Network detection and response

Le Network detection and response (NDR) est une catégorie de produits de sécurité réseau détectant les comportements anormaux du système en analysant en permanence le trafic réseau. Les solutions NDR font de l'analyses comportementale pour inspecter les paquets réseau bruts et les métadonnées des communications réseau internes (est-ouest) et externes (nord-sud)[1].

Description

Le NDR est livré avec une combinaison de capteurs matériels et logiciels, ainsi qu'une console de gestion logicielle ou SaaS. Les organisations utilisent le NDR pour détecter et contenir les activités malveillantes post-intrusion, telles que les rançongiciel, ainsi que les attaques internes. Le fonctionnement du NDR repose essentiellement sur l’identification de modèles de comportement anormaux et d’anomalies plutôt que sur la détection de signatures. Cela permet au NDR de détecter les signaux faibles et les menaces inconnues du trafic réseau, comme les mouvements latéraux ou l'exfiltration de données[1].

Le NDR offre une visibilité sur les activités du réseau pour identifier les anomalies à l'aide d'algorithmes d'apprentissage automatique. Les capacités de réponse automatisées peuvent contribuer à réduire la charge de travail des équipes de sécurité. Le NDR aide également dans la réponse à incident et le threat hunting, en fournissant du contexte et des elements d'analyse[1].

Les options de déploiement incluent à la fois des capteurs physiques ou des capteurs virtuels. Les capteurs sont généralement hors bande, positionnés pour surveiller les flux du réseau sans affecter les performances. Les options de NDR basées sur le cloud s'intègrent aux fournisseurs IaaS pour gagner en visibilité sur les environnements hybrides. Un réglage en continu permet de réduire le taux de faux positifs. Le NDR est en concurrence pour les budgets de sécurité avec des outils plus généralistes tels que les plateformes SIEM et XDR[1].

Les principales fonctionnalités offertes par les solutions NDR incluent : la détection des menaces en temps réel grâce à une surveillance continue, un workflow rapide de réponse aux incidents pour minimiser les dommages, une complexité réduite par rapport à la gestion de plusieurs solutions, une visibilité améliorée pour la conformité et la gestion des risques, la détection et la réponse automatisées, une analyse comportementale des endpoints et des utilisateurs, une intégration avec le SIEM pour une surveillance centralisée[2].

Histoire

Les origines du NDR remontent aux solutions de Network traffic analysis (NTA) apparues en 2019. Les solutions de NTA fournissent alors une plus grande visibilité sur les activités du réseau pour identifier et répondre rapidement aux menaces potentielles[2].

En 2020, l’adoption du NTA pour la détection des menaces en temps réel se développe. Cette meme année, une étude révèle que 87 % des organisations utilisaient le NTA, et 43 % le considéraient comme une « première ligne de défense ». Le marché du NTA était évalué à 2,9 milliards de dollars américains en 2022 et devrait atteindre 8,5 milliards de dollars américains d'ici 2032. Le NTA a évolué pour devenir le NDR, une catégorie de produits distincte. Le NDR combine des capacités de détection avec des workflow de réponse à incident. Cela a permis de détecter et de réagir aux menaces sur les réseaux en temps réel[2].

Des attaques majeures comme WannaCry en 2017 et la vulnérabilité SolarWinds en 2020 ont mis en évidence la nécessité de solutions comme le NDR. Les défenses périmétriques traditionnelles et les outils basés sur les signatures se sont révélés insuffisants contre les menaces contemporaines[2].

Introduction de l'Intelligence artificielle

L'intelligence artificielle est de plus en plus utilisée dans les outils NDR à mesure que les équipes de sécurité explorent son potentiel. Les principaux cas d'utilisation de l'IA pour le NDR incluent[3] :

  • Une détection améliorée des menaces : l'IA peut analyser de grands volumes de données sur les vulnérabilités, les menaces et les tactiques d'attaque pour identifier les activités réseau anormales. Cela permet au NDR de détecter les modèles d'attaques émergents avec une plus grande précision et moins de faux-positifs[3].
  • Une meilleure priorisation des alertes : les modèles d'IA peuvent évaluer la criticité des alertes NDR en fonction de facteurs tels que les actifs concernés, l'exploitabilité et l'impact potentiel. Cela permet aux équipes de sécurité de trier efficacement les alertes malgré le manque de main-d'œuvre[3].
  • Une optimisation du flux de travail des analystes : les assistants IA peuvent fournir des conseils aux analystes lors de la réponse à un incident, en suggérant des étapes d'enquête pertinentes en fonction des détails de la menace. Cela amplifie l’efficacité des analystes, en particulier pour le personnel débutant dépourvu d’expertise spécialisée[3].
  • Une réponse automatisée : Bien qu’elle ne soit pas encore largement adoptée, l’IA pourrait permettre aux plateformes NDR d’exécuter de manière autonome des mesures de confinement telles que la mise en quarantaine des points finaux. L’IA identifierait et recommanderait des actions de réponse pour approbation des analystes[3].
  • Une meilleure communications de la part de l'équipe de sécurité : Les fournisseurs de NDR explorent les intégrations avec l'IA en langage naturel pour générer des rapports d'incident et des mesures compréhensibles pour les chefs d'entreprise, et pas seulement pour le personnel technique de sécurité[3].

Fournisseurs de NDR

Selon Gartner, les fournisseurs de NDR incluent Cisco, Corelight, Darktrace, ExtraHop, Fortinet, IronNet, MixMode, Plixer, Trend Micro, Vectra AI[1] et Gatewatcher.

Références

  1. a b c d et e Jonathan Nunez, Andrew Davies, « Hype Cycle for Security Operations, 2023 », www.gartner.com, (consulté le )
  2. a b c et d (en-US) Wiens, « A Comprehensive Guide to Network Detection & Response (NDR) — What CIOs & Security Analysts Should Know », Security Boulevard, (consulté le )
  3. a b c d e et f (en) Grady, « How AI benefits network detection and response », TechTarget (consulté le )

Voir aussi
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya