Le NDR, une nouvelle façon de protéger votre réseau

La technologie NDR apporte des réponses novatrices à des problématiques réseau. Contrairement à des solutions aujourd’hui bien établies comme l’EDR ou le SIEM, le Network Detection & Response se distingue par ses capacités et sa précision dans l’écoute et l’analyse des flux. Il va notamment se concentrer sur tous les comportements suspects repérés au sein du SI : accès à des identifiants, mouvements latéraux, collecte de données, escalade de privilèges, …

Autre élément différenciant majeur : le NDR ne s’installe pas sous forme d’agent sur des devices. Grâce à son déploiement directement sur des appliances réseaux physiques ou Cloud, la solution supervise des équipements qui sont reliés au réseau et qui jusque-là étaient dans des zones d’ombres : imprimantes, machines industrielles, matériel médical, …

Notre nouveau partenaire de choix : VECTRA

Historique

VECTRA est un acteur américain de la cybersécurité depuis plus de 15 ans. Historiquement présent sur le marché de la sécurité informatique classique, l’entreprise s’est rapidement spécialisée dans la surveillance du réseau et la remédiation des alertes en se positionnant et en se spécialisant sur le NDR.

Grâce à différents moteurs d’analyse propulsés par de l’intelligence artificielle, le NDR limite les faux positifs et ne remonte que les alertes pertinentes et avérées. Cela permet aux équipes SOC de ses concentrer sur des investigations complexes pertinentes nécessitant du temps et une expertise précise.

Choix de SNS SECURITY

En septembre dernier, SNS SECURITY a officialisé son partenariat avec VECTRA. Après plusieurs phases de test de différentes solutions NDR, SNS SECURITY a choisi VECTRA pour sa maturité et l’étendue de sa couverture de protection, le tout sur un socle de valeurs communes. Leur solution vient étoffer notre catalogue d’offres SOC qui adresse maintenant à 100% la couverture réseau des entreprises.

Offre [S]DETECT

Notre contrat d’accompagnement [S]DETECT s’articule autour de la solution de VECTRA pour superviser et protéger votre réseau. Nous avons regroupé dans un même service une expertise humaine et technologie avancée pour vous faire bénéficier :

• d’une surveillance proactive de vos communications réseaux au sein de votre infrastructure (serveurs, ordinateur, mobiles, IoT, imprimantes, matériel industriel…) ;
• de la technologie brevetée VECTRA, compatible avec une quarantaine de solutions de sécurité ;
• d’une intelligence artificielle unique et ultra avancée ;
• de l’expertise d’analystes SOC certifiés.

[S]DETECT pour Microsoft 365

Connu sous l’acronyme CDR (Cloud Detection & Response), cette variante du NDR est dédiée à l’identification et la remédiation de menaces dans les environnements Cloud Office 365 et Azure AD.

La solution CDR a une visibilité sur ces différentes actions malveillantes qui peuvent survenir dans votre infrastructure Microsoft :

• recherche de mots de passe ou de données de valeur dans les e-mails (historique des conversations et des fichiers) ;
• configuration de règles de transfert permettant d’accéder à un flux continu d’e-mails ;
• exploitation du canal de communication de confiance (techniques d’ingénierie sociale) ;
• dissimulation de malware ou de liens malveillants ;
• vol ou prise en otage de fichiers et données (rançon).

Plus spécifiquement, la technologie VECTRA surveille des outils Microsoft qui sont souvent la cible de pirates de par leur criticité (données personnelles, fichiers confidentiels, logins…) :

• POWER AUTOMATE : création simple de workflows automatisés entre les applications Office 365 (Command & Control et déplacement latéral) ;
• eDISCOVERY : outil pour faire des recherches dans tout l’environnement Office 365 (reconnaissance, exfiltration de données) ;
• OAUTH : authentification des accès. Utilisé par les pirates pour conserver un accès persistant aux comptes Office 365.

Retrouvez le replay de la session du 23 novembre

Pour échanger plus en détails sur le sujet, nous avons organisé un premier webinar en commun avec notre partenaire VECTRA le 23 novembre à 14h30. Nous avons eu le plaisir d’accueillir pour la première fois sur notre chaîne WEBIKEO, Romain FASQUEL et Claire LOFFLER, respectivement Security Engineer et Senior Security Engineer VECTRA. La session du jour a été animée par Christian MILAN, Responsable SOC SNS SECURITY.

Si vous souhaitez découvrir ou en savoir plus sur la technologie Network Detection & Response, inscrivez-vous dès maintenant pour regarder la rediffusion.

Les solutions Endpoint Detection & Response et Network Detection & Response possèdent chacune, des fonctionnalités et des avantages bien spécifiques. La première se focalise sur la protection des postes de travail et des serveurs, tandis que l’autre surveille tous les échanges et communications au niveau du réseau. L’intégration des deux technologies n’a rien de redondant : ces dernières sont en effet parfaitement complémentaires. Ce qui les distinguent foncièrement : le niveau de maturité de l’organisation requis.

Endpoint Detection & Response

Origines de l’EDR

L’Endpoint Detection & Response a été créé pour pallier les limites de l’antivirus classique. En effet, les solutions historiques antivirales ont rapidement perdu de leur pertinence dans un monde où il faut également faire face à des menaces Zero day. Quand les cybermenaces deviennent de plus en plus sophistiquées, il devient nécessaire de pouvoir cibler le plus de types de canaux (ordinateur, mobile, serveur, réseau…) possibles.

L’EDR est aujourd’hui le type de solution de cybersécurité le plus adopté par les entreprises. Il permet à n’importe quelle organisation, de bénéficier d’une simplicité d’installation et de configuration, mais aussi de la couverture de sécurité polyvalente proposée par les acteurs présents sur le segment.

