[UPDATED ON 11/30/23 - Le Gartner Market Guide n'est plus disponible au téléchargement.]
Dans son rapport de juillet, Hype Cycle for Security Operations 2022, Gartner a validé une position adoptée par Vectra AI il y a quelque temps : La technologie NDR (détection et réponse aux incidents) devrait être une solution prioritaire pour les équipes de sécurité des entreprises.
Vectra en est conscient depuis longtemps, bien sûr, mais il est agréable de voir la sagesse conventionnelle enfin rattrapée.
Les influenceurs et les décideurs en matière de technologie se précipitent toujours sur les rapports du Gartner Hype Cycle. Ces rapports, qui font autorité, annoncent les catégories qui sont sur la voie de l'ascension, celles qui ont atteint leur sommet et celles qui ont peu de chances de grimper malgré un battage médiatique suffisant pour être adoptées en masse, mais qui sont condamnées soit à mourir d'exposition au sommet des "attentes exagérées", soit à expirer dans le "creux de la désillusion".
Gartner conclut que NDR a échappé à ces deux destins et qu'il est en train de gravir la "pente de l'illumination" à l'heure où j'écris ces lignes.
Pourquoi ? Citons un extrait du rapport :
"Lorsque l'on considère la feuille de route en matière de technologies et de capacités pour les opérations de sécurité, il faut mettre l'accent sur la hiérarchisation des problèmes découverts pour s'assurer que votre programme d'opérations de sécurité s'aligne sur votre surface d'attaque spécifique et dynamique. Parallèlement, tout cela doit s'aligner sur les architectures informatiques modernes."¹
En langage clair, à la manière de Vectra : Les domaines du réseau n'ont jamais été aussi distribués et fragmentés, et le paysage des menaces - du centre de données à cloud - n'a jamais été aussi riche ou inondé d'inconnues. Avec l'adoption rapide de solutions hybrides et multicloud, il n'y a jamais eu autant de vecteurs d'attaque. Aujourd'hui, il n'est pas possible d'examiner toutes les anomalies - il y en a tout simplement trop, et en fait la plupart d'entre elles sont bénignes. Il est donc judicieux de donner la priorité aux véritables menaces et de les mettre en avant, indépendamment de leur origine ou de leur évolution. C'est là qu'intervient laplate-forme"Vectra Threat Detection and Response (TDR)".
Un investissement de sécurité à faible risque et à haut rendement
Le moment est venu de mettre en place une plateforme de sécurité plus moderne pour la détection et la réponse aux menaces, qui minimise l'exposition aux risques - une plateforme qui va au-delà de la surveillance pour prédire les comportements anormaux des systèmes, en partie en appliquant l'analyse comportementale aux données du réseau, du site cloud et de l'identité.
Dans ce contexte, selon Gartner, la NDR est un investissement peu risqué et très rentable pour les équipes chargées des opérations de sécurité. Elle complète les outils de sécurité traditionnels, solitaires et préventifs, qui sont moins efficaces dans l'environnement actuel des menaces.
Il est devenu de plus en plus difficile de surveiller le trafic et la santé du réseau entre les installations sur site et le site cloud. La bonne NDR comble cette lacune ; la bonne NDR tire parti de l'apprentissage automatique pour détecter les menaces qui échappent aux autres technologies ; la bonne NDR n'entrave pas le trafic légitime sur le réseau ; la bonne NDR ne devient pas un "ralentisseur" pour l'efficacité de l'organisation.
Le point de vue de Gartner sur la NDR valide l'approche de Vectra(TDR)
Vectra Le TDR (qui comprend le NDR, le CDR et l'ITDR) est axé sur les éléments suivants :
- Aligner les solutions sur les exigences du client en matière de couverture de la surface d'attaque, sachant que les surfaces d'attaque ne cessent de s'étendre et incluent désormais les domaines publics cloud, SaaS, l'identité et le réseau ;
- Hiérarchiser et clarifier les menaces les plus critiques dans la vaste mer d'anomalies qui comptent le plus pour les entreprises ;
- Réduire la complexité de la charge de travail des équipes SOC en intégrant les outils et en automatisant les processus afin que les analystes fonctionnent au mieux (sans les épuiser) ;
- Une visibilité et un contrôle accrus permettent aux équipes de sécurité de détecter et d'arrêter les attaques avec moins de travail, moins d'outils et en moins de temps.
