Nous avons récemment lancé Sophos NDR (Network Detection and Response) et cette solution fournit déjà une véritable valeur ajoutée aux entreprises qui cherchent à renforcer leurs défenses contre les attaquants sophistiqués et les menaces zero-day.
Sophos NDR surveille en permanence le trafic réseau afin de détecter les activités suspectes pouvant être des signes annonciateurs d’une activité adverse, en exploitant une combinaison de Machine Learning, d’analyses avancées et de techniques de correspondance basées sur des règles.
Sophos NDR détecte un large éventail de risques de sécurité, notamment les appareils malveillants (appareils non autorisés et potentiellement malveillants qui communiquent au sein du réseau), les appareils non protégés (appareils légitimes pouvant être utilisés comme point d’entrée), les menaces internes, les attaques zero-day et menaces impliquant des appareils IoT et OT.
De plus, lorsqu’il est combiné à d’autres télémétries de sécurité, Sophos NDR permet aux analystes en menaces de donner un aperçu plus complet et précis du chemin emprunté et de la progression de l’attaque dans son ensemble, permettant ainsi une réponse plus rapide et plus complète.
Sophos NDR est une intégration complémentaire pour Sophos MDR, notre service MDR (Managed Detection and Response) leader du marché qui accompagne aujourd’hui plus de 14 000 entreprises dans le monde entier. Plus tard cette année, Sophos NDR sera également disponible au niveau de Sophos XDR (Extended Detection and Response) pour les entreprises qui préfèrent mener leurs propres actions de chasse aux menaces. Nous vous donnerons plus d’informations à ce sujet dans un prochain article.
L’importance d’une solution NDR (Network Detection and Response)
Le NDR est un élément essentiel d’une stratégie efficace de défense en profondeur. Pourquoi ? Parce que le réseau est le seul endroit où un adversaire furtif et déterminé ne peut pas se cacher.
Les attaquants se donnent beaucoup de mal pour éviter d’être détectés et l’évasion de la défense est une tactique MITRE ATT&CK bien connue au niveau du système. Les exploits peuvent très bien ne pas être détectés par les solutions EDR et les adversaires peuvent aussi désactiver et supprimer les logs système. Mais ils devront forcément passer par le réseau.
Alors que les adversaires continuent de faire évoluer leurs tactiques, techniques et procédures (TTP) pour contourner les contrôles de sécurité, le NDR devient rapidement un impératif de sécurité.
Sophos NDR : détection des menaces réseau inégalée
Sophos NDR est alimenté par cinq moteurs de détection des menaces en temps réel qui utilisent des technologies multicouche brevetées pour détecter même les attaques les plus furtives.
Moteurs de détection de Sophos NDR. Cliquez sur l’image pour l’agrandir.
Le moteur de détection des données (Data Detection Engine) est un moteur de requête extensible qui utilise un modèle de prédiction de Deep Learning pour analyser le trafic chiffré et identifier des modèles parmi des flux de réseau non apparentés.
L’inspection approfondie des paquets (Deep Packet Inspection) utilise des indicateurs de compromission connus pour identifier les acteurs malveillants et les tactiques, techniques et procédures malveillantes dans le trafic réseau chiffré et non chiffré.
L’analyse des charges virales chiffrées (Encrypted Payload Analytics) permet de détecter les serveurs C2 de type zero-day et les nouvelles variantes des familles de malwares en se basant sur les modèles trouvés et en fonction de la taille, de la direction, et des temps interarrivés des sessions.
La détection des algorithmes de génération de domaine (Domain Generation Algorithm) permet d’identifier la technologie dynamique de génération de domaines utilisée par les malwares pour éviter la détection.
L’analyse du risque de la session (Session Risk Analytics) est un puissant moteur logique utilisant des règles qui envoient des alertes en fonction de facteurs de risque liés à la session.
Ces 5 moteurs surveillent le trafic est-ouest (interne) et le trafic nord-sud (sortant/entrant) afin de détecter et signaler les anomalies indiquant une activité malveillante. Les alertes générées par Sophos NDR incluent :
- Les activités d’analyse du réseau
- Les sessions SSH inattendues au niveau de systèmes auxquels personne n’a jamais accédé auparavant
- Les suspicions d’activité de beaconing (balisage)
- Les connexions C2 suspectes
- Les communications sur des ports non-standard
- Les malwares présents dans le trafic chiffré
- Les exécutions PowerShell encodées
- Les volumes de données envoyées anormaux
Exploiter la télémétrie Sophos NDR pour stopper les menaces avancées
La télémétrie de sécurité réseau est une puissante ressource en matière de chasse aux menaces, et elle est particulièrement utile lorsqu’elle est associée à des signaux provenant de l’ensemble de l’écosystème de sécurité.
