NDR – Network Detection & Response est désormais considérée comme une technologie de sécurité informatique qui ne devrait manquer dans aucun réseau d’entreprise. Mais qui évalue toutes les données et dirige la réponse ? Le mot magique ici est MDR – Managed Detection and Response Services. Un entretien avec Michael Veit, expert en sécurité chez Sophos.
Les solutions de sécurité efficaces incluent des composants technologiques tels que la protection des points de terminaison en réseau, un pare-feu de nouvelle génération, tous deux associés à l'intelligence artificielle et à l'expertise humaine sous la forme de services de sécurité.
Alors que les solutions de sécurité classiques détectent et conjurent un grand nombre d’attaques et d’anomalies malveillantes, la protection directe du réseau a longtemps été quelque peu négligée. Cependant, une fois que les attaquants ont réussi à accéder au réseau, ils sont difficiles à localiser. Ni la protection des points finaux ni le pare-feu ne détectent de manière fiable les attaquants déjà présents sur le réseau. De cette manière, les attaquants peuvent se déplacer librement et secrètement latéralement à travers le réseau pendant une longue période (mouvement latéral) afin de préparer leur attaque ou leur vol de données.
NDR c’est bien – MDR c’est mieux
Michael Veit, expert en sécurité chez Sophos (Image : Sophos).
NDR (Network Detection and Response) est désormais indispensable pour une sécurité réseau renforcée. Bien que les technologies de détection NDR fournissent un très bon aperçu de l’état et de la protection du réseau, les messages inoffensifs et dangereux doivent également être compris. Enfin, il est également important de remplir le point « Réponse » du NDR, c'est-à-dire prendre les bonnes mesures suite aux indications d'une attaque ou d'un incident.
Sophos aborde exactement ce point dans ses solutions et propose aux entreprises une détection et une réponse gérées ainsi qu'une cybersécurité en tant que service 24 heures sur 7, 365 jours sur XNUMX et XNUMX jours par an. Michael Veit, expert en sécurité chez Sophos, nous répond dans une interview sur le fonctionnement exact du MDR avec Sophos, ce qu'il peut faire et quels sont les points importants.
Les atouts du NDR en combinaison avec le MDR – Cybersecurity as a Service
Cybersécurité B2B : Quels sont les atouts du NDR pour les entreprises ?
Michel Veit, Sophos : « Une solution NDR moderne détecte les attaques même en profondeur dans le réseau. Il surveille le trafic et détecte également l'activité des systèmes non gérés, des appareils IoT, des utilisateurs ou actifs non autorisés et de toute autre source de trafic réseau. Il peut même inspecter les données par paquets cryptées sans mettre en danger les données personnelles.
La nouvelle génération de NDR, comme celle de Sophos, est une solution avancée de surveillance réseau conçue pour faire face au paysage des menaces complexe et en constante évolution. Il combine cinq moteurs de détection propriétaires avec des analyses d'apprentissage profond pour fournir des informations exploitables en temps réel sur un large éventail de menaces réseau. Les moteurs de détection classent le trafic réseau en fonction de plus de 330 protocoles, 50 risques de flux et des milliers d'IOC. Ces moteurs incluent également plusieurs modèles d’apprentissage profond qui offrent de nouveaux niveaux de précision dans la détection des menaces tout en minimisant les faux positifs.
Cybersécurité B2B : Pourquoi les entreprises devraient-elles s'appuyer sur le MDR en combinaison avec le NDR ?
Michel Veit, Sophos : « La détection d'une anomalie ou d'un modèle d'attaque dans le réseau n'est que la première étape. Un système NDR avertit l'entreprise et fournit également des informations pertinentes sur le problème ou l'attaque. Celles-ci doivent être interprétées correctement et ensuite la partie « réponse » doit être parfaitement remplie. Et c’est précisément là que réside le problème pour de nombreuses entreprises, car elles ne disposent pas d’experts. Les choses fonctionnent différemment avec MDR : une fois détectés, les attaquants doivent être retirés du réseau et les failles doivent être comblées. Cela se fait automatiquement via un autre composant crucial de l’écosystème de sécurité : MDR (Managed Detection and Response Services). Les services MDR sont automatiquement informés par la solution NDR qu'un attaquant non détecté auparavant peut se trouver dans le réseau de l'entreprise.
Grâce à ces informations, l'équipe du centre d'opérations de sécurité MDR de Sophos prend immédiatement des mesures, enquête sur le rapport NDR et élimine les attaquants. Parallèlement, les experts légistes étudient les chemins de l'attaque afin de découvrir des logiciels malveillants résiduels ou de détecter et corriger des manipulations et des modifications de droits sur le réseau. Seul le traitement précis d’une telle chaîne d’incidents constitue une réponse parfaite à une attaque.»
Cybersécurité B2B : Quelles sont les particularités d’un NDR ?
Michel Veit, Sophos : « Les technologies NDR apportent beaucoup de lumière à une entreprise dans un réseau autrement sombre. Cela permet d'identifier les appareils réseau inconnus ou non protégés, y compris les appareils IoT ou OT légitimes qui ne peuvent pas être entièrement gérés avec un capteur de point de terminaison. Il s'agit par exemple des appareils IoT, des imprimantes ou des systèmes obsolètes présents sur le réseau. Les appareils réseau oubliés et donc non pris en compte et protégés par la sécurité informatique sont également appréciés des pirates. NDR identifie et surveille ces appareils à la recherche de comportements suspects ou malveillants pouvant indiquer une attaque.
De plus, les actifs non autorisés introduits dans le réseau et susceptibles d’être déjà compromis ou utilisés pour lancer une attaque peuvent être facilement détectés et surveillés par Sophos NDR.
Cybersécurité B2B : Sophos NDR détecte-t-il également les attaques les plus modernes ?
Michel Veit, Sophos : «C'est un point très intéressant. La solution détecte également des activités de commandement et de contrôle (C2) inédites. Car de nombreuses attaques et failles de sécurité sont contrôlées à distance. À première vue, certaines communications entre l’attaquant et ses processus distants au sein du réseau semblent légitimes. NDR peut détecter de nouvelles activités C2 Zero Day et ainsi détecter à un stade précoce des attaques ciblées et hautement spécialisées.
Une autre particularité de la solution est la détection précoce des flux de trafic réseau suspects. Sophos est même capable d'identifier des modèles de trafic inhabituels et ainsi de détecter le trafic nuisible généré par des logiciels malveillants connus. Un exemple : Sophos a analysé le modèle de trafic de QBot ou Qakbot et l'a comparé aux flux de trafic réseau suspects. C’est également ainsi qu’une attaque de QBot a été identifiée. La technologie derrière : Le modèle Sophos NDR EPA (Encrypted Payload Analytics) convertit les flux de paquets en images et utilise un réseau neuronal pour déterminer si l'image correspond à ce que nous attendons d'un flux de données Qakbot ou d'une autre famille de logiciels malveillants (par exemple Bumblebee, Cobalt Strike, Emotet, Dridex).
Plus sur Sophos.com
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.