Signification de NDR : Qu'est ce que le NDR ? Définition et description

En quoi consiste la détection et réponse à un incident ?

Une solution de détection et réponse à un incident (Network Detection and Response, NDR) est une solution de cybersécurité assurant une surveillance continue du réseau d'une entreprise afin de détecter les cybermenaces et les comportements inhabituels à l'aide d'outils et techniques non basés sur des signatures, et capable d'apporter une réponse à ces menaces en s'appuyant sur ses capacités natives ou par l'intégration avec d'autres outils ou solutions de cybersécurité.

Comment fonctionnent les solutions de détection et réponse à un incident ?

Une solution de détection et réponse à un incident (Network Detection and Response, NDR) est une solution de cybersécurité qui assure une surveillance continue du réseau d'une entreprise en analysant l'ensemble du trafic pour une visibilité sans pareille. Elle tire parti de techniques d'analyse comportementale, d'apprentissage automatique et d'intelligence artificielle afin de détecter les cybermenaces et les comportements inhabituels et d'apporter une réponse à ces menaces en s'appuyant sur ses capacités natives ou par l'intégration avec d'autres outils ou solutions de cybersécurité.

Les solutions NDR les plus performantes utilisent des outils avancés d'apprentissage automatique et d'intelligence artificielle pour modéliser les tactiques, techniques et procédures mises en œuvre par les cybercriminels en fonction du cadre MITRE ATT&CK afin de détecter avec une grande précision les comportements des attaquants. Elles permettent d'identifier le contexte pertinent en termes de sécurité, d'extraire des données d'une grande fiabilité, de mettre en corrélation des événements dans le temps ou liés à différents utilisateurs ou applications, et ce afin de réduire considérablement la durée des investigations et les efforts nécessaires pour les mener à bien. Pour des évaluations de sécurité approfondies, ces solutions communiquent également aux systèmes de gestion des événements et des informations de sécurité (Security Information Event Management, SIEM) le résultat des processus de détection et de corrélation des menaces. 

Les solutions NDR ne se contentent pas de détecter les menaces, mais y répondent en temps réel grâce à leurs contrôles natifs ou par la prise en charge d'un grand nombre d'intégrations avec d'autres outils de cybersécurité, dont les solutions SOAR (Security Orchestration, Automation, and Response). 

Pourquoi mon entreprise a-t-elle besoin d'une solution de détection et réponse à un incident ?

Le SOC visibility triad de Gartner est composé de EDR, NDR et SIEM

Le SOC Visibility Triad de Gartner

Les solutions NDR jouent un rôle central dans la sécurisation de votre infrastructure numérique.

Il est généralement possible d'accéder à l'historique des menaces à partir du réseau, des terminaux et des journaux d'événements.

  • Les solutions de détection et d'aide à la résolution des incidents sur les terminaux (Endpoint Detection and Response, EDR) offrent une vue détaillée des processus s'exécutant sur un système ainsi que des interactions entre ceux-ci.
  • Les solutions de détection et réponse à un incident (Network Detection and Response, NDR) offrent quant à elles une vue globale des interactions qui existent entre les différents équipements du réseau.
  • Les équipes de sécurité configurent les systèmes de gestion des évènements et des informations de sécurité (Security Information and Event Management, SIEM) de manière à recueillir les informations des journaux d'événements d'autres systèmes et mettre en corrélation les données de différentes sources.

Les équipes de sécurité qui déploient ces outils disposent d'informations précieuses qui leur permettent de répondre à un grand nombre de questions lorsqu'elles sont confrontées à un incident ou cherchent à détecter des menaces.

Elles peuvent ainsi apporter une réponse aux questions suivantes : Comment se comportait cette ressource ou ce compte avant que l'alerte soit déclenchée ? Que s'est-il produit avec ce compte ou cette ressource après le déclenchement de l'alerte ? À partir de quel moment la situation s'est-elle détériorée ?

Les solutions NDR détectent des éléments inaccessibles aux autres outils

Parmi tous ces outils, les solutions NDR s'avèrent les plus essentielles, car elles offrent une perspective unique sur des éléments inaccessibles pour les autres outils.

Par exemple, les exploits agissant au niveau du BIOS d'un terminal peuvent échapper aux solutions EDR et certaines activités malveillantes peuvent ne pas apparaître dans les journaux. Leurs activités seront néanmoins visibles par les outils réseau dès qu'ils interagiront avec un autre système du réseau.

