En appliquant l’analyse comportementale au trafic de données réseau, les produits de détection et de réponse réseau (NDR) travaillent sans relâche pour détecter le comportement anormal du système avant qu’il ne puisse se transformer en une attaque à part entière. Les capacités NDR typiques incluent la détection, la recherche, l’investigation et la réponse.
Dans une interview par courrier électronique, Jeff Orr, directeur d’ISG Ventana Research, déclare qu’un produit NDR doit inclure les attributs de base suivants :
Visibilité sur toute la couche réseau pour surveiller et analyser le trafic réseau.
Détection et analyse des menaces en temps réel.
Réponses automatisées aux incidents dans le but d’améliorer le délai moyen de réparation (MTTR) métriques.
Intégration avec les référentiels de renseignements sur les menaces.
Intègre les menaces identifiées par les experts du secteur SecOps et d’autres activités de chasse aux menaces, qui pourraient inclure l’utilisation de technologies d’IA pour identifier de nouvelles menaces.
Erez Tadmor, directeur technique de terrain chez le fournisseur de politiques de sécurité Tufin, propose les attributs supplémentaires suivants par e-mail :
Détection comportementale utilisant l’apprentissage automatique et des analyses avancées pour détecter les anomalies.
Compatibilité qui prend en charge les capteurs physiques et virtuels pour les réseaux sur site et cloud.
gestion des incidents capable de regrouper les alertes en incidents structurés et d’automatiser les réponses telles que le confinement de l’hôte et le blocage du trafic.
Tadmore note que ces trois fonctionnalités se démarquent car elles garantissent une sécurité réseau robuste et efficace. “Une surveillance complète couvre tout le trafic réseau, détectant les intrusions à tout moment”, explique-t-il. Détection comportementale, quant à lui, utilise l’apprentissage automatique pour identifier les menaces sophistiquées au-delà des méthodes traditionnelles. « La compatibilité avec les réseaux sur site et dans le cloud offre flexibilité et évolutivité. La gestion des incidents regroupe les alertes et automatise les réponses, accélérant ainsi l’enquête et l’atténuation des menaces.
Limites
La limite pratique du NDR réside dans sa focalisation sur la couche réseau, explique Orr. Les entreprises qui ont investi dans le NDR doivent également prendre en compte la détection et la réponse pour plusieurs couches de sécurité, allant de charges de travail cloud aux points finaux et des serveurs aux réseaux. « Cette approche intégrée de la cybersécurité est communément appelée Extended Detection and Response (XDR) ou Managed Detection and Response (MDR) lorsqu’elle est fournie par un fournisseur de services gérés », explique-t-il.
Les fonctionnalités telles que les systèmes de prévention des intrusions (IPS), qui sont généralement incluses avec les pare-feu, ne sont pas aussi critiques car elles sont déjà fournies par d’autres fournisseurs, explique Tadmor. « De même, Endpoint Detection and Response (EDR) est fusionné dans le marché plus large XDR (Extended Detection and Response), qui comprend EDR, NDR et Identity Threat Detection and Response (ITDR), réduisant ainsi l’importance autonome de l’EDR dans les solutions NDR. “.
Attributs du fournisseur
Lorsqu’il envisage un fournisseur NDR, Orr recommande d’évaluer les outils en fonction de l’expérience produit et de l’expérience client. « Bien que les caractéristiques et les avantages du produit donnent une bonne idée des capacités, le produit NDR s’adaptera-t-il à l’évolution des exigences commerciales et à l’évolution des menaces ? L’offre NDR est-elle compatible avec l’infrastructure réseau et les programmes de cybersécurité existants via des connecteurs prédéfinis ou des appels API ?
Recherchez des fournisseurs axés sur une détection et une réponse rapides et précises, conseille Reade Taylor, ancien ingénieur en systèmes de sécurité Internet chez IBM, aujourd’hui leader technologique du fournisseur de services gérés Cyber Command. « Les acheteurs doivent se méfier des solutions complexes, coûteuses, difficiles à déployer et à gérer », prévient-il par email. « Un NDR de haute qualité nécessite une détection intelligente, et pas seulement des données brutes. » Des fonctionnalités telles que des tableaux de bord flashy ou une longue liste d’intégrations n’offrent que peu de valeur réelle. “De nombreuses fonctionnalités ne signifient rien si les menaces passent entre les mailles du filet”, déclare Taylor. La solution doit fonctionner avec la pile de sécurité existante et non la remplacer. « Méfiez-vous des coûts initiaux excessifs ou des contrats pluriannuels : votre produit NDR doit apporter de la valeur dès le premier jour. »
Fournisseurs leaders
Taylor identifie Darktrace, Vectra et Cisco Stealthwatch comme les principaux fournisseurs de NDR. Orr observe que ses entreprises clientes travaillent avec divers fournisseurs, notamment Cisco, NetScout et Palo Alto Networks. Achetez avec soin, cependant. « Il n’existe pas d’approche universelle, quelle que soit la taille ou le niveau de complexité de l’organisation. »
Un piège courant que les acheteurs devraient éviter est de choisir un outil basé uniquement sur le prix sans tenir compte de la fonctionnalité et de l’efficacité, explique Thomas Medlin, co-fondateur de JumpMD, une plateforme de gestion des références médicales. « Une solution moins coûteuse peut nécessiter des fonctionnalités plus critiques pour une protection complète », explique-t-il. “Il est crucial d’évaluer dans quelle mesure un outil s’intègre à vos systèmes et flux de travail existants.”
Affaire risquée
Selon une étude de l’ISG, presque toutes les entreprises (95 %) ont été confrontées à un incident de sécurité au cours des 12 derniers mois. “En réponse à [a security] incident, la moitié des entreprises ont obtenu une protection supplémentaire”, explique Orr.
“Les pare-feu et autres formes de protection du réseau font un travail magnifique en stoppant la plupart des menaces extérieures, mais une petite partie réussit, contournant le schéma de protection et nécessitant une détection”, explique Orr. “Ce comportement n’est pas durable.” C’est ce qui rend la technologie NDR indispensable.
Articles Liés: