_
Que détecte une solution NDR ?
EDR, XDR, SIEM, NDR, … le secteur de la cybersécurité regorge d’acronymes à n’en plus finir. Jusqu’à récemment, le marché était animé principalement par des solutions EDR, SIEM, XDR, mais qu’en est-il du NDR ? Cet outil dont les trois lettres signifient Network Detection and Response, a été reconnu par Gartner comme une composante essentielle dans la sécurisation de l’infrastructure informatique.
Mais qu’est-ce qu’un NDR ? Quelles sont les actions qu’il va pouvoir identifier ?
Faisons le point ensemble.
Une solution NDR, qu’est-ce que c’est ?
Le NDR est un outil permettant d’effectuer de la détection sur le réseau des entreprises qui constitue le centre névralgique de l’infrastructure informatique. Appareil sans fil ou filaire, utilisateurs, serveurs, applications, etc, tous sont connectés au réseau. Contrairement aux solutions de sécurité traditionnelles qui fondent leur défense sur des techniques avec signatures, le NDR va aller encore plus loin.
En effet, une solution NDR intègre des systèmes de détection d’intrusion utilisés historiquement et associe à cela de l’intelligence artificielle, de l’analyse comportementale et de la threat intelligence. Cette double approche permet de détecter bien au-delà des règles des comportements malicieux au sein d’un volume de données gigantesque.
Une détection aux étapes importantes d’une attaque
Lorsqu’une cyberattaque est révélée au grand jour, en réalité, l’intrusion initiale a lieu des jours, des semaines voire des mois avant le résultat observable. Au niveau mondial, le chiffre officiel répertorié est 212 jours entre l’accès initial et l’impact. Et que se passe-t-il pendant ce temps-là ? Le cyber intrus explore le réseau de l’entreprise pour récupérer ses données critiques. Et pour cela il passe forcément par différentes étapes.
En effet, suite à la compromission initiale, un acteur malveillant va réaliser un certain nombre d’actions pour se propager dans le réseau :
- Utiliser le canal de “command & control”,
- Effectuer des phases de découverte du réseau,
- Essayer de contrôler d’autres ordinateurs,
- Collecter des informations,
- Se déplacer latéralement pour se rapprocher d’assets critiques,
- Transférer des données,
- Etc.
Et c’est là qu’un outil NDR prend tout son sens. Il est spécialisé pour détecter ces différentes étapes qu‘un acteur malveillant va mener pour atteindre son objectif final.
Comment Custocy va détecter ces étapes ?
Notre cyber plateforme Custocy est un NDR fondé sur une technologie unique, développée en interne par nos équipes, qui consiste à utiliser la puissance de l’intelligence artificielle (IA) sur plusieurs espaces temps.
Pour mieux comprendre, nous avons un maître de l’IA, le METALEARNER, qui orchestre plusieurs IAs qui inspectent les flux à différentes échelles de temps et qui se concertent régulièrement pour s’accorder sur la sévérité d’une menace. Cette vision multi temporelle a un intérêt double :
- Elle va permettre de détecter avec précision des attaques variées, sophistiquées et inconnues ( Zero-Day) aussi bien courtes que persistantes sur la durée;
- Elle va réduire considérablement le nombre de faux positifs. (88 fois moins par rapport à une détection uniquement sur le flux)
Les milliers d’évènements en provenance du réseau vont être collectés puis analysés par le METALEARNER, qui va donner en suivant sa décision finale à l’analyste. Une alerte sera déclenchée dans l’interface Custocy avec un score de dangerosité définissant l’ordre de priorité. De cette façon, les analystes ne seront plus soumis à une avalanche d’alertes. Ils pourront déjouer l’attaquant et rejouer toutes les étapes de l’attaque dans l’outil. Ils pourront enfin se concentrer sur l’essentiel.
Quels types de comportement Custocy va pouvoir identifier ?
Vous l’aurez compris, l’intérêt principal d’une solution NDR est de pouvoir identifier le cyber malveillant au stade le plus précoce dans le but de l’empêcher de nuire.
En travaillant sur des échelles de temps à la fois courtes et longues, Custocy va pouvoir détecter avec précision plusieurs types de comportements tels que :
- Des requêtes malicieuses faites à l’Active Directory,
- Des scans de réseaux,
- Des écoutes via un Man In The Middle,
- Des envois de fichiers malveillants,
- L’utilisation anormale de protocoles d’échange de fichiers (FTP, SMB, etc),
- L’utilisation anormale de protocoles de contrôle à distance (SSH, telnet,etc),
- L’ouverture d’une session de “Command and Control”,
- Des exfiltrations de données,
- Des connexions suspectes,
- Des attaques distribuées (DoS et DDoS),
- Des attaques DGA,
- Des exploits,
- Et bien d’autres encore.
Pourquoi faudrait-il se doter d’un NDR ?
Le NDR est une brique complémentaire de sécurité dont il ne faut pas se passer. Les attaquants se donnent beaucoup de mal pour ne pas se faire démasquer, mais quoi qu’ils fassent, ils devront forcément passer par le réseau… Une solution NDR va donc détecter ce que les autres outils ne voient pas.
Aussi, pour se constituer un périmètre de sécurité complet et entièrement opérationnel, il est pertinent de se pencher sur des outils complémentaires à votre existant, de sorte à maximiser vos possibilités de déjouer une cyberattaque. Et le NDR s’impose à présent comme un essentiel de sécurité.
Curieux de découvrir Custocy ? Réservez en un clic votre créneau de démo ICI, c’est 100% gratuit.
