Qu'est ce que le NDR (Network Detection & Response) ?

En quoi consiste la détection et réponse à un incident ?

Une solution de détection et réponse à un incident (Network Detection and Response, NDR) est une solution de cybersécurité assurant une surveillance continue du réseau d'une entreprise afin de détecter les cybermenaces et les comportements inhabituels à l'aide d'outils et techniques non basés sur des signatures, et capable d'apporter une réponse à ces menaces en s'appuyant sur ses capacités natives ou par l'intégration avec d'autres outils ou solutions de cybersécurité.

Comment fonctionnent les solutions de détection et réponse à un incident ?

Une solution de détection et réponse à un incident (Network Detection and Response, NDR) est une solution de cybersécurité assurant une surveillance continue du réseau d'une entreprise afin de détecter les cybermenaces et les comportements inhabituels à l'aide d'outils et techniques non basés sur des signatures, et capable d'apporter une réponse à ces menaces en s'appuyant sur ses capacités natives ou par l'intégration avec d'autres outils ou solutions de cybersécurité.

Pourquoi mon entreprise a-t-elle besoin d'une solution de détection et réponse à un incident ?

Le SOC Visibility Triad de Gartner

SOC Visibility triad

Les solutions NDR jouent un rôle central dans la sécurisation de votre infrastructure numérique.

Il est généralement possible d'accéder à l'historique des menaces à partir du réseau, des terminaux et des journaux d'événements.

  • Les solutions de détection et d'aide à la résolution des incidents sur les terminaux (Endpoint Detection and Response, EDR) offrent une vue détaillée des processus s'exécutant sur un système ainsi que des interactions entre ceux-ci.
  • Les solutions de détection et réponse à un incident (Network Detection and Response, NDR) offrent quant à elles une vue globale des interactions qui existent entre les différents équipements du réseau.
  • Les équipes de sécurité configurent les systèmes de gestion des évènements et des informations de sécurité (Security Information and Event Management, SIEM) de manière à recueillir les informations des journaux d'événements d'autres systèmes et mettre en corrélation les données de différentes sources.

Les équipes de sécurité qui déploient ces outils disposent d'informations précieuses qui leur permettent de répondre à un grand nombre de questions lorsqu'elles sont confrontées à un incident ou cherchent à détecter des menaces.Elles peuvent ainsi apporter une réponse aux questions suivantes : Comment se comportait cette ressource ou ce compte avant que l'alerte soit déclenchée ? Que s'est-il produit avec ce compte ou cette ressource après le déclenchement de l'alerte ? À partir de quel moment la situation s'est-elle détériorée ?

Les solutions NDR détectent des éléments inaccessibles aux autres outils

Parmi tous ces outils, les solutions NDR s'avèrent les plus essentielles, car elles offrent une perspective unique sur des éléments inaccessibles pour les autres outils.

Par exemple, les exploits agissant au niveau du BIOS d'un terminal peuvent échapper aux solutions EDR et certaines activités malveillantes peuvent ne pas apparaître dans les journaux. Leurs activités seront néanmoins visibles par les outils réseau dès qu'ils interagiront avec un autre système du réseau.

Les auteurs d'attaques avancées ou sophistiquées peuvent utiliser des tunnels HTTPS chiffrés dissimulés qui se fondent dans le trafic habituel, et ce afin de lancer une session de commande et de contrôle (C&C), d'exfiltrer des informations sensibles sur l'entreprise et ses clients, et d'échapper aux contrôles de sécurité périmétriques. Les solutions NDR sont quant à elles particulièrement performantes pour détecter ces types de comportements.

Les plates-formes les plus efficaces de détection et d'aide à la résolution des incidents réseau optimisées par l'intelligence artificielle recueillent et conservent les métadonnées pertinentes et les enrichissent à l'aide d'informations de sécurité issues de l'intelligence artificielle.

L'utilisation efficace de l'intelligence artificielle peut guider la détection des attaquants en temps réel et contribuer à mener des investigations décisives.

Quels sont les avantages d’une solution de détection et réponse à un incident ?

Une visibilité sans faille

Les solutions de cybersécurité de détection et réponse à un incident offrent une visibilité ininterrompue sur l'ensemble des utilisateurs, terminaux et ressources technologiques connectés au réseau, des centres de données au cloud, des utilisateurs sur site aux utilisateurs à domicile, des solutions IaaS aux solutions SaaS, ou encore des imprimantes réseau aux équipements IoT.

Une détection des attaques précise et avancée

Les solutions NDR leaders du marché tirent parti de l'analyse comportementale et de l'apprentissage automatique ou de l'intelligence artificielle pour modéliser directement les comportements des cybercriminels et détecter les attaques avancées et persistantes avec une précision redoutable. Parce qu'elles ne détectent pas les anomalies mais les attaques actives, elles épargnent aux entreprises une avalanche d'alertes inconséquentes et superflues. Elles assurent la détection de menaces aux différentes étapes d'un cycle d'attaque, notamment la persistance, l'élévation des privilèges, le contournement des défenses, l'accès aux identifiants, la découverte, les déplacements latéraux, la collecte de données, la commande et le contrôle, ou encore l'exfiltration.

Un SOC plus efficace

Les solutions NDR optimisées par l'intelligence artificielle leaders du marché sont automatisées et permettent une amélioration sensible des évaluations de sécurité et de l'efficacité opérationnelle des centres d'opérations de sécurité, malgré la pénurie grandissante de personnel et le manque chronique d'expertise en matière de cybersécurité dont souffrent les entreprises et les équipes dédiées. Elles assurent une reconstitution complète des attaques en langage naturel pour mettre à la disposition des analystes toutes les informations dont ils ont besoin pour répondre rapidement et de manière complète à chaque nouvelle alerte.

Neutralisation des attaques en temps réel

En plus de détecter les attaques sophistiquées déployées de manière discrète et basées sur des techniques de contournement, les solutions NDR donnent la possibilité d'apporter une réponse automatique aux attaques critiques par le biais de contrôles natifs et de les neutraliser en temps réel. Elles s'intègrent également avec différents produits de cybersécurité, comme les solutions EDR ou SOAR.

Vectra: La meilleure plateforme de détection et de réponse du marché.

Testez la plateforme Vectra

Rien de plus simple que de tester la plateforme pour comprendre ses bénéfices pour votre entreprise.