NDR : DÉTECTER ET PRÉVENIR LES CYBERMENACES AVANCÉES

26 juin 2023

Les solutions de Network Detection and Response (NDR) ont un rôle crucial à jouer dans la détection et la prévention des cybermenaces avancées, notamment les APT, les attaques zero-day, les menaces internes et les ransomwares.

Elles ont pu contribuer à détecter et prévenir des attaques cyber notables du passé, telles que WannaCry, NotPetya et SolarWinds.

QUELS SONT LES ATOUTS DES SOLUTIONS DE SÉCURITÉ NDR ?

Les solutions NDR présentent plusieurs caractéristiques uniques par rapport aux outils de sécurité traditionnels, tels que les pare-feu, les systèmes de détection d’intrusion et les logiciels antivirus. Les principaux avantages des NDR sont :

  • Visibilité totale sur le réseau : les solutions NDR surveillent le trafic réseau, permettant de détecter les mouvements latéraux, les communications de commande et de contrôle et d’autres activités malveillantes.
  • Détection basée sur le comportement : les solutions NDR utilisent l’apprentissage automatique et l’analyse avancée pour identifier les écarts par rapport au comportement normal, permettant la détection de menaces inconnues et évolutives.
  • Informations contextuelles : solutions NDR fournissent des informations contextuelles sur la source, la destination et la nature des menaces, permettant aux SOC de prioriser et de réagir plus efficacement aux incidents.
  • Réponse automatisée : les technologies NDR peuvent s’intégrer à d’autres outils de sécurité et à des plateformes d’orchestration (SOAR/SIEM) pour permettre des actions de réponse automatisées, telles que la mise en quarantaine des dispositifs affectés ou le blocage des connexions malveillantes.

 

DÉTECTION DES MENACES AVANCÉES

Les solutions NDR peuvent détecter un large éventail de menaces avancées dans le réseau, notamment :

  • Les menaces persistantes avancées (APT) : les solutions NDR sont capables d’identifier les intrusions furtives et à long terme en surveillant les mouvements latéraux, l’exfiltration de données et les communications C2, permettant aux équipes d’intervenir avant que des données critiques ne soient compromises.
  • Les attaques zero-day : la détection des exploits de vulnérabilités s’opère en se concentrant sur le comportement plutôt que sur les signatures, offrant une couche de protection supplémentaire contre les menaces émergentes.
  • Les menaces internes : en identifiant les accès non autorisés, le vol de données ou d’autres activités malveillantes menées par des utilisateurs internes, afin d’aider les organisations à maintenir le contrôle sur les informations et les ressources sensibles.
  • Les botnets et attaques DDoS : les solutions NDR peuvent détecter le trafic de commande et de contrôle, les dispositifs infectés et d’autres indicateurs d’activité de botnet et de DDoS, permettant aux équipes de sécurité de prendre des mesures pour atténuer l’impact de ces attaques.
  • Le cryptojacking : les modèles anormaux d’utilisation des ressources et les connexions réseau associées à l’exploitation minière non autorisée de cryptomonnaies peuvent être détectés.
  • Les ransomwares : la capacité d’identification des activités suspectes de chiffrement de fichiers et des communications réseau avec des infrastructures C2 de ransomware connues, font des solutions NDR un allié efficace pour lutter contre les ransomwares. 

ÉTUDE DE CAS : DÉTECTER ET PRÉVENIR LES CYBERATTAQUES PASSÉES 

Examinons comment les NDR auraient pu détecter et prévenir trois cyberattaques notables du passé :

NDR VS RANSOMWARE WANNACRY

Pour détecter et prévenir WannaCry, la surveillance du trafic SMB et l’identification des tentatives d’exploitation de la vulnérabilité EternalBlue avec des solutions NDR se sont avérées efficaces. Elles avaient, de surcroît, la capacité à détecter les communications C2 avec les serveurs, pour permettre le blocage de ces connexions afin de limiter la propagation et l’impact de l’attaque.

NDR VS MALWARE NOTPETYA

Ici, l’efficacité du NDR réside en sa capacité à identifier rapidement plusieurs méthodes de propagation, comme l’exploitation de la vulnérabilité EternalRomance et l’usage de Mimikatz pour voler des identifiants. En détectant ces comportements anormaux, les solutions NDR ont pu fournir une corrélation des alertes et une analyse contextuelle pour une réponse rapide et efficace.

NDR VS ATTAQUE SOLARWINDS

3 leviers contre Solarwinds : l’identification des communications C2 furtives avec les serveurs des attaquants, la surveillance des mouvements latéraux et l’escalade des privilèges au sein même du réseau. Cette détection précoce a permis a des équipes de sécurité équipées de solutions NDR de contenir et d’éradiquer la menace Solarwinds avant que des dommages importants ne soient causés.

Les solutions NDR, en offrant une visibilité complète sur le réseau, une détection basée sur le comportement et des capacités de réponse automatisée deviennent des alliés incontournables des équipes de sécurité.

Jizô NDR, développée par Sesame it et qualifiée par l’ANSSI (2021), a été déployée dans les réseaux des organisations les plus exigeantes en France et en Europe. Elle a su démontrer son importance stratégique dans les arsenaux de cyberdéfense. Sa performance réside dans sa combinaison de moteurs de détections, appuyés par de puissants algorithmes de machine learning propriétaires.

N’hésitez pas à demander une démo pour en savoir plus sur les technologies innovantes de Jizô NDR et comprendre l’articulation entre le NDR et d’autres technologies complémentaires dans la lutte contre les cybermenaces avancées.