AVIS D’EXPERT – Depuis cinq ans, des responsables de la sécurité ont commencé à allouer un poste budgétaire aux solutions de détection et de réponse réseau (NDR) pour combler les lacunes en matière de visibilité… Par Virgile Dailly, Regional Sales Manager Southern Europe chez Extrahop, qui édite une plateforme de détection et réponse réseau.
Bonne nouvelle, les budgets de cybersécurité ont largement augmenté, malgré des tendances macroéconomiques troublantes. Selon une récente prévision de Gartner, les budgets de sécurité et de gestion des risques devraient augmenter de 11 % au niveau mondial en 2023. Néanmoins, les responsables de la sécurité resteront concentrés sur le retour sur investissement, que ce soit en consolidant les ensembles d’outils, en réduisant la complexité des technologies de sécurité, en rationalisant les flux de travail des analystes et, bien sûr, en prévenant les attaques.
Le rôle du NDR dans le budget de la cybersécurité
Depuis cinq ans, des responsables de la sécurité visionnaires ont commencé à allouer un poste budgétaire aux solutions de détection et de réponse réseau (NDR). Ils se sont tournés vers cette technologie pour combler les lacunes en matière de visibilité que d’autres solutions de sécurité, telles que la détection et la réponse aux points d’accès (EDR) et le SIEM ne permettent pas de combler. Mais également pour détecter les comportements suspects sur le réseau de leur organisation, qui signalent souvent les premiers stades d’une attaque. En déployant ces solutions, ces dirigeants ont découvert que les avantages vont bien au-delà de la surveillance haute-fidélité du réseau et qu’ils ont un impact direct sur les résultats.
Réduire le nombre d’outils de sécurité grâce à la détection et à la réponse sur le réseau
Retirer et remplacer les outils existants
Le NDR complète un large éventail de technologies de sécurité, mais il peut également permettre aux organisations de remplacer les anciennes solutions dont les cas d’utilisation sont limités, ce qui minimise la complexité technologique et optimise les dépenses. La bonne solution NDR peut prendre en charge les fonctions de solutions anciennes.
Par exemple, la détection des menaces basée sur le comportement et les règles de la solution NDR constitue une mise à niveau des systèmes IDS existants sur lesquels de nombreuses organisations se sont longtemps appuyées pour assurer leur conformité. De même, les capacités de visibilité du réseau et d’inventaire des périphériques de certaines solutions NDR peuvent remplacer les anciens outils spécialisés d’inventaire des périphériques réseau, les scanners de vulnérabilité et les dispositifs de test réseau. Les solutions NDR qui collectent des données au niveau des paquets peuvent également éliminer le besoin de solutions PCAP supplémentaires.
Augmenter le retour sur investissement des autres outils de sécurité
Si le NDR peut remplacer certains outils spécialisés, il n’est pas le couteau suisse de la sécurité. D’autres solutions, notamment les systèmes de gestion des points d’accès et des journaux, sont indispensables à une stratégie de sécurité efficace. Les entreprises peuvent utiliser la solution NDR pour accroître la visibilité et améliorer les fonctions de ces autres solutions. L’intégration des flux de données et des flux de travail du NDR, de l’EDR et du SIEM permet de rendre les outils existants plus efficaces dans leur fonction principale, ce qui aide les RSSI à augmenter la valeur de leurs investissements.
Les plates-formes NDR s’intègrent aux outils de détection et de réponse aux points d’accès (EDR), SIEM et SOAR pour étendre la visibilité et accroître l’automatisation – une stratégie souvent adoptée dans le cadre d’une solution XDR. La solution NDR intégrée peut ainsi étendre les capacités de quarantaine et de réponse d’une solution EDR aux appareils IoT non gérés, et elle peut améliorer la précision du playbook SOAR en ajoutant des flux de données de haute qualité provenant de zones difficiles à détecter, comme les protocoles chiffrés. Enfin, pour l’analyse forensic du réseau, la possibilité de visualiser et de corréler les données des journaux avec des informations sur le réseau peut ajouter le contexte dont les analystes ont besoin pour identifier rapidement la cause profonde d’un incident.
Compléter les outils de détection natifs du Cloud
Au fur et à mesure que les organisations adoptent le Cloud, les équipes de sécurité ont adopté des outils et des services de sécurité spécialisés dans le Clouddans le cadre de leur stratégie de sécurité. Le NDR en mode SaaS fonctionne bien en complément de ces outils.
