Qu'est-ce que la détection et réponse dans le réseau (NDR) ?
La technologie de détection et réponse dans le réseau (Network Detection and Response, NDR) analyse en continu le trafic réseau pour identifier des activités suspectes et interrompre de potentielles attaques.
Grâce à la surveillance et aux capacités d'apprentissage automatique, un produit de NDR apprend les flux de trafic attendus sur le réseau d'une organisation. L'outil peut ensuite repérer des comportements anormaux, se demandant essentiellement : « ce trafic ressemble-t-il au trafic normal ? »
Lorsqu'un élément semble suspect, la NDR entreprend des démarches d'investigation, telles que tenter de relier un comportement malveillant à une adresse IP spécifique.
Parmi les autres capacités, la NDR construit des modèles afin qu'une organisation puisse anticiper et mieux comprendre le comportement du réseau.
Les technologies de NDR constituent une extension des systèmes de détection d'intrusion (IDS). Le degré de recouvrement entre un produit de NDR et un IDS dépend des fonctionnalités de chaque produit.
La NDR est également lié à d'autres outils et services de détection et de réponse aux menaces, comme la détection et réponse sur les endpoints (EDR), la détection et réponse sur le cloud (CDR), et la détection et réponse étendues (XDR). Les produits de NDR peuvent être installés aux côtés de ces outils de sécurité. Pour les entreprises qui préfèrent externaliser la détection des menaces, ces offres — y compris la NDR — sont de plus en plus disponibles sous forme de services de sécurité managés.
Pourquoi la NDR est-il important ?
La NDR est précieuse car elle automatise la surveillance du trafic réseau. Une telle surveillance ne peut être réalisée manuellement, du moins pas de manière efficace. Il est tout simplement impraticable pour des administrateurs réseau ou une entreprise d'externalisation de surveiller les captures de paquets et le trafic réseau en continu. L'automatisation offerte par la NDR permet de relever ce défi, en particulier à une époque où il est difficile pour la plupart des organisations d'embaucher et de conserver du personnel qualifié.
La NDR analyse le trafic réseau en temps réel et le compare automatiquement aux données historiques. Les fonctions d'analyse comportementale jugent quelles activités semblent typiques et lesquelles ne le sont pas.
Ces capacités sont utiles pour détecter une variété de menaces, notamment le retrait non autorisé de données et l'installation de logiciels malveillants (malware).
Comment choisir un outil de NDR ?
Lors de la comparaison des produits de NDR, examinez comment ils intègrent l'auto-apprentissage avec l'intelligence artificielle (IA) et l'apprentissage automatique (ML) pour l'analyse prédictive. Et décidez si vous préférez un outil open source, payant ou gratuit.
Le marché offre de nombreuses options. Les fournisseurs incluent Cisco, Custocy, Darktrace, ExtraHop, Gatewatcher, InsightIDR, Lastline (racheté par VMware et maintenant intégré à Broadcom), Sesame IT avec Jizô, Vectra AI et Zeek (ex-Bro), un IDS et NDR open source développé à l'Université de Californie, Berkeley.
Lorsque vous parlez à un fournisseur, assurez-vous de lui demander comment l'outil décide de ce qui constitue une anomalie. Si cette évaluation repose sur le ML/IA, cela signifie que le produit aura des capacités de prévision, ce qui améliore la précision de la détection des menaces. Les responsables de la sécurité manifestent un intérêt croissant pour les technologies de détection réseau intégrant l'IA.
Essayez également de déterminer la profondeur de l'analyse par l'outil des adresses IP suspectes. Si l'adresse est derrière un réseau privé virtuel, l'outil est-il capable de fournir suffisamment d'informations pour vous aider à déterminer si une activité suspecte indique la présence d'un acteur malveillant sur le réseau ?
Enfin, demandez au fournisseur de l'outil s'il peut garantir qu'un pourcentage précis de tentatives malveillantes sera analysé.
Dernière mise à jour en septembre 2024.