L’analyse du trafic réseau (NTA), détection et réponse du réseau (NDR) ou analyse et visibilité du réseau (NAV) a été inventé par Gartner[1].
Il s’agit d’une solution de sécurité qui intercepte, analyse et enregistre la télémétrie des modèles de communication du trafic réseau et les enregistrements de flux. Pour ce faire, cette technologie s’appuie sur l’IA via l’apprentissage automatique (ML) et l’analyse comportementale.
TEHTRIS NTA est une solution tactique d’analyse de vos flux réseaux en temps réel, utilisant des mécanismes de capture de flux, de métadonnées (NetFlow) et d’audit passif.
La surveillance est totale puisque cette technologie surveille le trafic nord-sud et est-ouest.
Avantages de la solution NTA
Les solutions NTA sont des outils puissants pour toute organisation, qui s’adaptent aux nouvelles méthodes des attaquants. Elles représentent la couche défensive dont toutes entreprises ont besoin.
Elles permettent d’alerter en temps réel, ce qui est un atout considérable quand on sait à quelle vitesse se propage une menace.
Visibilité sans angles mort
Comme nous venons de le voir, la technologie NTA a la capacité de surveiller un ensemble de communications en temps réel. Cette vision à 360° est un vrai plus en matière de sécurité.
Toutes les entités d’un réseau sont observées et analysées, tous les types de communications réseau, y compris les paquets TCP/IP, le trafic cloud, le réseau virtuel, les API, les applications, les utilisateurs, les routeurs, les commutateurs, les pares-feux, les IOT rien n’échappent à la technologie NTA.
Si des trafics anormaux ou des activités réseau irrégulières sont détectées, alors l’alarme est déclenchée.
Cette détection pourra se faire au sein de l’entreprise, mais aussi pour les employés en itinérance.
Cette solution détecte la menace provenant de l’intérieur (un port non sécurisé activé par erreur), comme de l’extérieur du réseau.
Auto-apprentissage et détection avancée
Les solutions NTA évoluent en temps réel et s’auto alimentent. C’est un processus itératif.
L’analyse du trafic réseau va apprendre du comportement de l’environnement en tenant compte des comportements des entités, pour éviter les faux positifs. Sans cette analyse du normal et de ‘l’anormal’ il y aurait trop de bruit.
Pour faire simple, l’IA va s’alimenter à partir des données et des comportements repérés. A partir de ces données, elle va pouvoir identifier des modèles et faire des prédictions sans intervention humaine.
Le NTA utilise, l’IA et l’analyse comportementale, c’est la combinaison de ces deux technologies qui représente une vraie valeur ajoutée dans la détection de ransomware, d’attaque DDOS, …
Ainsi la moindre connexion à un accès à distance inhabituel, les connexions depuis un pays étranger l’utilisation de protocoles restreints, vont immédiatement être détectés.
Enfin, l’automatisation du processus de détection, va permettre de définir les règles et de les corréler en fonctions de différents paramètres. Cette détection basée sur ces nouvelles règles va permettre à son tour de rechercher le modus operandi des attaquants : les TTP et améliorer encore la détection, et la compréhension de la menace.
Gain de temps
Les équipes techniques vont obtenir une visibilité complète en un temps record.
Ils vont ainsi pouvoir détecter les anomalies immédiatement, déterminer la cause et mettre en place les mesures qui s’imposent.
Les équipes de sécurité vont se concentrer sur la suppression des menaces plutôt que sur la détection.
Ce gain de temps est précieux en cybersécurité.
Bonnes pratiques de l’implémentation de la solution NTA
Chaque entreprise est différente, et chaque solution doit être implémentée en fonction des spécificités de l’organisation.
- Ainsi la première chose à bien déterminer est de définir, catégoriser les sources de données : les serveurs, les postes de travail, les routeurs etc.
Le référencement ne s’arrête pas là. il est important aussi de bien connaitre ses fournisseurs, ses politiques de sécurité, les configurations mises en place au sein de l’entreprise. - La deuxième chose est de bien choisir sa méthode de collecte (avec ou sans agent).
- Prévoir un espace de stockage séparé pour la collecte d’informations.
- Attention aux faux positifs, il est important de bien configurer ses alertes.
- Intégrer la solution NTA aux autres solutions de sécurité pour optimiser les capacités de réponses. TEHRTIS propose ainsi des solutions DNS Firewall, des leurres Deceptive Response, une protection VPN avec notre partenaire The GreenBow…
- Bien sûr il ne faut pas oublier de bien former les équipes de sécurité à ces nouveaux produits. TEHTRIS accompagne d’ailleurs chacun de ses clients dans l’implémentation de ses solutions. C’est aussi ça l’avantage de la proximité et d’une solution souveraine.
Pourquoi choisir TEHTRIS ?
Voici les 4 raisons de choisir TEHTRIS :
- Une solution tout en un: TEHTRIS NTA propose des fonctionnalités uniques de surveillance des flux réseaux avec une composante type NIDS à base de signature, une composante de type Network Forensic intégrant un moteur tactique comportemental, et de l’audit passif pour réduire la surface d’exposition.
- L’assurance d’une sécurité renforcée: la totalité du disque est chiffrée, avec des mécanismes avancés de protection comme du RBAC dans le kernel et des protections anti-0-day.
- Son adaptabilité : TEHTRIS NTA peut facilement fonctionner avec des environnements IT (Internet/LAN) ou OT (SCADA/ICS) ou même avec des environnements IoT récents.
- Une solution intégrée : Contrairement à de nombreux produits, TEHTRIS NTA ne nécessite pas l’usage d’un SIEM pour être utile, puisque la solution est directement intégrée dans la TEHTRIS XDR Platform, afin d’enrichir cet écosystème.
[1] NTA : Les autres IDS ? Par Anton Chuvakine | 20 septembre 2018