de la sécurité actuel évolue, comment faire face aux défis de l’IA générative et comment tirer pleinement parti de sa résilience.
L’intelligence artificielle (IA) exploite les ordinateurs et les machines pour imiter les capacités de résolution de problèmes et de prise de décision de l’esprit humain.