La technologie avancée de lutte contre la cybercriminalité utilisée par les grandes organisations depuis des années est désormais à la portée des petites entreprises : Network Detection and Response.
Se protéger dans la tempête actuelle de cybercriminalité est un défi pour les petites et moyennes entreprises, souvent avec des budgets et des ressources limités. Les menaces évoluent plus rapidement que les solutions de cybersécurité existantes, et les petits services informatiques ne peuvent pas suivre.
Les rançongiciels peuvent frapper n'importe qui
Les attaques de ransomwares sont omniprésentes, mais le paysage des menaces ne s'arrête pas là : les menaces persistantes avancées, les menaces internes et les attaques de la chaîne d'approvisionnement font partie des nombreuses menaces quotidiennes. Les attaquants utilisent les mêmes technologies de pointe que les fournisseurs de cybersécurité, telles que l'intelligence artificielle (IA), le chiffrement et l'analyse des vulnérabilités. Vous bénéficiez d'un marché noir mature pour les logiciels malveillants et les rançongiciels en tant que service. Ils bénéficient d'une surface d'attaque en constante expansion, qui se développe en raison de l'adoption rapide des solutions cloud, de l'IoT et de la fédération d'identité. Par exemple, les attaques récentes de la chaîne d'approvisionnement telles que celles sur Solarwinds et Kaseya semblent parfaitement légitimes pour les outils de sécurité traditionnels. Les appareils IoT, les appareils non gérés ou personnels et les machines virtuelles ou conteneurs oubliés créent des angles morts de sécurité.
Ressources regroupées sur un seul tableau de bord
Lorsque les petites entreprises ont la chance d'avoir des analystes de sécurité, ces ressources doivent consulter plusieurs tableaux de bord pour détecter et comprendre une menace ou une attaque complexe. Voici les phrases typiques que l'on entend des responsables de la sécurité informatique dans les petites entreprises : "Je suis bien conscient que nous avons des angles morts dans le réseau et de grandes lacunes dans notre architecture de sécurité. Nous ne voyons qu'une partie du réseau et des appareils ». Avec autant d'outils de sécurité, ils ne savent pas comment hiérarchiser les alertes : "Que dois-je faire en premier et que dois-je ignorer ?" Et lorsqu'ils répondent aux menaces, ils doivent fouiller manuellement dans différents systèmes et journaux pour obtenir un résultat significatif. "Il est tellement inefficace et prend trop de temps pour enquêter sur la cause première d'un incident de sécurité."
Détection des menaces dans le réseau
Une chose est restée la même au fil des ans : chaque faille de sécurité majeure implique le trafic réseau. Par exemple, si les pirates veulent voler des données, ils doivent apporter leur butin à un endroit spécifique. Les attaques récentes, telles que l'attaque "Sunburst" sur la chaîne d'approvisionnement, ne peuvent être détectées qu'en (a) reconnaissant que quelque chose ne va pas avec le trafic réseau et (b) en étant capable de réagir immédiatement à cette activité et de l'arrêter.
Cela nécessite une détection et une réponse automatisée au niveau de la couche réseau, que très peu d'organisations, généralement de grandes entreprises, ont mises en œuvre aujourd'hui. Gartner définit la détection et la réponse réseau (NDR) comme des solutions qui "utilisent principalement des techniques non basées sur les signatures... pour détecter le trafic suspect sur les réseaux d'entreprise". Selon les analystes, les outils NDR "analysent en continu le trafic brut et/ou les enregistrements de flux... pour créer des modèles qui reflètent le comportement normal du réseau", et le système émet des alertes "lorsqu'il détecte des modèles de trafic suspects". Les autres fonctions clés des solutions NDR sont les réponses automatiques ou manuelles (voir Gartner, « Market Guide for Network Detection and Response », publié le 11 juin 2020).
La solution NDR identifie les actifs sur le réseau
En d'autres termes, une solution NDR identifie tous les actifs sur le réseau, y compris les appareils IoT et les appareils non gérés. Il analyse les métadonnées complètes du réseau et le trafic réseau - à la fois le trafic est/ouest et nord/sud (c'est-à-dire le trafic interne et le trafic traversant le périmètre du réseau). À l'aide de capteurs placés sur le réseau, il surveille le trafic, garde une trace de toutes les métadonnées du réseau et intègre ces données aux journaux d'autres solutions de sécurité existantes telles que la sécurité des terminaux, EDR, pare-feu, SIEM et SOAR. Étant donné que NDR fonctionne avec des copies de ces données, aucun agent ou autre changement n'est requis dans le réseau.
Vue à 360 degrés du réseau
En conséquence, les organisations bénéficient d'une vue à 360 degrés pour comprendre les menaces externes ou internes. Ils voient quand les données quittent leur réseau vers un emplacement suspect à l'étranger. Ils remarquent lorsqu'un PC accède à des domaines ou des URL malveillants. Vous remarquez que des logiciels malveillants placent des copies chiffrées de données sur le réseau. Ils informent les analystes de sécurité lorsque le serveur Web de la caméra IP s'avère vulnérable. Et ils peuvent arrêter et atténuer instantanément bon nombre de ces menaces grâce à des capacités de réponse automatisées.
Thomas Krause, directeur régional DACH-NL chez ForeNova Technologies (Image : ForeNova).
NDR n'est pas nouveau et a déjà subi quelques changements. Il s'appelait auparavant NTA (Network Traffic Analysis) ou NTSA (Network Traffic Security Analysis). L'approche a maintenant mûri et comporte un élément de réponse plus sophistiqué. Néanmoins, c'est encore un outil assez rare qui est désormais utilisé presque exclusivement dans les très grandes entreprises. Pourquoi donc?
