Si l’EDR est devenu un outil indispensable pour déjouer les attaques de ransomwares ces dernières années, une nouvelle brique de protection est en cours d’adoption rapide, le NDR. L’IA n’est cette fois plus dédiée à la surveillance du poste de travail mais à celle du réseau. Un moyen de contrer les fuites de données.
Mettre à profit les algorithmes et en particulier les modèles d’IA au service de l’analyse des flux réseau, telle était l’idée de base du NDR (Network Detection and Response). Cette nouvelle classe de solutions de protection réseau fait écho à l’EDR, qui exploite les IA pour la protection des postes de travail et les serveurs. Le NDR est un peu le descendant de l’IDS/IPS mais avec une couche d’IA qui doit éliminer l’inconvénient majeur de ces solutions : le déluge d’alertes généré par ses solutions dès que le réseau est connecté à Internet.
Depuis une dizaine d’années, l’approche a fait les beaux jours d’éditeurs comme Darktrace ou Vectra AI et la définition du NDR s’est un peu élargie, notamment pour surveiller des ressources dans le Cloud (IaaS et SaaS) et ingérer des données issues d’autres sources de données pour faciliter le threat hunting via la console.
Pour Pierre Guiho, chef de produit chez Gatewatcher, l’efficacité de la détection de la solution repose sur cette approche multi-moteurs. « À chaque nouvelle typologie de technique d’attaque, nous mettons en face la meilleure technologie de détection », résume-t-il. L’éditeur dispose ainsi d’un moteur d’analyse heuristique dédié à l’exploitation du code type PowerShell ou encore d’un moteur qui est une combinaison d’autres modules antivirus et qui fait passer les fichiers échangés au travers de ces différents moteurs.
Avec cette approche, l’éditeur français s’est peu à peu affirmé comme leader européen du NDR. Il innove aujourd’hui avec la mise à disposition d’une IA générative : Gaia (Gatewatcher AI Assistant). Pour le chef de produit, disposer d’un assistant au niveau du NDR et non pas au niveau du SIEM ou du XDR se justifie pleinement : « Dans le modèle opérationnel des SOC, les niveaux 1 et 2 sont traités par les MSSP et l’entreprise traite le niveau 3. Elle s’appuie sur des solutions best of breed pour avoir le niveau de détail le plus élevé et mener des investigations sur les incidents en profondeur. »
Avec l’assistance de Gaia, l’expert cyber va pouvoir analyser les signaux captés par la sonde Gatewatcher mais aussi par les autres briques de sécurité comme l’EDR, un SIEM ou des services externes comme Virus Total. L’éditeur estime que son agent IA va accélérer le traitement des alertes qui sont classées entre les 20 % et les 80 % de risque. En revanche, sous les 20 % de risque, l’IA va permettre une remédiation 100 % automatique sur la base des éléments de contexte issus du NDR et de l’EDR.
Outre des éditeurs spécialisés dans la cybersécurité, les acteurs du monde du réseau ont aussi doté leurs solutions de capacités d’analyse. C’est le cas de NetScout, dont les sondes sont utilisées par les grandes organisations afin d’alimenter des tableaux de bord de performance des réseaux. « Nous exploitons ces mêmes sondes afin d’alimenter des dashboards dédiés à la sécurité, résume Daniel Crowe, vice-président France, Benelux et Europe du Sud chez NetScout Systems. Certains clients disposent déjà de 30 à 40 sondes dans leur réseau et il n’est pas nécessaire qu’ils dupliquent cette architecture de collecte pour alimenter la cybersécurité. Nous faisons de la détection, de l’investigation et du threat hunting sur de la donnée recueillie à partir de la même sonde réseau. » Tout l’intérêt d’une telle solution est de transmettre ces données dans un SIEM ou un XDR. Outre sa technologie de capture de traces, l’éditeur peut se targuer d’être très performant en threat hunting. Avec l’acquisition d’Arbor Networks il y a une dizaine d’années, NetScout est devenu un acteur majeur de la détection des attaques DDoS. L’éditeur affirme analyser entre 35 et 40 % du trafic Internet mondial, ce qui le met en bonne position dans la détection des menaces.
Les éditeurs généralistes se sont bien évidemment tous positionnés sur ce marché NDR, notamment en intégrant cette brique de protection réseau à leurs plateformes XDR sous forme d’option. Ainsi, chez Check Point, tous les points d’entrée – qu’il s’agisse des ordinateurs, des mobiles, du réseau ou des boites e-mails – convergent vers la plateforme Infinity XDR. L’éditeur met en avant sa capacité à consolider parfaitement toutes les données issues de ses propres solutions Pour autant, les entreprise sont-elles prêtes à miser toute leur sécurité sur un acteur unique ? Rien n’est moins sûr : « Les entreprises qui visent le meilleur TCO auront potentiellement tout intérêt à miser sur une plateforme unifiée, intégrant toutes les briques de sécurité au même endroit, précise un ingénieur de l’éditeur. Ceux qui ne veulent pas mettre tous les œufs dans le même panier pour des raisons de stratégie auront intérêt à choisir notre solution XDR qui est compatible avec les autres éditeurs du marché. » Check Point a adopté la stratégie dite open garden : environ 250 partenaires travaillent avec l’éditeur sur l’intégration de leurs solutions à son XDR. « Cette approche open garden évolue pour aller vers une automatisation de la réponse à incident et augmenter la posture de sécurité des entreprises. C’était le but de l’acquisition de Veriti, que Check Point vient d’annoncer », explique Adrien Merveille, CTO France. Veriti va apporter à l’éditeur sa capacité de gestion de l’exposition cyber et automatiser la réponse à incident quels que soient les équipements de sécurité mis en œuvre par l’entreprise.
