NDR vs. Illumio Insights : Détecter et contenir les mouvements latéraux dans le nuage hybride
Pendant des années, les plateformes de détection et de réponse des réseaux (NDR) ont servi de microscope à l'équipe de sécurité.
Ils inspectent le trafic réseau au niveau des paquets, analysent le comportement dans l'ensemble de l'infrastructure et détectent les activités suspectes cachées dans des environnements complexes. Lorsque quelque chose tourne mal, les outils de la NDR aident les enquêteurs à reconstituer ce qui s'est passé.
Cette capacité avait du sens lorsque la plupart des applications se trouvaient dans des centres de données et que le trafic passait par des chemins de réseau prévisibles.
Les infrastructures modernes ne fonctionnent plus de cette manière.
Les applications s'exécutent désormais dans des environnements hybrides qui englobent des systèmes sur site, plusieurs nuages, des conteneurs, des API et des charges de travail de courte durée. Les attaquants se sont adaptés à cette complexité.
Au lieu d'attaquer le périmètre, ils se glissent à l'intérieur par le biais d'informations d'identification volées, de services exposés ou de mauvaises configurations. Une fois qu'ils ont pris pied, la véritable attaque commence lorsqu'ils se déplacent latéralement dans l'environnement.
À ce moment-là, il ne suffit pas de comprendre ce qui s'est passé hier. Les équipes de sécurité ont besoin de voir les modèles de communication à risque en temps réel et d'arrêter les attaquants avant qu'ils n'étendent leur accès.
Cette évolution met en évidence les limites de la NDR traditionnelle. Les environnements modernes d'aujourd'hui exigent une nouvelle approche de la détection et de l'endiguement des brèches.
C'est là qu'Illumio Insights entre en scène.
Illumio Insights : une détection conçue pour contenir les brèches
Illumio Insights adopte une approche différente de la détection et de la réponse aux menaces.
Au lieu de s'appuyer sur la capture de paquets et la reconstitution du trafic après un incident, Insights analyse les modèles de communication en direct dans l'environnement. Il ingère des données de flux provenant de plateformes en nuage, de systèmes sur site et d'infrastructures hybrides afin d'établir une carte en temps réel de l'interaction des charges de travail.
Au centre de cette capacité se trouve le graphique de sécurité de l'IA d'Illumio.
Le graphique modélise les relations entre les systèmes et les évalue en permanence pour détecter les schémas de communication à risque, les connexions suspectes et les signes de mouvement latéral.
Cela permet à Insights de mettre en évidence et de hiérarchiser les risques avant que les attaquants ne puissent les exploiter. Les équipes de sécurité peuvent voir les activités suspectes au moment où elles se produisent au lieu de reconstituer les événements plus tard.
Insights simplifie également les enquêtes.
Les plateformes de détection traditionnelles génèrent d'importants volumes d'alertes qui nécessitent une analyse manuelle. Au sein d'Illumio Insights, l'agent Insights agit comme un assistant IA qui aide les analystes à se concentrer sur ce qui compte. Il analyse les détections, hiérarchise les risques, met en correspondance les résultats avec les techniques MITRE ATT&CK et recommande des actions pour faire face à la menace.
Mais la plus grande différence apparaît après la détection. La plupart des outils de NDR s'arrêtent à l'identification des menaces, alors qu'Illumio se concentre sur leur confinement.
Insights s'intègre directement à Illumio Segmentation pour appliquer des contrôles au niveau du réseau qui empêchent les attaquants de se déplacer latéralement dans l'environnement. Les équipes de sécurité peuvent isoler les charges de travail compromises, bloquer les voies de communication à risque et empêcher les attaquants d'élargir leur accès.
La détection révèle la menace, mais l'endiguement stoppe la violation.
Ce pour quoi les plates-formes NDR ont été conçues
L'inspection approfondie des paquets (DPI) est au cœur de chaque plateforme NDR.
Ces solutions s'appuient sur des capteurs de réseau qui analysent en temps réel le trafic circulant sur un réseau. Certains capteurs sont virtuels, tandis que d'autres sont des dispositifs physiques branchés directement sur l'infrastructure du centre de données.
Les solutions NDR capturent et analysent les paquets qui se déplacent sur le réseau à des vitesses extrêmement élevées. Ils peuvent décrypter le trafic, inspecter les charges utiles et examiner chaque détail du flux de communication.
Mais le stockage de chaque paquet nécessiterait une énorme capacité de stockage. Les plateformes NDR doivent donc adopter une approche différente.
Au lieu de stocker le trafic brut, ils extraient des détails clés sur ce qui s'est passé et les enregistrent sous forme de métadonnées. Ces métadonnées deviennent un historique consultable de l'activité du réseau.
Si quelque chose de suspect se produit, les équipes de sécurité peuvent revenir en arrière et reconstituer ce qui s'est passé - quels systèmes ont communiqué, quelles données ont été déplacées et comment l'événement s'est déroulé.
Cette capacité médico-légale est incroyablement puissante. En fait, pour certains secteurs qui s'appuient sur des réseaux de centres de données sur site, tels que les banques et certaines agences fédérales, c'est une obligation en vertu des règles de conformité. Ces organisations doivent conserver des enregistrements détaillés du réseau à des fins d'enquête et de conformité.