De grandes quantités de données peuvent générer des faux positifs
Le point clé est que ces grandes entreprises savent exactement ce qui est en jeu. Conscients du risque existentiel auquel leur entreprise est confrontée et de la surface d'attaque sans fin, ils ne sont tout simplement pas disposés à payer le prix d'une solution qui les aide vraiment. Ils fournissent également toute la main-d'œuvre nécessaire pour que les experts les dirigent. Un défi majeur est que les outils NDR ont tendance à renvoyer de nombreux faux positifs en raison de la grande quantité de données qu'ils examinent. Donc jusqu'à présent, pour financer une équipe pour faire face à la déferlante de faux positifs, si vous vouliez bénéficier du NDR, il fallait un budget cybersécurité conséquent. De plus, seules les grandes entreprises étaient disposées et capables de faire face à ce déluge de faux positifs.
Rendre NDR gérable et abordable pour les PME
Les progrès récents rendent NDR plus gérable pour les petites entreprises. En un mot, les sept innovations NDR suivantes changent la donne :
- Intelligence artificielle : les outils NDR traditionnels ont détecté de nombreux écarts par rapport au comportement modélisé du réseau. Mais tous ne constituaient pas de véritables menaces. En fait, la plupart d'entre eux étaient de fausses alertes. Il a fallu beaucoup de spécialistes pour s'occuper de ces faux positifs. Grâce à l'intelligence artificielle, les outils NDR modernes peuvent désormais fonctionner pour les PME en limitant les alertes aux événements qui doivent vraiment être traités automatiquement ou qui doivent être examinés par un spécialiste humain.
- Apprentissage automatique : l'apprentissage automatique d'aujourd'hui peut modéliser le comportement normal du trafic réseau de manière beaucoup plus précise que les générations précédentes. Différents algorithmes d'apprentissage identifient et corrèlent des centaines de facteurs dans les données du réseau, ce qui conduit à des modèles beaucoup plus granulaires.
- Interface utilisateur hautement visualisée : Rien ne fait gagner plus de temps aux analystes de sécurité qu'une interface utilisateur propre et visualisée. Il est beaucoup plus facile pour vous d'avoir une vue d'ensemble de ce qui est important et de ce qui doit être fait. De plus, il leur est beaucoup plus facile d'expliquer à la direction ce qui s'est passé lorsqu'ils reçoivent des rapports clairs et visualisés.
- Détection automatique de tous les actifs du réseau : les angles morts du réseau sont le point d'entrée idéal pour les pirates et les logiciels malveillants. Vous ne pouvez pas protéger ce que vous ne pouvez pas voir. Grâce à la détection automatique, les outils NDR modernes éliminent les angles morts très tôt et donnent aux analystes de la sécurité un aperçu en temps réel du réseau.
- Intégration avec la protection des terminaux, le pare-feu, le SIEM, l'EDR et d'autres outils : l'intégration fonctionne de deux manières. D'une part, l'agrégation des fichiers journaux des technologies de sécurité existantes permet de modéliser l'état normal. D'un autre côté, cela peut accélérer la réaction. Par exemple, des playbooks prédéfinis peuvent automatiser une mise en quarantaine immédiate pour un endpoint infecté ou l'interruption du trafic sortant au niveau du pare-feu. Si vous vous faites pirater, le temps presse pour en atténuer les effets. Et l'intégration avec d'autres systèmes de sécurité peut faire gagner du temps.
- Enquête automatisée sur les incidents et corrélation des événements : Une attaque sophistiquée consiste toujours en une chaîne d'attaque complexe. Lorsque leur système a été piraté ou que quelque chose semble suspect, les analystes de la sécurité doivent déterminer d'où vient la menace pendant que le temps presse. Avec les moteurs de corrélation modernes, ils peuvent facilement retracer n'importe quel événement jusqu'à sa cause première et combler toute vulnérabilité ou lacune.
- Mesures de réponse standard : les ressources de sécurité informatique étant limitées, ce qui est le cas pour presque toutes les petites et moyennes entreprises, les entreprises doivent automatiser autant que possible la réponse aux menaces. L'utilisation de réponses par défaut prédéfinies, telles que la mise en quarantaine des ressources réseau infectées, peut atténuer les attaques en temps quasi réel. Les outils NDR peuvent définir des playbooks qui déclenchent plusieurs actions à la fois, allant des e-mails et SMS aux membres de l'équipe à la réinitialisation des mots de passe et à la mise à jour des règles de pare-feu.
Grâce aux récents développements NDR, de nombreuses autres petites entreprises sont désormais en mesure de détecter les menaces de plus en plus sophistiquées sur leur surface d'attaque croissante. Les solutions NDR nécessitent moins de ressources car elles font la distinction entre les menaces réelles et les faux positifs, hiérarchisent les actions et automatisent la correction des menaces. C'est toujours la tempête parfaite là-bas, mais avec l'aide de NDR, les PME sont bien mieux équipées pour tenir le coup.
Plus sur ForeNova.com
À propos de ForeNova ForeNova est un spécialiste de la cybersécurité basé aux États-Unis qui propose aux entreprises de taille moyenne une détection et une réponse réseau (NDR) abordables et complètes pour atténuer efficacement les dommages causés par les cybermenaces et minimiser les risques commerciaux. ForeNova exploite le centre de données pour les clients européens à Francfort a. M. et conçoit toutes les solutions conformes au RGPD. Le siège européen est à Amsterdam.