Vers une démocratisation auprès des PME
L’intégration du NDR aux grandes plateformes XDR simplifie l’adoption, notamment par les PME qui ne disposent pas de ressources cyber internes suffisantes pour assurer la gestion de tels outils au quotidien. C’est le pari de WatchGuard. De facto, le NDR reste dans le domaine de la cybersécurité mais, comme toute nouvelle technologie avancée, il commence à se diffuser auprès des grands comptes avant d’arriver dans les PME. « La démocratisation de la technologie NDR arrive par d’autres acteurs, comme notre entreprise qui a racheté CyGlass Technology il y a deux ans pour intégrer sa technologie dans notre offre, explique Pascal Le Digol, manager France de WatchGuard. Celle-ci est disponible sous forme d’option payante dans notre plateforme Unified Security Platform depuis un an. Elle est désormais pleinement intégrée. » Proposer une solution NDR à un prix contenu aux PME reste compliqué. La technologie est réputée très consommatrice de ressources du fait des gros volumes de données collectées et de la puissance de calcul mobilisée par les modèles d’IA. Le directeur France de l’éditeur raconte : « Nos premières ventes de NDR auprès des PME se sont faites toutes seules, sans intervention de notre part. Alors que nous avons dû évangéliser les PME pendant des années sur le MFA, nos clients ont rapidement compris l’intérêt du NDR. Ce sont des entreprises qui sont dans des secteurs stratégiques ou des industriels dont toute rupture dans la production serait potentiellement catastrophique. »
Un autre marché où le NDR a un rôle clé à jouer est celui de l’industrie, et plus particulièrement des réseaux industriels OT. En effet, il est compliqué de protéger les équipements industriels. Certains sont totalement obsolètes du point de vue informatique, avec parfois des postes de contrôle sous Windows XP, et il est impossible d’installer des logiciels tiers sur les machines modernes, au risque de perdre la garantie constructeur. Surveiller le trafic via une sonde pour déceler tout comportement anormal d’un poste ou d’un équipement est pertinent mais encore faut-il comprendre ce trafic. Les fournisseurs d’automates et autres équipements industriels ont leurs propres protocoles de communication et le logiciel doit être capable de les analyser en profondeur pour détecter qu’un attaquant cherche à saboter un process industriel en modifiant les paramètres de fonctionnement des fours ou des automates, par exemple… Vincent Salacroup, Key Account Manager chez Kaspersky, souligne : « Nous avons développé un XDR qui va du endpoint jusqu’à la sonde réseau spécifique pour l’IT et l’OT et les deux sont gérables avec les mêmes outils. Il n’y a pas de convergence sur les outils de détection, qui restent spécifiques, mais bien sur le management de la sécurité. » En outre, Kaspersky est l’un des rares acteurs du marché à disposer d’un CERT ICS (Industrial Control Systems) qui publie sur les failles de sécurité découvertes sur les équipements industriels par ses experts.
Qu’il s’agisse d’informatique industrielle, de celle d’un centre hospitalier ou de l’infrastructure IT plus classique d’une entreprise de service, le NDR a un rôle à jouer pour renforcer la posture de défense de l’entreprise. Intégré à une plateforme XDR ou solution best of breed, son efficacité reposera sur la pertinence des moteurs de détection mais aussi sur la capacité des analystes à exploiter les données collectées par ses sondes. L’IA apporte ici une aide qui sera bientôt incontournable.
La définition du NDR, selon le Gartner
Le NDR doit :
- fournir les sondes physiques ou virtuelles pour capter le trafic dans le flux IP ;
- être capable de surveiller le trafic nord-sud (qui traverse le SI) et est-ouest (intra-SI) ;
- assurer une détection basée sur les techniques comportementales, notamment le machine learning ;
- transformer les alertes unitaires en incidents structurés ;
- automatiser la réponse ;
- détecter les menaces en s’appuyant sur un flux de threat intelligence.
AVIS D’EXPERT
« Être présent sur l’IT et l’OT. »
Vincent Salacroup, Key Account Manager chez Kaspersky
« À la différence d’autres acteurs du marché NDR, nous sommes présents tant sur la partie IT qu’OT, avec une sonde réseau qui est spécifique au monde industriel. La solution est commercialisée soit comme un simple NDR, soit au sein de notre XDR. Techniquement, la même base technologique est utilisée dans un cas comme dans l’autre. La solution supporte les standards réseaux spécifiques du monde industriel, notamment via la signature de partenariats avec de nombreux constructeurs d’équipements industriels afin de supporter leurs protocoles. »
AVIS D’EXPERT
« Se reposer sur des technologies différentes. »
Pierre Guiho, chef de produit chez Gatewatcher
« Les cabinets d’analyse ont défini le NDR comme une capacité de détection intelligente à base d’IA sur les flux réseaux et Gatewatcher a été créée sur cette idée, qui est devenue la définition commune du NDR. Néanmoins, nous avons une démarche singulière car notre approche de la détection repose sur différents moteurs de technologies différentes. Cette combinaison de moteurs de détection nous permet pleinement la maîtrise de la kill chain, de pouvoir identifier un acteur de la menace au plus tôt, par différents moyens et à chaque étape. »
AVIS D’EXPERT
« Prolonger le firewall. »
Pascal Le Digol, manager France de WatchGuard
« Pour moi, le NDR est l’extension naturelle du firewall. Il interprète tout ce qui se passe sur le réseau, c’est-à-dire en aval du firewall. Il va analyser des évènements qu’un endpoint ne peut interpréter et de même pour le firewall, car si on configure ce dernier pour laisser passer un flux, il le laisse passer, même s’il est mis en œuvre par un attaquant pour créer une fuite de données. »
Alain Clapaud