Les auteurs d'attaques avancées ou sophistiquées peuvent utiliser des tunnels HTTPS chiffrés dissimulés qui se fondent dans le trafic habituel, et ce afin de lancer une session de commande et de contrôle (C&C), d'exfiltrer des informations sensibles sur l'entreprise et ses clients, et d'échapper aux contrôles de sécurité périmétriques. Les solutions NDR sont quant à elles particulièrement performantes pour détecter ces types de comportements.

Les plates-formes les plus efficaces de détection et d'aide à la résolution des incidents réseau optimisées par l'intelligence artificielle recueillent et conservent les métadonnées pertinentes et les enrichissent à l'aide d'informations de sécurité issues de l'intelligence artificielle.

L'utilisation efficace de l'intelligence artificielle peut guider la détection des attaquants en temps réel et contribuer à mener des investigations décisives.

Quels sont les avantages d’une solution de détection et réponse à un incident ?

Une visibilité sans faille

Les solutions de cybersécurité de détection et réponse à un incident offrent une visibilité ininterrompue sur l'ensemble des utilisateurs, terminaux et ressources technologiques connectés au réseau, des centres de données au cloud, des utilisateurs sur site aux utilisateurs à domicile, des solutions IaaS aux solutions SaaS, ou encore des imprimantes réseau aux équipements IoT.

Une détection des attaques précise et avancée

Les solutions NDR leaders du marché tirent parti de l'analyse comportementale et de l'apprentissage automatique ou de l'intelligence artificielle pour modéliser directement les comportements des cybercriminels et détecter les attaques avancées et persistantes avec une précision redoutable. Parce qu'elles ne détectent pas les anomalies mais les attaques actives, elles épargnent aux entreprises une avalanche d'alertes inconséquentes et superflues. Elles assurent la détection de menaces aux différentes étapes d'un cycle d'attaque, notamment la persistance, l'élévation des privilèges, le contournement des défenses, l'accès aux identifiants, la découverte, les déplacements latéraux, la collecte de données, la commande et le contrôle, ou encore l'exfiltration.

Un SOC plus efficace

Les solutions NDR optimisées par l'intelligence artificielle leaders du marché sont automatisées et permettent une amélioration sensible des évaluations de sécurité et de l'efficacité opérationnelle des centres d'opérations de sécurité, malgré la pénurie grandissante de personnel et le manque chronique d'expertise en matière de cybersécurité dont souffrent les entreprises et les équipes dédiées. Elles assurent une reconstitution complète des attaques en langage naturel pour mettre à la disposition des analystes toutes les informations dont ils ont besoin pour répondre rapidement et de manière complète à chaque nouvelle alerte.

Neutralisation des attaques en temps réel

En plus de détecter les attaques sophistiquées déployées de manière discrète et basées sur des techniques de contournement, les solutions NDR donnent la possibilité d'apporter une réponse automatique aux attaques critiques par le biais de contrôles natifs et de les neutraliser en temps réel. Elles s'intègrent également avec différents produits de cybersécurité, comme les solutions EDR ou SOAR.

Découvrez-en davantage sur la plate-forme de de détection et réponse à un incident optimisée par l'intelligence artificielle de Vectra

Vectra Cognito est une plate-forme de détection des menaces et réponse  s'appuyant sur l'intelligence artificielle pour détecter les comportements d'attaque et protéger aussi bien les hôtes que les utilisateurs d'une éventuelle compromission. Vectra Cognito propose des alertes d'une grande fiabilité sans déchiffrer les données, ce qui vous permet de garantir et conserver votre confidentialité que ce soit sur le cloud, dans les centres de données, sur les réseaux d'entreprises ou directement sur les équipements IoT.

La plate-forme Cognito pour NDR répond à tous vos besoins de détection et de neutralisation des attaques dans le cloud, dans les centres de données, sur les équipements IoT ou sur les réseaux d'entreprise. Notre tâche consiste à identifier et mettre un terme à ces attaques à un stade précoce et avec un haut niveau de certitude. La plate-forme Cognito répond aux exigences des normes de conformité SOC 2 Type 2, garantissant la sécurité et la confidentialité des données de nos clients et de nos partenaires.

Related Content