Pourquoi la détection et la réponse à l’incident sont-elles le coeur de la cybersécurité ?

Nous entrons dans l’ère des données, un paysage de menaces en constante évolution qui exige de meilleurs mécanismes de détection, de protection et de réponse à un incident de sécurité. Les ressources et les outils de cybersécurité doivent donc être renforcés.

La transition massive vers le cloud, le besoin de vélocité et d’agilité, ainsi que l’arrivée d’autres technologies telles que l’Endpoint Detection & Response (EDR) ont radicalement changé l’environnement de la cybersécurité. Le centre des opérations de cybersécurité (CSOC) est désormais la pierre angulaire des opérations de cybersécurité.

Du CSOC au MDR

Cette évolution a ouvert la voie au MDR qui signifie Managed Detection & Response. Cette offre avancée du CSOC comprenant de nouvelles capacités en termes de périmètre couvert, de réactivité et de service. Forrester décrit le MDR comme “des techniques analytiques avancées” à partir d’outils tels que “les logiciels EDR [et] l’analyse et la visibilité du réseau” pour effectuer “une chasse proactive aux menaces et une réponse automatisée.”

Avantages du MDR

Le Managed Detection & Response a transformé les méthodes de travail en améliorant l’efficacité des opérations de sécurité dans l’identification, l’investigation et la réponse aux menaces:

* amélioration de la visibilité des menaces par extension de périmètre

* nouvelle capacité réduisant le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) permettant une détection et une réponse plus rapides aux menaces

* personnel et technologie dédiés disponibles 24 heures sur 24 et 7 jours sur 7

* activation et couverture rapide des services grâce à une équipe prête à agir

* accès à des experts aidant les équipes de sécurité dans les opérations qui requièrent des compétences, telles que l’évaluation des risques, la gestion des vulnérabilités ou encore la réponse aux incidents

Qu’est-ce qu’un XDR?

XDR, qui signifie Extended Detection & Response, rassemble et corrèle automatiquement les données provenant de plusieurs couches de sécurité telles que les emails, les points de terminaison, les serveurs, les charges de travail dans le cloud et le réseau. L’XDR ne remplace pas un SIEM, il contribue à l’améliorer en réduisant le temps dont les analystes de sécurité ont besoin pour évaluer les alertes et les logs afin de décider ce qui nécessite une attention particulière et des investigations plus approfondies.

La solution Vision One de Trend Micro :

* station centrale (une seule source, un seul endroit, un seul lieu)

* protection complète

* visibilité accrue des risques

* réduction du temps moyen de détection

* enquêtes plus rapides

* automatisation

* réponse complète

* gestion proactive des politiques

* réduction du temps moyen de réponse

* alimentation des données d’activité de plusieurs couches vers un lac de données

Cela permet de détecter plus rapidement les menaces et d’améliorer les temps d’enquête et de réponse grâce à l’analyse de la sécurité.

Qu’est-ce qu’un NDR?

NDR, acronyme de Network Detection & Response, vise à détecter les cybermenaces au niveau de la couche réseau. Cette technologie est basée sur l’apprentissage automatique et les données pour construire un scénario de trafic normal. En cas d’activité de trafic suspecte, une alerte est déclenchée. La NDR ne se limite pas à la détection, elle comprend également une fonctionnalité de réponse aux incidents.

La solution AionIQ de Gatewatcher:

– autonome et ne nécessite pas d’équipement supplémentaire

– facile à mettre en place

– forte résistance aux tentatives de corruption et réduit la surface d’attaque

– forte réactivité en cas d’attaques

– possibilité de déployement sur site ou dans le cloud

– disponible en différentes offres pour s’adapter à votre propre infrastructure

Retour aux fondements : CSOC

Pour conclure, nous devons comprendre que le MDR n’est pas une technologie en soit mais des extensions de services qui s’appuient sur de nouvelles technologies et pratiques. Cependant, sans l’expertise et les connaissances appropriées en matière de cybersécurité, ces technologies et pratiques peuvent rapidement devenir chronophages et ne pas apporter la valeur ajoutée espérée initialement.

C’est pourquoi les fournisseurs de services de sécurité tels qu’Excellium Services au travers de cette offre de Managed Detection & Response permettent à leurs clients de pouvoir rapidement faire face à l’augmentation actuelle du paysage des menaces et à leur besoin de nouvelle capacité opérationnelle.

Il est important de reconnaître et de comprendre la nécessité et le rôle de l’humain derrière ce type de service. Savoir sélectionner de façon pragmatique les outils à utiliser, les déployer, les exploiter et en tirer la meilleure efficacité face à la menace, ne peut se faire qu’au travers d’humains confrontés et entrainés à faire face, chaque jour à l’adversité.

Retrouvez nous le 13 octobre prochain à Cyber Meet-Up pour discuter de ce service avec nos experts.