Network detection and response

Le Network detection and response (NDR) est une catégorie de produits de sécurité réseau détectant les comportements anormaux du système en analysant en permanence le trafic réseau. Les solutions NDR font de l'analyses comportementale pour inspecter les paquets réseau bruts et les métadonnées des communications réseau internes (est-ouest) et externes (nord-sud)^[1].

Description modifier

Le NDR est livré avec une combinaison de capteurs matériels et logiciels, ainsi qu'une console de gestion logicielle ou SaaS. Les organisations utilisent le NDR pour détecter et contenir les activités malveillantes post-intrusion, telles que les rançongiciel, ainsi que les attaques internes. Le fonctionnement du NDR repose essentiellement sur l’identification de modèles de comportement anormaux et d’anomalies plutôt que sur la détection de signatures. Cela permet au NDR de détecter les signaux faibles et les menaces inconnues du trafic réseau, comme les mouvements latéraux ou l'exfiltration de données^[1].

Le NDR offre une visibilité sur les activités du réseau pour identifier les anomalies à l'aide d'algorithmes d'apprentissage automatique. Les capacités de réponse automatisées peuvent contribuer à réduire la charge de travail des équipes de sécurité. Le NDR aide également dans la réponse à incident et le threat hunting, en fournissant du contexte et des elements d'analyse^[1].

Les options de déploiement incluent à la fois des capteurs physiques ou des capteurs virtuels. Les capteurs sont généralement hors bande, positionnés pour surveiller les flux du réseau sans affecter les performances. Les options de NDR basées sur le cloud s'intègrent aux fournisseurs IaaS pour gagner en visibilité sur les environnements hybrides. Un réglage en continu permet de réduire le taux de faux positifs. Le NDR est en concurrence pour les budgets de sécurité avec des outils plus généralistes tels que les plateformes SIEM et XDR^[1].

Les principales fonctionnalités offertes par les solutions NDR incluent : la détection des menaces en temps réel grâce à une surveillance continue, un workflow rapide de réponse aux incidents pour minimiser les dommages, une complexité réduite par rapport à la gestion de plusieurs solutions, une visibilité améliorée pour la conformité et la gestion des risques, la détection et la réponse automatisées, une analyse comportementale des endpoints et des utilisateurs, une intégration avec le SIEM pour une surveillance centralisée^[2].

Histoire modifier

Les origines du NDR remontent aux solutions de Network traffic analysis (NTA) apparues en 2019. Les solutions de NTA fournissent alors une plus grande visibilité sur les activités du réseau pour identifier et répondre rapidement aux menaces potentielles^[2].

En 2020, l’adoption du NTA pour la détection des menaces en temps réel se développe. Cette meme année, une étude révèle que 87 % des organisations utilisaient le NTA, et 43 % le considéraient comme une « première ligne de défense ». Le marché du NTA était évalué à 2,9 milliards de dollars américains en 2022 et devrait atteindre 8,5 milliards de dollars américains d'ici 2032. Le NTA a évolué pour devenir le NDR, une catégorie de produits distincte. Le NDR combine des capacités de détection avec des workflow de réponse à incident. Cela a permis de détecter et de réagir aux menaces sur les réseaux en temps réel^[2].

Des attaques majeures comme WannaCry en 2017 et la vulnérabilité SolarWinds en 2020 ont mis en évidence la nécessité de solutions comme le NDR. Les défenses périmétriques traditionnelles et les outils basés sur les signatures se sont révélés insuffisants contre les menaces contemporaines^[2].

Introduction de l'Intelligence artificielle modifier

L'intelligence artificielle est de plus en plus utilisée dans les outils NDR à mesure que les équipes de sécurité explorent son potentiel. Les principaux cas d'utilisation de l'IA pour le NDR incluent^[3] :

Une détection améliorée des menaces : l'IA peut analyser de grands volumes de données sur les vulnérabilités, les menaces et les tactiques d'attaque pour identifier les activités réseau anormales. Cela permet au NDR de détecter les modèles d'attaques émergents avec une plus grande précision et moins de faux-positifs^[3].
Une meilleure priorisation des alertes : les modèles d'IA peuvent évaluer la criticité des alertes NDR en fonction de facteurs tels que les actifs concernés, l'exploitabilité et l'impact potentiel. Cela permet aux équipes de sécurité de trier efficacement les alertes malgré le manque de main-d'œuvre^[3].
Une optimisation du flux de travail des analystes : les assistants IA peuvent fournir des conseils aux analystes lors de la réponse à un incident, en suggérant des étapes d'enquête pertinentes en fonction des détails de la menace. Cela amplifie l’efficacité des analystes, en particulier pour le personnel débutant dépourvu d’expertise spécialisée^[3].
Une réponse automatisée : Bien qu’elle ne soit pas encore largement adoptée, l’IA pourrait permettre aux plateformes NDR d’exécuter de manière autonome des mesures de confinement telles que la mise en quarantaine des points finaux. L’IA identifierait et recommanderait des actions de réponse pour approbation des analystes^[3].
Une meilleure communications de la part de l'équipe de sécurité : Les fournisseurs de NDR explorent les intégrations avec l'IA en langage naturel pour générer des rapports d'incident et des mesures compréhensibles pour les chefs d'entreprise, et pas seulement pour le personnel technique de sécurité^[3].

Fournisseurs de NDR modifier

Selon Gartner, les fournisseurs de NDR incluent Cisco, Corelight, Darktrace, ExtraHop, Fortinet, IronNet, MixMode, Plixer, Trend Micro, Vectra AI^[1].

Références modifier

↑ ^{a b c d et e} Jonathan Nunez, Andrew Davies, « Hype Cycle for Security Operations, 2023 », www.gartner.com, 20 juillet 2023 (consulté le 8 août 2023)
↑ ^{a b c et d} (en-US) Wiens, « A Comprehensive Guide to Network Detection & Response (NDR) — What CIOs & Security Analysts Should Know », Security Boulevard, 2 février 2023 (consulté le 15 août 2023)
↑ ^{a b c d e et f} (en) Grady, « How AI benefits network detection and response », TechTarget (consulté le 15 août 2023)

Voir aussi modifier

[:0-1] {a b c d et e} Jonathan Nunez, Andrew Davies, « Hype Cycle for Security Operations, 2023 », www.gartner.com, 20 juillet 2023 (consulté le 8 août 2023)

[:2-2] {a b c et d} (en-US) Wiens, « A Comprehensive Guide to Network Detection & Response (NDR) — What CIOs & Security Analysts Should Know », Security Boulevard, 2 février 2023 (consulté le 15 août 2023)

[:1-3] {a b c d e et f} (en) Grady, « How AI benefits network detection and response », TechTarget (consulté le 15 août 2023)

[1]

[2]

[3]