Fonctionnalités de l’EDR

Une solution Endpoint Detection & Response se matérialise sous forme d’un agent de sécurité installé sur les postes de travail et/ou les serveurs. Ce dernier collecte les données remontant des différents canaux analysés et permet une mise en relation pour détecter les activités malveillantes et de prendre des actions de remédiation.

Surveillance en temps réel à 360°

L’EDR étant installé grâce à un agent on-device, tout le flux peut être analysé en temps-réel. Téléchargement de fichiers, navigation internet, paramètres réseau, … tous les canaux, vecteurs de menaces, sont sous surveillance.

Détection des menaces avancées

Les solutions EDR protègent efficacement contre les menaces de type ransomware, botnet, trojan… qu’ils soient connus ou non. Allant bien au-delà de la simple analyse virale, l’analyse comportementale des EDR permet de détecter des indicateurs de menaces beaucoup plus fins et pertinents.

Investigation et remédiation

Le travail d’investigation peut être encore plus poussé. En corrélant plusieurs éléments entre eux, il est possible d’enclencher des actions de remédiation (mise en quarantaine d’un terminal, désinstallation d’un fichier par exemple) et d’informer l’utilisateur sur la menace.

Bénéfices de l’EDR

Visibilité étendue

L’agent de sécurité installé a une vue d’ensemble sur la quasi-totalité du système d’information. La puissance de l’EDR réside aussi dans sa capacité à avoir une vision globale en temps-réel, tout en faisant un focus sur un terminal précis ou une connexion à l’instant T.

Autoapprentissage continue

Les solutions EDR utilisent des principes d’IA et de machine learning pour identifier les menaces connues ou de type Zero Day. En combinant de l’analyse statique et dynamique, les malwares, par exemple, pourront être identifiés avant ou après leur exécution.

Intégration avec l’écosystème existant

Les éditeurs de solutions EDR ont rapidement compris l’intégrer de pouvoir s’intégrer avec d’autres acteurs. Certains éditeurs ont fait le choix d’évoluer leur technologie vers de l’XDR (eXtended Detection & Response). D’autres constructeurs ont pris une autre voie et privilégié une synchronisation par API avec différentes solutions de type SIEM ou SOAR afin que les données puissent être analysées et exploitées à un seul endroit par les équipes de sécurité.

Network Detection & Response

Origines du NDR

Pour analyser le réseau, des solutions d’analyse du trafic sont disponibles depuis de longues années maintenant. Pour autant, celles-ci n’ont pas vocation à agir en profondeur et plus précisément contre les menaces exploitant le réseau. Ce n’est que très récemment, en 2020 avec Gartner, que le terme Network Detection & Response est né.

Fonctionnalités du NDR

Le Network Detection & Response identifie et stoppe les menaces réseau évasives. La solution analyse des données brutes pour détecter les comportements anormaux et prendre des mesures de remédiation.

Contrôle en temps-réel

Avec une visibilité complète sur les échanges réseaux, la moindre anomalie avérée peut remonter sous forme d’alerte sur la plateforme. Le NDR agit notamment lorsqu’il y a tentative d’intrusion. La détection est assurée et permet de prendre très rapidement les mesures correctives qui s’imposent pour stopper net l’attaquant et retracer son parcours.

Analyse de tous les échanges

Quid des échanges chiffrés ? Une grande partie des échanges se font se manière sécurisés mais un NDR est malgré tout capable de déceler de l’information. Au lieu de lire et d’interpréter le contenu d’un paquet réseau, il analyse les métadonnées et identifie les changements de comportements en cours.

Investigation approfondie

Les plateformes NDR collectent une quantité importante d’informations et sont capables de donner du contexte à chaque action. Elles peuvent notamment identifier : les tentatives de reconnaissance du réseau, les identifiants utilisés dans le cadre de mouvement latéral, les accès à des fichiers importants, les sites de Command & Control qui sont contactés, … Avec cette vue d’ensemble, les faux positifs sont réduits et les alertes mieux catégorisées.

Bénéfices du NDR

Surveillance de chaque machine possédant une IP

Contrairement à une solution EDR, la technologie NDR va être directement installée sur les équipements réseaux qui gèrent le traffc : switchs, TAP, … Cela ouvre la possibilité de sécuriser des machines qui étaient jusqu’à là délaissées ou trop peu couvertes : imprimantes, dispositif de domotique, machines industrielles, matériel médical, etc.

Intégration étendue

Les différents acteurs du NDR offrent des intégrations avancées avec des plateformes de centralisation SIEM ou SOAR. Cette fonctionnalité est d’autant plus intéressante que l’entreprise sécurisée possède déjà une solution EDR, MDM etc. et qu’elle souhaite regrouper toutes ses données à un seul et même endroit.

Combiner les deux technologies pour une couverture étendue

Les technologies EDR et NDR protègent les entreprises en analysant des métriques de sécurité et prennent des actions correctives. Elles agissent sur un périmètre différent et sont à ce titre, complémentaires.
Le NDR va se focaliser sur les échanges réseaux entre différentes machines tandis que l’EDR va analyser les différentes actions effectuées sur un ordinateur, un mobile ou un serveur.
La couverture des menaces est également différente :

• EDR : surveille l’apparition de vulnérabilités, le téléchargement de fichiers ou d’exécutables malveillants. Détecte les malwares qui ont une signature virale ou non.
• NDR : Identifie les mouvements latéraux, l’utilisation d’identifiants inappropriés, les communications avec un serveur C&C et plus globalement toute anomalie de communication réseau.

Si disparités il y a, la bonne nouvelle est que les deux technologies fonctionnement parfaitement ensemble. Car en combinant les forces de l’EDR et du NDR, vous profitez d’une couverture étendue de votre système d’information.