La dernière décennie a obligé les entreprises à réviser rapidement plusieurs hypothèses fondamentales en matière de cybersécurité. Parmi ceux-ci, le rôle de la protection des terminaux a subi le changement le plus important. Après tout, les points finaux sont désormais partout. Entre la prolifération du cloud et l’essor du travail à distance, peut-on vraiment s’appuyer sur la détection traditionnelle des terminaux pour repousser les attaquants ?
Compte tenu de l’augmentation continue (et apparemment sans fin) des cyberattaques dans le monde, la réponse est sans équivoque. Non. La vraie question est : comment peut les organisations protègent-elles leurs actifs sans sacrifier la flexibilité offerte par les dernières technologies ? Couplage de la réponse de détection des points de terminaison (EDR) à la gestion des événements de sécurité et d’information (SIEM) sont une réponse bien établie, mais en fin de compte, l’EDR et le SIEM ne représentent que deux volets d’une approche à trois volets.
Ce troisième volet, souvent négligé par les équipes informatiques, est appelé Network Detection and Response (NDR). Cependant, vos équipes informatiques et de sécurité doivent en priorité l’utiliser dans le cadre de leur cybersécurité boîte à outils.
1. NDR analyse directement le trafic à l’intérieur de votre réseau
Les outils EDR et SIEM sont des compléments indispensables à toute boîte à outils de cybersécurité. Lorsqu’une activité suspecte se produit sur les points finaux, l’EDR est très efficace pour la signaler. Le SIEM, quant à lui, est extrêmement précieux pour collecter et analyser les données de journaux. Les outils SIEM ne valent que par leurs sources de données. Le lien avec NDR est que NDR peut transmettre les données (événements détectés) au SIEM pour une gestion rationalisée de la sécurité.
Cela dit, les deux méthodes comportent des angles morts. Si un attaquant a déjà accédé à un réseau et passe d’un système à l’autre, EDR ne détectera pas cette activité. D’un autre côté, le SIEM peut parfois être trop efficace dans son travail : collecter tellement de données de journalisation que les activités suspectes sont dissimulées ou enfouies sous de faux positifs.
NDR, dans ce contexte, est l’ingrédient manquant. Il analyse directement les modèles de trafic réseau à la recherche d’anomalies, déployant des analyses avancées et des renseignements sur les menaces pour briser le bruit et faire apparaître des informations de sécurité instantanées et exploitables. L’analogie standard ici est la plus efficace : si EDR est l’agent de sécurité à la porte d’un bâtiment et SIEM est le système de vidéosurveillance qui surveille son extérieur, NDR est la patrouille interne agile. Il surveille chaque pièce du bâtiment 24 heures sur 24, 7 jours sur 7 et 365 jours par an, repérant les intrus avant qu’ils ne puissent faire des ravages dans votre entreprise.
2. Contrairement à EDR et SIEM, NDR est sans agent
L’approche basée sur les agents a toujours été le talon d’Achille des solutions EDR et SIEM, provoquant des problèmes de gestion sans fin. C’est précisément parce que NDR est sans agent qu’il supprime ce problème, en démêlant la complexité enchevêtrée de vos réseaux et en vous offrant une vue complète de vos opérations, que ce soit sur site, dans le cloud ou ailleurs. En conséquence, les entreprises peuvent faire évoluer leurs opérations cloud sans sacrifier un iota de sécurité.
Cette fonctionnalité est facilitée par les dernières avancées en matière d’apprentissage automatique et d’analyse comportementale. Les anomalies sont rapidement identifiées. Avec NDR, chaque centimètre carré de votre propriété numérique est surveillé simultanément.
3. NDR peut analyser le trafic crypté
Depuis quelque temps déjà, le chiffrement constitue l’un des outils les plus efficaces de l’arsenal des attaquants. Ils dépendent depuis longtemps du fait que les solutions EDR et SIEM utilisent une inspection approfondie des paquets pour détecter les menaces et ensuite lutter contre elles. activité cryptée.
NDR n’a pas ce problème. Pour revenir à l’analogie avec le bâtiment d’avant, le NDR parcourt non seulement chaque « pièce » de votre réseau, mais le fait également lorsqu’il est équipé d’un appareil à rayons X. Il peut analyser le trafic chiffré et détecter ensuite les activités malveillantes dissimulées qui autrement resteraient dans l’ombre.
Autrement dit : les attaquants n’ont aucun endroit où se cacher lorsque EDR et SIEM sont couplés à NDR.
4. Grâce à l’apprentissage automatique, NDR identifie les menaces de manière proactive
L’idée derrière la Triade est la force de la diversité. Les capacités de chaque solution compensent les faiblesses des deux autres. L’EDR est la seule fenêtre sur les points finaux, les SIEM peuvent traiter la richesse et la profondeur des journaux (et même utiliser les données du réseau comme source) et le NDR offre une perspective réseau holistique. Ainsi, bien que le NDR ne puisse pas voir les points de terminaison et ne fournisse pas la même profondeur que les journaux, il peut même dans certains cas constituer la seule couche de défense, car tous les points de terminaison ne permettent pas d’installer un agent et les SIEM ne voient pas toujours partout. Le NDR est un élément essentiel du type de sécurité à plusieurs niveaux nécessaire pour lutter contre menaces modernes.
En revanche, le NDR peut apprendre sur le terrain grâce au déploiement d’algorithmes d’apprentissage automatique, de référence adaptative et d’heuristiques. Là où EDR et SIEM sont réactifs, NDR est résolument proactif et peut identifier les menaces nouvelles et émergentes bien avant que les signatures problématiques ne soient signalées et répertoriées. Compte tenu de l’augmentation continue des attaques Zero Day, c’est-à-dire des attaques contre des failles de sécurité inconnues ou non corrigées, il s’agit d’une capacité indispensable.
Là encore, l’EDR et le SIEM ont toujours leur place dans un plan de défense complet en matière de cybersécurité. Mais sans NDR, ils sont de moins en moins équipés pour faire face aux menaces sophistiquées et en constante évolution d’aujourd’hui. Il y a une raison pour laquelle Gartner est allé jusqu’à codifier EDR, NDR et SIEM en tant que triade de visibilité SOC. EDR et SIEM sans NDR, c’est comme une voiture avec des airbags mais pas de ceintures de sécurité : mieux que rien, mais peu susceptible d’assurer votre sécurité à long terme. Cependant, déployés en tandem, ces outils constituent la meilleure option disponible pour les organisations souhaitant détecter de manière proactive les intrus indésirables.