Dans ces environnements, les solutions NDR fournissent exactement ce dont les équipes ont besoin : une vue historique détaillée de l'activité du réseau.
Les difficultés de la NDR
L'architecture qui rend les solutions NDR puissantes révèle également ses limites.
La plupart des plateformes NDR ont été conçues spécifiquement pour les réseaux de centres de données sur site. Leurs capteurs se trouvent à l'intérieur du réseau et analysent le trafic qui passe par l'infrastructure physique.
Cette conception fonctionne très bien dans les environnements traditionnels. Mais les infrastructures modernes sont très différentes.
Les organisations exécutent désormais des applications dans des environnements hybrides qui combinent des systèmes sur site, plusieurs clouds et des plateformes de conteneurs.
Et si les fournisseurs de NDR ont ajouté la prise en charge de l'informatique dématérialisée au fil des ans, ces capacités sont souvent des ajouts supplémentaires plutôt que des caractéristiques de conception essentielles. Par conséquent, leurs capacités les plus fortes restent à l'intérieur du centre de données.
Cela pose plusieurs problèmes.
La détection des menaces dans l'informatique dématérialisée est plus faible
Dans les environnements en nuage, les plateformes NDR s'appuient généralement sur les journaux de flux du nuage plutôt que sur l'inspection approfondie des paquets.
Les journaux de flux fournissent une visibilité sur la communication du réseau. Mais ils n'ont pas le niveau de détail des paquets dont dépendent les plates-formes NDR pour la détection.
Cela signifie que les capacités de détection des menaces qui fonctionnent bien sur site ne se traduisent souvent pas clairement dans les environnements en nuage.
Pour les organisations qui utilisent une infrastructure hybride, cela crée des zones d'ombre.
La détection reste une activité à forte intensité d'investigation
De nombreux fournisseurs de NDR ont ajouté des capacités d'apprentissage automatique et d'IA pour aider à identifier les anomalies. Ils établissent une base de référence pour le comportement du réseau et recherchent des pics inhabituels ou des écarts par rapport aux schémas de trafic normaux.
Si quelque chose d'inhabituel se produit, le système génère une alerte. Mais une fois que cette alerte apparaît, la charge revient aux analystes humains.
Les équipes de sécurité doivent enquêter sur l'événement, déterminer s'il s'agit d'une activité malveillante et décider comment réagir.
L'outil fait remonter le signal à la surface, tandis que les humains continuent à faire le gros du travail.
L'accent est toujours mis sur l'analyse historique
Les plates-formes NDR sont idéales pour aider les équipes à enquêter sur ce qui s'est passé dans le passé.
Cette capacité est précieuse pour l'analyse médico-légale, les rapports réglementaires et les enquêtes post-incidents.
Mais les attaques modernes sont rapides. Lorsque les équipes reconstituent les événements, l'attaquant peut déjà avoir élargi l'accès à l'ensemble de l'environnement.
Pourquoi de nombreuses organisations utilisent de toute façon la NDR
Malgré ces limites, les outils de NDR restent largement déployés.
Dans certains environnements, ils sont obligatoires. Certains organismes gouvernementaux et secteurs hautement réglementés, tels que le secteur bancaire, doivent utiliser l'inspection approfondie des paquets pour satisfaire aux exigences de conformité. Pour ces organisations, la NDR n'est pas négociable.
Pour d'autres organisations, la NDR est simplement l'outil le plus proche pour la détection des menaces sur le réseau. Ils n'ont pas forcément besoin d'une inspection complète au niveau des paquets ou d'enregistrements médico-légaux à long terme.
Ce dont elles ont réellement besoin, c'est de pouvoir détecter les activités suspectes sur l'ensemble de leur réseau. Dans ces environnements, l'inspection approfondie des paquets peut s'avérer superflue. Il recueille d'énormes quantités d'informations et nécessite une infrastructure importante pour fonctionner.
Pourtant, de nombreuses organisations le déploient quand même parce qu'il n'y a pas eu de meilleure option.
C'est là qu'Illumio Insights entre en scène.
Repenser la détection des réseaux pour les environnements hybrides
Le NDR reste un outil puissant pour les organisations qui ont besoin d'une inspection approfondie des paquets et d'une visibilité historique en matière de criminalistique. Mais de nombreuses organisations opèrent aujourd'hui dans des environnements que la NDR n'a jamais été conçue pour protéger.
Les infrastructures hybrides, les charges de travail éphémères et les architectures "cloud-native" exigent une approche différente.
Les équipes de sécurité doivent détecter les schémas de communication à risque dans l'ensemble de l'environnement et réagir avant que les attaquants ne puissent se propager.
Illumio Insights offre cette possibilité.
En combinant la détection en temps réel, l'analyse pilotée par l'IA et la segmentation intégrée, il aide les organisations à dépasser le stade de l'investigation pour parvenir à un véritable confinement des brèches.
Essayez Illumio Insights gratuitement pour détecter les communications à risque dans votre environnement et empêcher les attaquants de se déplacer latéralement.
