La détection et la réponse sont cruciales pour protéger les réseaux d’entreprise contre les attaques. Que signifient NDR, EDR et XDR et qu’est-ce qui les distingue l’un de l’autre ?
Le nombre sans cesse croissant d’acronymes dans le domaine de la cybersécurité rend difficile la tenue d’une vue d’ensemble et la comparaison des technologies individuelles. Un exemple est celui des trois technologies étroitement liées pour la détection des menaces : détection et réponse du réseau (NDR), détection et réponse des points finaux (EDR) et détection et réponse étendues (XDR). Chacun d’eux propose une solution complète pour détecter et répondre aux différentes cyberattaques. Bien qu’ils reposent sur des approches similaires, il existe certaines différences.
EDR identifie les changements notables au niveau du point final
EDR, la plus ancienne des trois technologies de détection, surveille les points finaux pour atténuer les attaques contre eux. Les points de terminaison sont des périphériques réseau tels que des PC, des serveurs de fichiers, des smartphones et des appareils IoT qui se connectent au réseau pour communiquer. Un agent logiciel est utilisé pour inventorier les logiciels malveillants EDR et les activités suspectes détectées sur le point final, telles que les modifications du registre et la falsification des fichiers clés.
À mesure que les environnements réseau deviennent de plus en plus complexes et que les acteurs des menaces et les logiciels malveillants deviennent plus sophistiqués, l’EDR est confronté aux défis suivants :
-
Les agents EDR requis ne peuvent pas être déployés sur tous les appareils ou dans tous les environnements, ce qui laisse des lacunes en termes de visibilité et ouvre la porte aux attaques.
-
Certaines applications courantes peuvent contourner l’EDR. Par exemple, Microsoft SQL Server dispose d’un accès administratif au système d’exploitation Windows sous-jacent sans utiliser aucun des environnements surveillés par EDR mentionnés ci-dessus, permettant à un attaquant de contourner la détection des points de terminaison.
-
Les logiciels malveillants et les attaquants sont de plus en plus sophistiqués et sont capables de détecter les logiciels anti-malware sur le point final ou de masquer complètement les preuves de compromission du point final.
Bien que l’EDR soit un élément nécessaire d’une stratégie de cybersécurité moderne, il ne peut pas être utilisé seul pour une cybersécurité globale.
XDR offre une protection holistique
Beaucoup de gens considèrent à tort XDR comme un produit ou une évolution de l’EDR. Cependant, XDR est une stratégie qui consiste en une combinaison de données télémétriques liées à la sécurité couplées à une détection haute fidélité pour permettre une réponse plus rapide et plus efficace aux incidents.
Il existe différents types de XDR. Il existe une stratégie XDR propriétaire qui se concentre sur un fournisseur unique ou une plate-forme « tout-en-un » qui fournit des données de télémétrie provenant des différents produits d’un fournisseur, par exemple ses pare-feu, EDR, NDR, etc. Il existe également une stratégie XDR ouverte composée de plusieurs fournisseurs ou de technologies ou outils « de pointe ». Ici, les données de télémétrie sont fournies par différents types de produits (tels que les pare-feu, les systèmes de détection d’intrusion (IDS), EDR et NDR) et les fournisseurs.
De nombreuses organisations pensent qu’une stratégie XDR centrée sur l’EDR est suffisante, mais cela conduit à un angle mort problématique. Si la vue d’ensemble de l’agent EDR est perdue, il n’existe aucun autre moyen de rechercher ou d’enquêter sur une faille de sécurité critique potentielle. Avec cette stratégie de télémétrie ciblée sur un point unique, les attaquants n’ont qu’à contourner une seule technologie ou défense pour pénétrer dans le réseau. Les responsables de la cybersécurité doivent détecter les changements dans l’activité du réseau et les comparer aux données des points finaux et du cloud. C’est là que les solutions NDR peuvent fournir le contexte nécessaire pour se concentrer sur les cybermenaces potentielles.
Conseil de lecture : 6 tendances clés qui redéfinissent le marché du XDR
NDR détecte les menaces au niveau des paquets et réagit en temps réel
Contrairement aux solutions EDR ou XDR, NDR se concentre sur l’analyse des paquets de données dans le trafic réseau pour détecter les cybermenaces potentielles, plutôt que sur les points finaux ou autres flux de données. En combinant le NDR avec d’autres solutions telles que les outils d’analyse des journaux via la gestion des informations et des événements de sécurité (SIEM) et EDR, les organisations peuvent atténuer les angles morts de leurs réseaux. Ensemble, les solutions NDR augmentent les capacités de sécurité en fournissant un contexte réseau et en automatisant les réponses aux menaces, permettant une meilleure collaboration entre les équipes de sécurité réseau et informatique et une atténuation plus rapide.
Cependant, dans le contexte du NDR, il est important de différencier les capacités des plates-formes avancées qui fournissent des fonctionnalités que les piles de cybersécurité modernes devraient inclure. Par exemple, lors de l’évaluation de différents rapports de non-remise, il est important de s’assurer qu’ils offrent des analyses fiables avec une conservation des données à long terme. Il est également crucial qu’ils ne s’appuient pas sur des données basées sur NetFlow. Celles-ci ne sont pas prises en charge dans tous les environnements et offrent des opportunités pour des attaques sophistiquées basées sur le tunneling.
Les systèmes NDR avancés devraient même fournir une vue rétrospective du trafic réseau pour examiner le comportement des menaces avant, pendant et après les attaques. Ainsi, si un indicateur de compromission (IOC) est détecté, les équipes de sécurité peuvent examiner les communications des hôtes compromis, détecter les mouvements latéraux et déterminer si une violation de données s’est produite.
EDR, XDR, NDR : Ensemble, ils sont forts
Pour résumer, les EDR sont conçus pour surveiller et atténuer les attaques sur les points finaux via des ordinateurs et des serveurs connectés. Toutefois, uniquement là où les agents peuvent être déployés. Par conséquent, EDR ne fonctionne pas dans certains environnements d’hébergement basés sur le cloud, par exemple. En revanche, les XDR offrent une approche de plate-forme plus unifiée pour surveiller les appareils et les flux de données, mais manquent souvent du contexte réseau que les NDR fournissent via la surveillance des paquets en temps réel.
La plupart des grandes organisations ont aujourd’hui besoin d’une solution plus complète combinant les données du réseau et des points finaux avec d’autres solutions de sécurité pour fournir une vue plus robuste et en temps réel du paysage des menaces en constante évolution.
Les solutions NDR avancées offrent un haut niveau d’intelligence réseau et complètent efficacement le reste de la pile de sécurité. En plus du SIEM, une solution NDR avancée peut également être intégrée aux plates-formes d’orchestration, d’automatisation et de réponse de sécurité (SOAR) ou de pare-feu pour lancer un blocage immédiat au périmètre du réseau.
Après tout, il est impossible de brouiller les traces sur le réseau et les cyberattaques sont de plus en plus sophistiquées. En travaillant ensemble, ces systèmes fournissent un aperçu complet du comportement des attaquants et des indicateurs de compromission.
Advanced NDR apporte une contribution importante à la stratégie globale de cybersécurité et aide à minimiser les risques opérationnels.
