Termes techniques expliqués – NDR, MDR, XDR, EDR, SIEM et SOAR

Le secteur de la cybersécurité ne manque pas d’acronymes. Les termes Détection et réponse réseau (NDR), Détection et réponse gérées (MDR), Détection et réponse étendues (XDR), Détection et réponse des points de terminaison (EDR), Gestion des informations et des événements de sécurité (SIEM) et Automatisation et réponse de l’orchestration de sécurité (SOAR). ) sont utilisés fréquemment et souvent sans explication, car on suppose que tout le monde sait ce qu’ils signifient.

Ce blog explore chaque acronyme pour ceux qui les entendent pour la première fois et pour les professionnels qui souhaitent les perfectionner.

Détection de réseau et Réponse (NDR) 

Les solutions de cybersécurité de détection et de réponse réseau (NDR) offrent une surveillance du réseau et une détection des anomalies en temps réel. Les solutions NDR apprennent les modèles typiques de trafic réseau, ce qui les rend capables d’identifier les changements qui pourraient indiquer une éventuelle cyberattaque ou un accès non autorisé aux systèmes informatiques par des attaquants.

Solutions NDR telles que Progress Flowmon utilise des techniques avancées de surveillance de l’apprentissage automatique et de l’analyse comportementale. Ces techniques vont au-delà des solutions de détection traditionnelles basées sur les signatures. Lorsqu’il est utilisé avec d’autres outils de cybersécurité comme EDR et SIEM (voir les définitions ci-dessous), le NDR peut aider les organisations à construire des défenses solides contre les cybermenaces. La combinaison de NDR, EDR et SIEM est appelée la Triade de visibilité du Security Operations Center (SOC), un terme inventé par Gartner (comme de nombreux acronymes). Chaque composant de la triade complète les autres, offrant une meilleure sécurité globale pour le réseau, les serveurs et les points de terminaison que n’importe lequel d’entre eux ne pourrait le faire s’il fonctionnait indépendamment.

NDR est un composant crucial qui aide à protéger les réseaux contre les cybermenaces avancées. Il offre une visibilité sur les recoins sombres du réseau, où les attaquants tentent souvent de se cacher, et fournit des informations précieuses aux équipes de sécurité. Avec NDR en place, vous pouvez surveiller votre réseau de manière proactive, détecter les intrus plus tôt dans le cycle d’attaque et recevoir des alertes contextuelles qui permettent une réponse rapide pour minimiser les risques et les dommages causés par les failles de sécurité.

Exploiter un réseau Sans NDR, dans le paysage actuel des menaces, c’est comme conduire sur des routes de campagne la nuit avec les phares de votre voiture éteints. Si vous faites attention, vous pouvez le faire pendant un certain temps, mais vous finirez probablement par vous retrouver dans une haie, un fossé ou un champ. . La mise en œuvre du NDR dans votre pile de cybersécurité améliorera considérablement votre résilience.

Détection et réponse gérées (MDR) 

Détection et réponse gérées (MDR) ) est un service de sécurité informatique qui fournit un rapport de non-remise géré pour un réseau. Les fournisseurs de services de sécurité gérés (MSSP) spécialisés fournissent généralement des services MDR. Ils assument la responsabilité de détecter les menaces de sécurité potentielles sur le réseau d’une organisation. En fonction du niveau de service géré convenu, le MSSP peut également être responsable d’une réponse initiale rapide à toute anomalie détectée ou alerter le personnel au sein de l’organisation afin qu’il puisse réagir.  

Les services MDR combinent généralement des analystes humains avec des solutions technologiques pour identifier les menaces de sécurité réelles tout en éliminant les faux positifs. En fournissant une détection rapide des menaces et des réponses rapides, les services MDR minimisent l’impact des événements de sécurité et contribuent à protéger les réseaux contre les menaces potentielles.

De nombreuses organisations ont du mal à recruter et à retenir des professionnels hautement qualifiés en cybersécurité. Le partenariat avec un MSSP externe comble les lacunes que les organisations peuvent rencontrer lorsqu’elles maintiennent un environnement informatique plus sécurisé. Il confie également les tâches de couverture des absences du personnel et de formation continue au MSSP, qui se concentre sur la fourniture de services de sécurité.

Détection et réponse étendues (XDR) 

Les solutions eXtended Detection and Response (XDR) fournissent une vue complète de la situation de cybersécurité d’une organisation en collectant des informations provenant de diverses sources telles que les points finaux (EDR), les réseaux (NDR), les serveurs, les déploiements cloud et les systèmes de sécurité physique. . La solution XDR combine les données de toutes ces sources pour offrir une vue unifiée de l’ensemble du parc, ce qui permet de détecter et de répondre aux menaces. L’objectif principal de XDR est d’éliminer les silos qui empêchent une détection et une réponse rapides aux attaques. Les systèmes XDR utilisent l’apprentissage automatique pour analyser les quantités massives de données collectées, ce qui rend le processus efficace et efficient.