La couverture NDR inclut généralement les appareils connectés, les charges de travail dans le Cloud et les services, permettant la détection des menaces pour tous les workloads dans le Cloud et sur site dans une solution unique. Ces capacités de détection peuvent aider les plateformes de protection des charges de travail Cloud (CWPP), qui surveillent et détectent les menaces dans les workloads des conteneurs et des machines virtuelles, et les courtiers de sécurité d’accès cloud (CASB), qui offrent une visibilité entre les applications en nuage et les utilisateurs finaux.
Comment le NDR réduit les charges de travail SecOps
La complexité des outils a un impact évident sur les résultats en matière de sécurité : parmi les principaux facteurs qui ralentissent les temps de réponse, les responsables de la sécurité aux États-Unis et en Europe ont cité « trop de données pour trouver de véritables informations », selon l’indice de confiance cybernétique ExtraHop 2022 . Le NDR intégré atténue cette surcharge de données, en allégeant les charges de travail d’investigation et de réponse pour les analystes SecOps.
Même sans intégration, les solutions NDR qui se concentrent sur des interfaces utilisateur intuitives facilitent le processus d’analyse des causes profondes ou de détection et d’atténuation des lacunes au sein de la politique de sécurité. Une interface utilisateur bien conçue peut même rendre les tâches complexes, telles que la chasse aux menaces, plus accessibles, en améliorant le travail des analystes juniors et ainsi réduire le déficit de compétences.
Selon l’enquête SANS Modernizing Security Operations de 2021, la dotation en personnel était le principal défi signalé par les répondants, juste derrière la complexité. Les équipes de sécurité sont surchargées et en sous-effectif, ce qui provoque un risque majeur : manquer une attaque en cours. En adoptant des ensembles d’outils qui réduisent la complexité, les responsables de la sécurité peuvent réduire la pression sur leurs équipes et les aider à travailler plus efficacement, et en fin de compte, à réduire les dépenses en 2023, 2024 et au-delà.
Réduire les coûts imprévus d’une exfiltration de données
Le plus grand pourvoyeur d’économies pour les utilisateurs du NDR est la capacité de détecter plus de menaces – une économie de 4,35 millions de dollars par attaque, sur la base du coût moyen d’une violation l’année dernière selon le rapport IBM 2022 Cost of a Data Breach Report. Après les coûts de recouvrement, les amendes ou les hausses d’assurance, les dépenses s’étendent bien au-delà des budgets informatiques à la perte de revenus et aux dommages à la marque, faisant de ces exfiltrations non seulement un problème de sécurité, mais aussi un problème commercial.
Les cybercriminels échappent aux défenses périmètriques : la moitié de toutes les intrusions impliquent l’obfuscation– une méthode utilisée pour échapper à la détection EDR ou du pare-feu – selon le rapport Mandiant M-Trends 2022. Ainsi, 85% des responsables de la sécurité et de l’informatique aux États-Unis et en Europe ont subi au moins une attaque de ransomware au cours des cinq dernières années selon l’indice de confiance cybernétique ExtraHop 2022. Parmi ceux-ci, 30% en ont subi six ou plus, ce qui fait de ces attaques un problème commercial très coûteux.
Le NDR bloque davantage de violations rend plus visible tous les aspects d’un réseau, y compris le cloud, l’IoT et (selon le fournisseur) le trafic chiffré. Cela fournit aux équipes de sécurité une ligne de défense supplémentaire contre les menaces qui échappent aux outils de sécurité des terminaux, y compris les agents, les pare-feu et les systèmes de détection d’intrusion. En ajoutant cette dernière ligne de défense, les équipes de sécurité ont la possibilité de détecter les signes de compromission tout au long de la chaîne de destruction, de l’escalade des privilèges à la mise en scène des données.
Comme nous venons de le voir, l’intégration d’un NDR dans une politique de sécurité permet plus de rationalisation et réduit la complexité des outils pour permettre aux équipes de sécurité d’être plus réactives. RSSI et DSI connaissent parfaitement les coûts et les conséquences d’une violation réussie qui peut aller jusqu’à la paralysie de l’entreprise. Dans un contexte où les risques augmentent et les budgets se resserrent, un NDR apparait clairement comme un moyen de réduire les coûts et d’en faire plus à périmètre constant. Les responsables qui n’auront pas pris cela en compte en 2023 risquent de se priver d’un supplément de protection et d’un levier d’économies budgétaires.
Virgile Dailly, Regional Sales Manager Southern Europe chez Extrahop