_
Comment une solution NDR détecte des attaques sur un réseau chiffré ?
La cybersécurité est devenue un enjeu majeur pour les entreprises, surtout dans le monde interconnecté d’aujourd’hui. Avec la montée en puissance des cyberattaques sophistiquées, il est devenu essentiel de protéger les données sensibles et de garantir la continuité des opérations. Les attaques sur les réseaux chiffrés sont de plus en plus courantes, ce qui rend la détection des menaces d’autant plus complexe. C’est là qu’intervient la solution NDR (Network Detection and Response).
Dans cet article, nous explorerons en détail comment elle parvient à détecter des attaques sur un réseau chiffré.
Comprendre les réseaux chiffrés
Avant de plonger dans le vif du sujet, il est essentiel de comprendre ce qu’est un réseau chiffré.
Un réseau chiffré utilise des protocoles de chiffrement pour sécuriser les communications entre les différents appareils et les serveurs. Ces protocoles garantissent que les données sont confidentielles pour toute personne non autorisée, même si elles parviennent à intercepter le trafic réseau.
Que ce soit des communications via internet, entre des réseaux distants ou sur le réseau local, il est important qu’elles soient chiffrées pour que quelqu’un qui se mette en écoute passive ne puisse pas facilement récupérer d’informations sensibles sur le réseau.
Les cybercriminels passent eux aussi par des canaux chiffrés (par exemple le Command and Control se fait majoritairement via HTTPs), rendant la détection plus complexe. Cela pose un défi majeur pour les entreprises car elles doivent s’assurer d’être bien équiper pour être en mesure de détecter ces attaques sur des flux chiffrés.
Comment fonctionne une solution NDR pour détecter le trafic chiffré ?
Un NDR assure une surveillance continue du trafic réseau et analyse les flux de données pour détecter des comportements anormaux.
Dans le cas de la détection sur les flux chiffrés, analyser le contenu applicatif ne peut se faire efficacement qu’à travers le déchiffrement. Cependant, une solution centrale capable de réaliser ce déchiffrement peut elle-même devenir une cible d’attaques, en plus du coût élevé associé à cette opération.
Une alternative consiste à opter pour une détection qui ne dépend pas de l’analyse du contenu applicatif. Dans cette situation, les solutions traditionnelles de détection d’intrusions (IDS) se révèlent inefficaces, laissant ainsi la place à la solution NDR.
Cette dernière repose sur de l’IA et notamment de l’analyse comportementale pour pouvoir identifier des activités suspectes de façon proactive, même sur des données chiffrées.
La détection des attaques sur un réseau chiffré se base sur l’analyse des caractéristiques des paquets réseaux. Bien que le contenu des communications chiffrées soit inaccessible, les métadonnées (les informations sur les données elles-mêmes), restent visibles. Le NDR va alors regarder les caractéristiques de plus bas niveau telles que la taille des paquets, le temps entre les paquets, la façon dont se succèdent les connexions, les volumes de données anormaux, les adresses IP, etc, de sorte à repérer des schémas inhabituels.
Prenons à titre d’exemple les tentatives d’attaques par Brute Force en ligne. Des connexions multiples vont être créées avec un pattern particulier, notamment un temps d’arrivé entre les paquets qui sera significatif de multiples tentatives de connexion et donc signe d’une attaque en cours.
Comment Custocy détecte sur les flux chiffrés
Le NDR Custocy repose sur une technologie unique de communauté d’IA, chacune spécialisée à différentes échelles de temps : milliseconde, seconde, minutes et semaines. Elles sont orchestrées par une IA maîtresse, le METALEARNER, qui centralise et analyse les réponses de ces IA et prend la décision d’alerter ou non l’utilisateur.
Pour pouvoir détecter des menaces de manière proactive, le NDR Custocy récupère les métadonnées du réseau qui sont ensuite analysées par cette communauté d’IA.
Rappelons-le, les métadonnées ne contiennent aucune donnée applicative. Seul le nom du protocole est utilisé pour l’analyse (HTTPs/SMB/SSH).
L’ensemble de nos modèles d’IA sont en capacité de détecter sur les flux chiffrés. Ils remontent les activités suspectes au METALEARNER, qui après une dernière analyse, alertera en suivant l’utilisateur d’une attaque en cours.
Nos modèles se basent sur :
- La taille et le temps entre les paquets
- Les métadonnées d’un flux
- Les métadonnées d’agrégats de flux (depuis ou vers une même adresse IP)
- Les différentes utilisations des protocoles par un asset (analyse comportementale)
Avantages de la détection sur un réseau chiffré avec une solution NDR
La détection des attaques sur un réseau chiffré avec une solution NDR permet aux entreprises de mieux protéger leurs données sensibles en identifiant rapidement les menaces, même lorsque les cybercriminels tentent de se cacher derrière le chiffrement. De plus, elle offre une visibilité accrue sur le trafic réseau, ce qui peut aider les équipes de sécurité à prendre des décisions éclairées pour renforcer la sécurité de l’entreprise.
En conclusion
La cybersécurité est un défi de plus en plus complexe à mesure que les attaques se multiplient et notamment celles sur les réseaux chiffrés. Cependant, une bonne solution NDR peut jouer un rôle essentiel en détectant ces menaces cachées derrière le chiffrement. Il est donc crucial pour les entreprises de s’équiper de technologies de pointe pour protéger leurs données et assurer la continuité de leurs opérations dans un monde de plus en plus numérique et connecté.