Comme le disent les acronymes à trois lettres dans le domaine technologique, la détection et la réponse réseau (NDR) doivent être l’un des plus clairs – comme le dit la publicité : « Il fait ce qu’il dit sur la boîte ». Même si le concept d’identification et de réponse aux cybermenaces dans l’environnement réseau peut être clair, la tâche n’est pas simple, notamment parce qu’elle implique de dresser un tableau d’ensemble au niveau du réseau. Les volumes de trafic sont par nature vastes et il n’est pas simple de comprendre ce que nous pouvons appeler vaguement les « menaces de couche 7 » dans les couches 1 à 6 de la pile réseau.
Néanmoins, et comme nous l’expliquons dans notre Critères clés et Radar rapports, les solutions NDR peuvent aider de plusieurs manières. Premièrement, ils peuvent identifier des problèmes que les niveaux supérieurs n’auraient peut-être pas été en mesure de détecter : c’est la différence entre travailler avec des données brutes et des données composites (par simple analogie, les attaques de phishing sont beaucoup plus faciles à repérer dans les e-mails textuels plutôt que HTML). . Ainsi, le NDR complète et augmente d’autres formes de détection et de réponse. De plus, les solutions NDR peuvent identifier les attaques avant qu’elles n’atteignent les couches supérieures, ou du moins plus rapidement. Dans les situations Zero Day, le temps est primordial et le NDR peut identifier des menaces non détectées auparavant.
Les solutions NDR combinent analyse du trafic réseau, surveillance comportementale et renseignements sur les menaces connues. Pour les entreprises, le NDR est nécessaire pour une réponse de sécurité globale, contribuant à atténuer les risques globaux pour les données, processus et expériences d’entreprise et personnelles. En tant que telles, les solutions peuvent être envisagées en fonction de leur capacité à s’intégrer à d’autres outils et tableaux de bord de sécurité, ainsi que de leur capacité à répondre aux besoins des organisations là où elles se trouvent, sans aveugler les ingénieurs réseau et sécurité avec une avalanche d’alertes et en permettant aux utilisateurs de se concentrer sur la résolution des problèmes. les problèmes plutôt que de les diagnostiquer.
De plus, les solutions doivent s’adapter à l’évolution du paysage des menaces. Les modèles basés sur le cloud et les architectures informatiques hybrides ont élargi la surface d’attaque : les auteurs de menaces motivés par des raisons financières et soutenus par l’État trouvent constamment de nouveaux moyens de contourner les outils de sécurité périmétrique. Dans les environnements distribués d’aujourd’hui, nous allons bien au-delà d’une défense en profondeur ; nous avons plutôt besoin d’une défense en largeur, sur toutes les couches de la pile, quel que soit l’endroit où les données résident ou se déplacent.
En surveillant toutes les communications réseau, les solutions NDR constituent une source faisant autorité pour garantir la sécurité dans les environnements cloud et hybrides. Le résultat global est d’élargir le bassin d’ingénieurs capables d’identifier les problèmes de sécurité et, par conséquent, de réduire le temps de détection et de réponse aux menaces. Cela signifie également des taux de réponse et des approches améliorés, réduisant ainsi le potentiel global de dommages. Parallèlement, les solutions NDR peuvent réduire les faux positifs, ce qui signifie moins de perte de temps et une plus grande concentration sur les problèmes réels. Ils peuvent également aider une organisation réglementée à atteindre ses objectifs de conformité grâce à des contributions fondées sur des preuves aux audits.
Toutefois, le choix d’une solution NDR ne se limite pas à choisir le produit leader sur le marché. Cet espace est en constante évolution, équilibrant le temps nécessaire au traitement des données au niveau du réseau et la nécessité de les approfondir pour obtenir les meilleures informations possibles. Parallèlement à l’inspection approfondie traditionnelle des paquets (DPI, séparation des paquets réseau et observation de ce qu’ils contiennent), nous constatons une attention accrue portée à l’analyse des métadonnées et à l’apprentissage automatique pour détecter les menaces actuellement inconnues, qui peuvent ressembler aux empreintes digitales d’attaques précédentes ou avoir des charges utiles similaires.