Les évaluations de Gartner sur les technologies de sécurité sont en parfaite adéquation avec la stratégie de la plateforme de détection et de réponse aux menaces (TDR) de Vectra.
En fait, le rapport Hype Cycle for Security Operations met en évidence des technologies et des services supplémentaires au-delà de la NDR, que la plateforme Vectra TDR comprend déjà MDR (Managed Detection and Response) et ITDR (Identity Threat Detection and Response), ainsi que OT Security, Breach and Attack Simulation, Digital Forensics and Incident Response, Vulnerability Prioritization Technology, et Digital Risk Protection Services. Autant de priorités pour les décideurs en matière de sécurité, autant d'aspects contenus dans la proposition de valeur totale de Vectra .
Acheter des résultats commerciaux, pas des technologies
Bien qu'il soit certainement agréable de voir Gartner couvrir les technologies de base Vectra de manière aussi positive, permettez-moi de conclure avec une recommandation qui, à première vue, peut sembler contradictoire : Se concentrer sur les résultats et non sur les technologies.
Prenons l'exemple des éléments moteurs décrits par Gartner pour le MDR, qui concernent tous des résultats appréciés :
- Conformité : s'assurer que l'organisation a mis en place la surveillance et la détection des menaces nécessaires ;
- Couverture : détection des menaces de haute fidélité et couverture d'un large éventail de sources de données, de technologies et de plates-formes SaaS ;
- Confinement : mettre en place des mesures de confinement actif ou de perturbation d'une menace ;
- Contrôles : fournir des capacités de gestion de l'exposition, de réponse aux incidents et de gestion des risques ;
- Réduction de la complexité : mise en œuvre d'une solution clé en main pour ceux qui ne peuvent pas mettre en place et maintenir une capacité interne ou qui ont besoin d'une capacité rapide.
Les mises en œuvre technologiques ratées, ou du moins imparfaites, sont une source de longue date de problèmes de sécurité dans le secteur privé. Au-delà de la résolution des problèmes à court terme, l'achat de solutions de sécurité à la carte et leur empilement ne font que créer des frictions et des incompatibilités. Si une organisation investit massivement dans des technologies telles que l'EDR et le SIEM, mais déploie en parallèle des solutions NDR ou MDR incompatibles, le résultat peut être à l'opposé de ce qui était prévu : à la fois coûteux et perturbateur.
Le client avisé devrait s'adresser à un fournisseur qui propose des outils conçus pour produire des résultats spécifiques et souhaités, en harmonie avec le paysage existant. Un tel fournisseur offre plus qu'un simple NDR : des services MDR centrés sur la franchise, la transparence et des canaux de communication ouverts avec les analystes et les équipes de livraison. Cherchez des indices de l'attitude d'un fournisseur dans la conception de l'interface utilisateur de son produit : plus elle est empathique et intuitive, mieux c'est.
Cette attitude ouverte et axée sur les résultats propulse des technologies importantes comme la NDR sur la "pente des lumières" et la MDR dans le "courant dominant précoce", tandis que d'autres ne parviennent pas à réaliser leur potentiel.
Dans son rapport, Gartner présente des raisons convaincantes pour que chaque RSSI d'entreprise envisage d'adopter la NDR et d'y associer la MDR. Vectra a les antécédents, l'attitude et la culture nécessaires pour différencier sa proposition NDR + MDR.
Selon Gartner, la NDR est aujourd'hui en train de "grimper la pente" vers le statut de courant dominant. Bien entendu, bien avant que Gartner ne proclame son verdict sur le cycle de l'engouement, Vectra avait fait pleinement confiance à la NDR - une approche justifiée par des résultats probants dans le monde réel.
Maintenant que Gartner a fait passer le mot, un plus grand nombre de personnes dans le monde vont peut-être franchir le pas de la NDR. La tâche consiste à choisir la bonne NDR : une NDR qui s'appuie sur les bons services de MDR.
----
¹ Andrew Davies et al, "Hype Cycle for Security Operations, 2022", Gartner Group, 5 juillet 2022, p. 5.