Le terme XDR a émergé de Gartner pour définir et classer un changement dans le marché de la cybersécurité à mesure que de nouveaux outils sont ajoutés. activités qui dépassaient les frontières traditionnelles de l’EDR et du NDR. Gartner définit XDR comme « un outil SaaS de détection des menaces de sécurité et de réponse aux incidents, spécifique au fournisseur, qui intègre de manière native plusieurs produits de sécurité dans un système d’opérations de sécurité cohérent qui unifie tous les composants sous licence. » 

Endpoint Detection and Response (EDR)

Assurer une cybersécurité robuste nécessite la mise en œuvre de mesures de protection et de bonnes pratiques à plusieurs niveaux. Les appareils finaux sont un élément crucial à protéger. Les solutions Endpoint Protection and Response (EDR) constituent l’approche standard pour assurer la sécurité des appareils de point de terminaison.

EDR ​​se concentre sur les appareils de point de terminaison tels que les ordinateurs de bureau, les ordinateurs portables, les tablettes, les smartphones et autres appareils intelligents déployés dans des environnements physiques. . Il s’appuie généralement sur un agent installé sur l’appareil protégé pour interagir avec un serveur central, qui reçoit et analyse les données sur les activités et autres événements se produisant sur les appareils.

De nombreuses solutions EDR utilisent la correspondance de modèles et de signatures. pour détecter les menaces connues. Par exemple, la détection des logiciels malveillants et des signatures antivirus sont des exemples classiques d’activités EDR. Les bases statistiques et l’apprentissage automatique sont de plus en plus utilisés dans l’EDR pour détecter les cyberattaques en cours qui peuvent ne pas avoir de signature connue ou pour découvrir des attaques sophistiquées qui tentent de contourner les défenses basées sur les signatures.

Les solutions EDR peuvent désactiver la communication. sur un périphérique de point de terminaison lorsqu’une activité anormale se produit pour confirmer la mise en quarantaine immédiate. Les experts en sécurité peuvent ensuite faire suivre cette réponse automatisée d’une analyse permettant de déterminer le niveau de menace et le type d’attaque.

Gestion des informations et des événements de sécurité (SIEM)

La gestion des informations et des événements de sécurité (SIEM) est un terme créé en 2005 par les analystes de Gartner pour décrire un groupe de produits émergents qui combinent les fonctionnalités des outils de gestion des informations de sécurité (SIM) et de gestion des événements de sécurité (SEM). Bien que les organisations puissent déployer ces outils séparément, ils sont généralement fusionnés dans des solutions SIEM.

Les solutions SIEM utilisent l’automatisation pour collecter des données de sécurité au sein d’une organisation, puis les analyser pour détecter des modèles ou des anomalies qui pourraient être des indicateurs. de compromis. Les fournisseurs de cybersécurité proposent diverses configurations de solutions de sécurité SIEM. Quelques exemples incluent des solutions uniquement technologiques, des solutions technologiques avec des services de gestion administrative et des services complets de traitement et d’alerte des événements informatiques gérés.  

Les outils SIEM font partie d’un ensemble plus large d’outils disponibles dans le domaine des réseaux et de la cybersécurité. Ils fournissent une vue globale de la sécurité du réseau et des applications. Lorsqu’il est correctement déployé avec d’autres solutions telles que NDR et EDR (voir les discussions sur la Triade de visibilité SOC ci-dessus), qu’il est bien géré et utilisé correctement, un système SIEM peut identifier les cyberattaques, les violations et les événements d’exfiltration de données en temps réel.

Security Orchestration, Automation and Response (SOAR)

Security Orchestration, Automation and Response (SOAR) fournit des outils et des services pour automatiser la prévention et la réponse aux cyberattaques. Ceci est réalisé en intégrant divers systèmes de sécurité et en définissant comment exécuter les tâches. De plus, un plan de réponse aux incidents adapté aux besoins d’une organisation est développé dans le cadre de SOAR.

Avec l’aide des solutions SOAR, les équipes SOC peuvent résoudre rapidement et efficacement des incidents auparavant longs et répétitifs. . Cela entraîne une réduction des coûts, une couverture améliorée et une productivité accrue.

Gartner définit SOAR comme des solutions qui combinent des capacités de réponse aux incidents, de gestion des renseignements sur les menaces, d’orchestration et d’automatisation dans une seule plateforme. Ils affirment que les outils SOAR documentent et mettent en œuvre des processus (également appelés playbooks, flux de travail et processus) prennent en charge la gestion des incidents de sécurité et fournissent une assistance basée sur machine aux analystes et opérateurs de sécurité humaine. Les flux de travail du système SOAR peuvent être orchestrés et automatisés via des intégrations avec d’autres technologies pour atteindre de nombreux résultats souhaités.

Source link