Que détecte une solution NDR ?

#EDR, #XDR, #SIEM, #NDR, … le secteur de la #cybersécurité regorge d’acronymes à n’en plus finir. Jusqu’à récemment, le marché était animé principalement par des solutions EDR, SIEM, XDR, mais qu’en est-il du NDR ? Cet outil dont les trois lettres signifient Network Detection and Response, a été reconnu par #Gartner comme une composante essentielle dans la sécurisation de l’infrastructure #informatique. 

Mais qu’est-ce qu’un NDR ? Quelles sont les actions qu’il va pouvoir identifier ? Pourquoi faut-il l'intégrer à son arsenal de cyberdéfense ?

Faisons le point ensemble. 

Une solution NDR, qu’est-ce que c’est ?

Le NDR est un outil permettant d’effectuer de la détection et de la réponse aux menaces sur le réseau des entreprises, qui, rappelons-le, constitue le centre névralgique de l’infrastructure informatique. Appareil sans fil ou filaire, utilisateurs, serveurs, applications, etc, tous sont connectés au #réseau. Contrairement aux solutions de #sécurité traditionnelles qui fondent leur #défense sur des techniques avec signatures, le NDR va encore plus loin.  

En effet, il allie des systèmes de détection d’intrusion (IDS) utilisés historiquement, à de l’IA, de l’analyse comportementale et de la Threat Intelligence. Cette approche permet de détecter bien au-delà des règles des comportements malveillants au sein d’un volume de données gigantesque.  

Une détection aux étapes importantes d'une attaque

Lorsqu’une #cyberattaque est révélée au grand jour, en réalité, l’intrusion initiale a lieu des jours, des semaines voire des mois avant le résultat observable. D'après IBM Security, au niveau mondial, le chiffre officiel répertorié est 212 jours entre l’accès initial et l’impact. Et que se passe-t-il pendant ce temps-là ? Le #cyber intrus explore le réseau de l’entreprise pour récupérer ses données critiques. Et pour ce faire, il passe forcément par différentes étapes. 

A la suite de la compromission initiale, un acteur malveillant va réaliser un certain nombre d’actions pour se propager dans le réseau comme par exemple :  

• Utiliser le canal de “command & control”,  
• Effectuer des phases de découverte du réseau, 
• Essayer de contrôler d’autres ordinateurs,  
• Collecter des informations,  
• Se déplacer latéralement pour se rapprocher d’assets critiques, 
• Transférer des données,  
• Etc. 

Et c’est là qu’un outil NDR prend tout son sens. Il est spécialisé pour détecter ces différentes étapes qu‘un acteur malveillant va mener pour atteindre son objectif final. De plus, contrairement à l'EDR, il a l'avantage ne pas pouvoir être contourné.

Comment le NDR de Custocy va détecter ces étapes ?

Chez Custocy, notre solution NDR est fondée sur une technologie d'IA collaboratives, développée dans notre propre laboratoire de recherche, qui consiste à inspecter les flux de données sur plusieurs échelles de temps, de la plus courte à la plus longue, pour pouvoir détecter différents types d'attaques. Nos IA sont pilotées par une IA référente, le METALEARNER, qui prend la décision finale d'alerter ou non l'utilisateur.

Cette vision multi temporelle a un intérêt double :  

1. Elle va permettre de détecter avec précision des attaques variées, sophistiquées (APT) et inconnues ( zero-day) aussi bien courtes que persistantes sur la durée; 
2. Elle va réduire considérablement le nombre de faux positifs > 88 fois moins par rapport à une détection uniquement sur le flux.

Les alertes déclenchées dans l’interface Custocy affichent un score de dangerosité qui indique le niveau de criticité. De cette façon, les analystes comprennent en un coup d'œil où ils doivent concentrer leurs efforts. Ils ne sont plus soumis à une avalanche d’alertes, qui, disons-le, est souvent le point noir des outils de sécurité et notamment des NDR.

Quels types de comportement Custocy va pouvoir identifier ?

Vous l’aurez compris, l’intérêt principal d’une solution NDR est de pouvoir identifier le cyber malveillant au stade le plus précoce dans le but de l’empêcher de nuire. 

En travaillant sur des échelles de temps à la fois courtes et longues, le NDR de Custocy va pouvoir détecter avec précision plusieurs types de comportements tels que : 

• Des requêtes malicieuses faites à l’Active Directory,  
• Des scans de réseaux, 
• Des écoutes via un Man In The Middle, 
• Des envois de fichiers malveillants, 
• L’utilisation anormale de protocoles d’échange de fichiers (FTP, SMB, etc), 
• L’utilisation anormale de protocoles de contrôle à distance (SSH, telnet,etc), 
• L’ouverture d’une session de “Command and Control”, 
• Des exfiltrations de données, 
• Des connexions suspectes, 
• Des attaques distribuées (DoS et DDoS), 
• Des attaques DGA, 
• Des exploits, 
• Et bien d’autres encore. 

Pourquoi faut-il se doter d'un NDR ?

De nombreuses entreprises sous estiment la protection de leur réseau informatique ou pensent être déjà suffisamment protégées. Or, face à la multiplication et la sophistication des cyberattaques, notamment avec l'arrivée des IA génératives dont ChatGPT, il est indispensable de renforcer sa défense. La solution NDR s'affiche comme étant une brique complémentaire aux autres outils existants du marché (EDR, XDR, SIEM).

Les attaquants regorgent de techniques pour ne pas se faire démasquer, mais quoi qu’ils fassent, ils devront forcément passer par le réseau… et le réseau ne ment pas. Le NDR est donc l'outil indispensable pour en assurer la surveillance complète. Et en étant construit sur de l'IA maîtrisée, le NDR va permettre de détecter ce que les autres outils ne voient pas.  

En conclusion

À l'ère numérique actuelle, les menaces cybernétiques évoluent à un rythme sans précédent, mettant en péril la sécurité des données et la continuité des activités des entreprises. Face à cette menace croissante, il est impératif pour les organisations de renforcer leur posture de sécurité. C'est ici qu'intervient la solution NDR. En offrant une visibilité en temps réel sur le trafic réseau, elle permet de détecter rapidement les activités suspectes et d'y répondre efficacement. De plus, contrairement aux solutions traditionnelles qui se concentrent principalement sur la prévention, la NDR adopte une approche proactive, identifiant les menaces avant qu'elles ne causent de dommages. En somme, s'équiper d'une solution NDR n'est pas seulement une option, c'est une nécessité pour garantir une cybersécurité robuste et résiliente.