Pipeline de détection Sophos MDR. Cliquez sur l’image pour l’agrandir.
Sophos MDR exploite les alertes de Sophos et des solutions tierces au niveau réseau, endpoint, pare-feu, messagerie, service d’identité et Cloud afin d’accélérer la détection et la réponse aux menaces.
Les alertes sont traitées au niveau du pipeline de détection de Sophos MDR où elles sont transformées grâce à un modèle normalisé, mappées en utilisant le framework MITRE ATT&CK® et enrichies avec une intelligence tierce. Les alertes associées sont regroupées en clusters qui seront ensuite priorisés et transmis à des spécialistes en détection pour qu’ils puissent mener des investigations et lancer des actions de réponse.
Permettez-moi de vous présenter quelques exemples de scénarios dans lesquels Sophos MDR exploite la télémétrie de Sophos NDR en combinaison avec des informations provenant d’autres technologies.
Scénario 1
- La solution de messagerie détecte un message contenant une pièce jointe malveillante
- La protection Endpoint détecte un téléchargement de fichier suspect
- La protection Endpoint détecte qu’un processus inconnu a lancé un shell interactif
- Sophos NDR détecte une connexion Command and Control (C2) suspecte
- La protection Endpoint détecte une potentielle collecte suspecte d’identifiants
- Sophos NDR détecte des mouvements latéraux suspects qui utilisent SSH
En corrélant les alertes au niveau de la messagerie, des systèmes endpoint et du NDR, Sophos MDR peut rapidement déterminer s’il s’agit d’une potentielle attaque de phishing réussie qui a débouché sur un vol d’identifiants et un mouvement latéral. Forts de toutes ces informations, nous pouvons alors intervenir pour contenir, neutraliser et traiter rapidement cette attaque, en minimisant l’impact.
Scénario 2
- Sophos NDR détecte un appareil qui communique au niveau du réseau interne
- La protection Endpoint n’a aucun appareil connu en gestion
La combinaison des points de données de ces deux technologies distinctes nous permet d’identifier qu’il existe un appareil non géré qui communique au sein du réseau. À ce stade, nous investiguons de manière plus approfondie pour déterminer s’il s’agit d’une violation de la politique utilisateur interne ou bien d’un système géré par un adversaire, puis nous prenons les mesures appropriées.
Vous utilisez déjà une solution NDR alternative ? Pas de problème.
Nous comprenons bien que les entreprises ont déjà mis en place des solutions de sécurité. Le défi pour de nombreuses entreprises est de savoir comment gérer, interpréter et répondre aux informations reçues. Trop souvent, nous parlons avec des équipes IT submergées d’alertes ou incapables de digérer une télémétrie complexe.
Avec les packs d’intégration de modules complémentaires de Sophos MDR, nos analystes peuvent exploiter la télémétrie à partir d’outils de sécurité tiers que vous utilisez déjà (notamment les solutions NDR de Darktrace et Thinkst Canary) afin de détecter et répondre aux attaques humaines avancées. Avec nos experts qui gèrent vos opérations de sécurité, vous pouvez renforcer vos défenses et augmenter le retour sur investissement de vos solutions existantes.
Pour en savoir plus
Pour en savoir plus sur Sophos NDR et Sophos MDR et sur les résultats supérieurs en matière de cybersécurité dont bénéficient nos clients, n’hésitez pas à programmer un appel téléphonique avec l’un de nos experts en sécurité dès aujourd’hui. N’oubliez pas également de consulter notre channel communautaire NDR.
Si vous souhaitez découvrir ce que nos clients pensent de Sophos MDR, n’hésitez pas à consulter les avis indépendants sur Gartner Peer Insights et découvrez pourquoi nous sommes le service MDR le mieux noté par G2 Peer Reviews.
Billet inspiré de Introducing Sophos Network Detection and Response (NDR), sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.