Les décideurs informatiques peuvent mieux se préparer à l’évaluation des solutions NDR en prenant en compte les facteurs ci-dessus, sur la base d’une compréhension approfondie des besoins de l’organisation. Ce faisant, les clients potentiels doivent tenir compte de l’importance du DPI et de l’analyse des métadonnées. Chaque méthode offre des atouts uniques dans le contexte de la sécurité des réseaux : par exemple, DPI peut découvrir les anomalies et les menaces qui se cachent dans le trafic réseau, comme certains types de logiciels malveillants, et peut également identifier les applications utilisées sur un réseau, même si elles fonctionnent. sur des ports ou protocoles non standards. Cependant, cette méthode peut être gourmande en ressources et potentiellement soulever des problèmes de confidentialité, car elle implique l’examen de l’intégralité du contenu des paquets de données réseau, y compris le déchiffrement et le rechiffrement des paquets réseau chiffrés.
D’autre part, l’analyse des métadonnées fait référence au processus d’analyse des données sur les données, y compris des informations telles que les adresses IP source et de destination, les numéros de port, les horodatages et les types de protocole, mais pas le contenu réel des paquets de données. Cette méthode est généralement moins gourmande en ressources (certaines solutions NDR n’évaluent que 3 % des données globales) et peut identifier rapidement les menaces de sécurité ou les anomalies potentielles en fonction des modèles présents dans les métadonnées. Il est également moins susceptible de soulever des problèmes de confidentialité car il n’implique pas l’examen du contenu des communications. Cependant, il n’est peut-être pas aussi efficace que le DPI pour découvrir les menaces.
En choisissant une solution NDR, les organisations doivent prendre en compte le niveau de détail dont elles ont besoin dans leur analyse du trafic réseau, le nombre de ressources informatiques qu’elles peuvent consacrer à cette fonction, ainsi que leurs obligations et responsabilités en matière de confidentialité des utilisateurs. En outre, ils doivent examiner la gamme de techniques de détection disponibles auprès de chaque fournisseur, la capacité d’automatiser une réponse et l’intégration avec d’autres outils tels que la gestion des incidents et des événements de sécurité (SIEM) ou les plateformes de renseignement sur les menaces.
Un défi supplémentaire vient du marché lui-même. Non seulement il est surpeuplé, mais nous assistons également à l’acquisition de petits acteurs alors que les plus grands fournisseurs de plates-formes et de sécurité cherchent à renforcer leurs offres de sécurité. C’est une raison de plus de ne pas simplement choisir un produit simplement parce qu’il semble être un leader du marché, mais aussi de garder à l’esprit que les acquisitions ne profitent pas toujours aux clients existants, surtout si l’objectif de l’acquisition est de réduire la concurrence dans le secteur.
Nous avons rédigé nos rapports Critères clés et Radar pour guider les décideurs technologiques dans leur navigation dans ce domaine technologique apparemment simple mais, en réalité, dynamique et complexe. Bien que le NDR joue un rôle central dans la réponse d’une organisation en matière de cybersécurité, toute sélection d’outils doit commencer par les propres besoins techniques, la stratégie commerciale, la position en matière de confidentialité et l’approche opérationnelle de l’organisation.
Dernier point connexe, vous ne devriez pas vous contenter de la solution du fournisseur historique dans ce paysage de fournisseurs en évolution rapide et encombré. Commencez plutôt par une feuille de papier vierge et documentez vos besoins, vos capacités et vos niveaux de compétences. Lorsque vous discutez avec des fournisseurs, assurez-vous que leur vision correspond à la vôtre et que leur feuille de route inclut les fonctionnalités et capacités exigées par votre entreprise.
