Ce qu'il faut savoir avant de lire le guide de marché 2020 de Gartner pour les NDR

16 juin 2020
Vectra AI Security Research team
Cybersécurité
Ce qu'il faut savoir avant de lire le guide de marché 2020 de Gartner pour les NDR

[MISE À JOUR LE 30/11/23 - Le Guide du marché 2020 a été supprimé et n'est plus disponible au téléchargement.]

Le très attendu Gartner Market Guide for détection et réponse aux incidents (NDR) a été publié et nous pensons qu'il y a quelques points essentiels à noter avant de se plonger dans le document et la catégorie redéfinie. Alors que le marché s'éloigne de la simple analyse pour s'orienter vers des réponses exploitables, le " R " de NDR doit être reconnu pour ce qu'il est vraiment : une opportunité pour votre organisation de disposer d'une stratégie clairement définie pour des réponses automatiques et manuelles. Auparavant, cette catégorie était connue sous le nom d'analyse du trafic réseau (NTA), mais elle a évolué au-delà de cette définition et a été renommée pour refléter plus précisément la fonctionnalité de ces solutions.

Dans cette catégorie redéfinie, le marché reconnaît désormais que l'utilisation de réponses automatiques et manuelles est un élément commun des solutions de NDR. Cela va de l'envoi de commandes à un pare-feu pour qu'il bloque le trafic suspect, à la fourniture de capacités de chasse aux menaces et de réponse aux incidents. Cependant, pour armer vos équipes de sécurité contre les attaques futures, il est essentiel de distinguer les vraies solutions de NDR de celles qui cherchent simplement à cocher la case avec des fonctions supplémentaires.

Le Gartner Market Guide définit un marché et explique ce que les clients peuvent en attendre à court terme. L'accent étant mis sur les marchés précoces et plus chaotiques, un guide de marché ne note pas ou ne positionne pas les fournisseurs sur le marché, mais décrit plutôt les attributs des fournisseurs représentatifs qui proposent des offres sur le marché afin de donner un aperçu plus approfondi du marché lui-même.

J'aime le terme "chaotique". La liste des fournisseurs qui prétendent être NDR est longue et variée ; beaucoup utilisent une sécurité de type "bolt-on" ou "check-box" pour prétendre être NDR. Gartner a réussi à réduire la liste à 18, mais même certains d'entre eux me laissent perplexe ; je ne peux qu'imaginer la longueur de la liste lorsqu'ils ont commencé, alors chapeau à Gartner, car je suis sûr qu'il n'a pas été facile de réduire le marché à 18 fournisseurs.

Chez Vectra, nous savons que la réponse est essentielle pour réduire les brèches, augmenter l'efficacité des centres d'opérations de sécurité (SOC), garantir la conformité et assurer la sécurité sur le site cloud... Pourtant, la technologie et les procédures qui sont à la base de l'application de la sécurité sont basées sur la qualité et le volume des anomalies de sécurité mises en évidence par une organisation. Il est donc essentiel d'éviter les alertes faussement positives, qui conduisent rapidement à une lassitude des alertes et à une dégradation de l'efficacité des analystes, qui doivent alors se battre pour hiérarchiser les réponses. Si les réponses automatisées ne sont pas exécutées correctement, les effets de ces faux positifs sont exacerbés, ce qui entraîne des perturbations et des pannes.

Une fois que vous disposez d'alertes de qualité et de haute fidélité, vous êtes prêt à réagir.

  • Réagissez en fonction des comportements et non des volumes d'anomalies : Oubliez le bruit et les faux positifs des systèmes basés sur les anomalies. Ancrez votre réponse dans une approche qui couvre un nombre record de comportements de réseau dans le cadre de MITRE ATT&CK .
  • Hiérarchiser les réponses en fonction des privilèges et des risques : Pensez comme un attaquant. Concentrez-vous sur les actifs de réponse qu'ils cibleront. Donnez la priorité à ceux qui présentent des niveaux élevés de privilèges, de risques et de probabilité de menace.
  • Appliquer au niveau de l'identité : Qu'y a-t-il de plus précis que l'application au niveau de l'identité ? Rien. Supprimez immédiatement les accès malveillants aux ressources essentielles à votre organisation.

L'une des capacités de réponse les plus appréciées est leverrouillage des comptes ( Vectra ). Elle permet une mise en œuvre immédiate et personnalisable des comptes via l'intégration d'Active Directory. Vous pouvez geler chirurgicalement l'accès aux comptes et éviter les interruptions de service en désactivant les comptes plutôt que votre réseau. En désactivant le compte d'un attaquant, vous pouvez limiter sa progression le long de la chaîne d'exécution.

Foire aux questions