Network Detection & Response : une nouvelle approche de la cybersécurité

InfrastructureRéseauxSécurité

L’approche NDR a pour objectif de fournir aux clients des solutions afin de détecter les brèches, l’intrusion d’attaquants externes au sein de leur infrastructure le plus rapidement possible.

Si l’année 2020 fût tristement riche en cyberattaques, il semble malheureusement que 2021 prenne une direction similaire. En effet, depuis le début de l’année les attaques prolifèrent et rien ne semble aiguiller vers une amélioration de la situation.
Rien qu’en France, les cyberattaques contre les entreprises ou les administrations ont quadruplé en 2020, selon l’ANSSI. Et les récentes attaques contre les hôpitaux de Dax et de Villefranche-sur-Saône confirment bel et bien cette tendance.

C’est dans ce contexte anxiogène que le gouvernement vient de présenter un plan d’investissement à 1 milliard d’euros d’ici à 2025 dans le but de renforcer la sécurité des entreprises et administrations. Même si ces enjeux de cybersécurité ne datent pas d’aujourd’hui et qu’il existe déjà un grand nombre d’outils et solutions, cela ne semble toujours pas suffisant.

Un des éléments fréquemment laissé, à tort, en suspens par les entreprises est la question de la visibilité. En effet, sans visibilité sur leur trafic, les menaces de sécurité restent cachées et indétectables, ce qui augmente le risque de brèches et de perte de données. Il est peut-être temps pour les entreprises d’envisager une nouvelle approche.

Gartner a proposé l’année dernière, un regroupement de techniques de détection de menaces nommé Network Detection & Response (NDR). L’objectif de ces solutions de NDR étant d’améliorer les techniques de détection en entreprise.

Evolution des techniques de sécurisation des entreprise

Ces vingt dernières années, les entreprises investissaient principalement dans des solutions de sécurité de prévention de type firewalls destinées à empêcher les intrusions sur le réseau. Aujourd’hui, les solutions de détection partent du postulat que peu importe les solutions de préventions déployées, les entreprises subiront tout de même une brèche à un moment donné.

L’approche NDR a pour objectif de fournir aux clients des solutions afin de détecter les brèches, l’intrusion d’attaquants externes au sein de leur infrastructure le plus rapidement possible. Là où il est plus facile de connaitre les points d’entrées des attaquants (les accès à internet) avec les solutions de prévention, il est relativement plus complexe de le faire avec les solutions de détection.

En effet, ces solutions doivent pouvoir détecter en tout point du réseau. Elles doivent être en capacité de constater les comportements malveillants au plus près des applicatifs et ceci indépendamment du type d’infrastructure (virtuelle, cloud etc…). Ici encore, la question de la visibilité est primordiale car pour détecter ces comportements malicieux à l’intérieur du réseau et être le plus optimale possible, les solutions de NDR ont besoin d’une vue d’ensemble du trafic interne à l’entreprise.

Des solutions de détection encore plus efficientes

Contrairement aux solutions de sécurité traditionnelles de prévention fondées communément sur des signatures, les solutions de NDR vont aller encore plus loin. En effet, les solutions de prévention se basent sur des attaques déjà connues et répertoriées pour essayer de les bloquer. Cependant les cybercriminels peaufinent constamment leurs attaques et en échafaudent de nouvelles pour exploiter les failles de sécurité.

C’est pour cette raison que les techniques d’analyse par signatures peuvent rapidement devenir inefficaces. De l’autre côté, les solutions de NDR proposent une analyse comportementale reposant sur des techniques d’intelligence artificielle telles que le machine learning et le deep learning. L’objectif de ces solutions est de détecter des comportements jugés anormaux au sein d’un volume de données colossal.

Une fois cette anomalie détectée, la solution de NDR lève une alerte afin de permettre aux analystes d’en prendre connaissance et regarder de plus près ce qu’il s’y passe. Toutefois, les entreprises doivent bien comprendre que ces solutions se nourrissent d’un volume important de trafic et de ce fait, plus elles reçoivent de données plus elles sont en mesure de détecter un comportement malicieux.

Lorsque les cybercriminels réussissent à créer une brèche, c’est souvent au niveau de l’utilisateur grâce à des techniques de phishing. Ils vont par la suite reconnaitre l’environnement au sein duquel ils se trouvent et se déplacer latéralement pour se rapprocher d’assets critiques tels que les bases de données ou encore les serveurs de fichiers. Ceci afin d’extraire des documents ou de les chiffrer afin de demander une rançon dans le cadre d’un ransomware par exemple. C’est à ce moment-là que la solution de NDR intervient en détectant le scan réalisé par les attaquants ou en notifiant une connexion suspecte entre deux appareils et en les qualifiant de comportements anormaux qui doivent être analysés.

En détectant le scan immédiatement la solution de NDR permet d’être averti avant même que l’attaquant n’ai eu le temps de commencer son attaque. Une fonctionnalité qui pourrait déjouer un grand nombre d’attaques et éviter de lourdes pertes. En moyenne, les attaques sont détectées 94 jours après l’intrusion des cybercriminels dans le système informatique, selon l’ANSSI. Toutefois pour que ces solutions soient efficaces, il faut qu’elles puissent avoir une visibilité du trafic à l’intérieur du réseau. Les entreprises doivent veiller à fournir à ces solutions le plus de données possibles afin d’être en mesure de détecter les attaques au plus tôt et y remédier.

Par ailleurs, selon le type de solutions de NDR, certaines ont besoin d’avoir accès à un flux déchiffré pour appliquer leurs techniques d’analyse en profondeur. Une vraie problématique pour les entreprises qui ne procèdent généralement pas au déchiffrement du trafic, se retrouvent avec des solutions de détection incapable d’analyser la majeure partie du trafic qu’elles reçoivent.

Comment s’organise la réponse à ces détections

Une fois la détection effectuée, il est important que la solution de NDR soit intégrée dans une infrastructure globale qui va permettre de répondre de manière appropriée. Tout d’abord, la solution de NDR peut fournir des informations de probabilité et de sévérité de l’attaque détectée au préalable. Cela permet en cas de nombreuses détections, d’indiquer aux opérateurs les alertes les plus importantes qui requièrent le plus leur attention.

Lorsqu’une attaque à forte probabilité et sévérité est signalée, la réponse doit se faire de la manière la plus rapide et optimale possible. Les outils de NDR peuvent alors automatiquement enclencher une réponse sans qu’il y ait besoin de l’intervention d’un analyste, par exemple, envoyer une instruction à un firewall pour bloquer le trafic suspect.

Par la suite, il est également possible de faire appel à d’autres solutions plus précises et réactives tels que les outils de contrôle d’accès au réseau (NAC). Pour une efficience maximale, il est souhaitable que les solutions de NDR choisies par l’entreprise proviennent de la même famille d’outillage déjà présente dans son infrastructure. Cela permet de nativement gérer cette réponse sur incident grâce à l’interopérabilité native de ces solutions.

Dans un climat de plus en plus inquiétant où l’on recense chaque semaine une nouvelle cyberattaque, le NDR semble être pour les entreprises la nouvelle approche incontournable pour avoir une vision globale et complète sur les comportements malicieux au sein de leur réseau.

Auteur
En savoir plus 
Sales Engineer Europe du Sud
Gigamon
Mathieu Pierard est Sales Engineer Europe du Sud chez Gigamon
En savoir plus 

Livres blancs A la Une