Aller au contenu
Avanet
Sophos NDR – Éliminer les angles morts du réseau

Sophos NDR – Éliminer les angles morts du réseau

Dans mes derniers articles, j’ai parlé de Sophos Managed Detection and Response (MDR) : d’abord du passage de MTR à MDR, puis des nouveaux add-ons puissants permettant aussi d’intégrer des données de télémétrie de tiers.

Ceux qui ont lu ces deux articles auront sûrement compris que Sophos MDR est un service indispensable pour protéger leur entreprise contre les attaques réseau et la cybercriminalité. En réalité, ce n’est que le début.

Ne vous méprenez pas : avec Sophos MDR, vous avez déjà fait beaucoup pour la sécurité de votre réseau ! L’agent Sophos fonctionne (espérons-le) sur chaque poste et chaque serveur, et votre instance Sophos Firewall est connectée via Synchronized Security et envoie ses journaux dans le Data Lake. De plus, vous avez confié la surveillance et la réponse à incident à l’équipe Sophos MDR (Sophos X-Ops), qui reste en alerte 24h/24 et 7j/7. Bravo ! 👏

Vous utilisez un pare-feu tiers ? Aucun problème. Grâce aux nouvelles intégrations, l’add-on MDR Firewall permet aussi de connecter des équipements Palo Alto Networks, Fortinet, Check Point, Cisco ou SonicWall.

Angles morts dans le viseur

Même si la combinaison du pare-feu et de Sophos Managed Detection and Response constitue un excellent duo pour sécuriser le réseau d’entreprise, certaines questions restent ouvertes et peuvent donner des nuits blanches à un administrateur IT consciencieux :

  • Comment protéger nos appareils IoT, terminaux de point de vente, imprimantes, clients légers, Smart TV, etc., sur lesquels aucun agent Sophos ne peut être installé ?
  • Comment puis-je surveiller le trafic réseau derrière notre pare-feu ?
  • Comment puis-je surveiller et analyser le comportement des utilisateurs internes ?
  • Comment puis-je garder un œil sur les mouvements de données dans le réseau ?
  • Comment puis-je réaliser un inventaire régulier des actifs de notre réseau ?
  • Comment puis-je détecter les systèmes nouveaux ou non autorisés dans notre réseau ?
  • Comment obtenir une visibilité sur le trafic chiffré dans notre réseau ?

Ce sont toutes des questions importantes auxquelles Sophos Network Detection and Response (NDR) peut répondre. Le NDR ajoute un facteur crucial à la ligne de défense. Avec le pare-feu, vous contrôlez le trafic qui entre et sort du réseau de l’entreprise, et avec Intercept X Advanced et le service MDR, les comportements suspects peuvent être détectés sur les points de terminaison et les serveurs (sur lesquels l’agent Sophos est installé). Mais qu’en est-il du trafic au sein de l’environnement entier ?

Les attaquants font tout pour ne pas être détectés, et l’évasion de la détection est une tactique bien connue du framework MITRE ATT&CK® au niveau système. Les exploits peuvent par exemple se dissimuler aux solutions EDR, et les attaquants peuvent désactiver ou supprimer les journaux système. Mais il y a une chose qu’un attaquant ne peut pas éviter : il doit se déplacer dans le réseau. C’est précisément ce que le capteur NDR de Sophos journalise, même si l’attaquant agit avec prudence et discrétion. Chaque action laisse des traces.

Qu’est-ce que Sophos NDR ?

Sophos Network Detection and Response (NDR) est proposé sous forme d’appliance virtuelle qui surveille passivement l’ensemble du trafic réseau via un port SPAN. Tout ce qui est capturé sur ce port est soumis à une détection des menaces en temps réel, basée sur cinq algorithmes clés fournis avec NDR.

La technologie derrière NDR a été acquise par Sophos en juillet 2021 via l’acquisition de la société « Braintrace ». Braintrace avait développé une machine virtuelle capable de surveiller le trafic réseau avec cinq algorithmes clés et ainsi de distinguer les activités malveillantes des activités bénignes.

Lorsqu’une menace est détectée par l’un de ces cinq algorithmes clés, elle est transmise au Sophos Data Lake, classée et évaluée. Des cas sont alors générés, puis analysés et validés par l’équipe Sophos Threat Response. Les informations du capteur NDR peuvent également être corrélées avec celles d’autres capteurs, par exemple les fonctions d’identité, d’e-mail, de réseau et de pare-feu.

Les cinq algorithmes fondamentaux du NDR

Examinons de plus près les cinq puissants algorithmes que Sophos NDR met à notre disposition :

ndr-detection-engines

Encrypted Payload Analytics (EPA)

Ce moteur peut détecter les logiciels malveillants même dans le trafic chiffré, où ils restent souvent dissimulés.

Domain Generation Algorithm (DGA)

Ce moteur aide à détecter la communication avec les serveurs de commande et de contrôle (C2) et d’autres domaines malveillants, et ce, sans données de menaces connues.

Session Risk Analytics (SRA)

Ce moteur identifie les caractéristiques anormales du trafic réseau, par exemple des certificats auto-signés ou l’utilisation de ports non standard. Associées à d’autres activités inattendues ou suspectes, ces caractéristiques signalent un risque élevé qui doit faire l’objet d’une investigation.

Data Detection Engine (DDE)

Ce moteur aide à détecter les systèmes du réseau qui ne sont pas gérés par Sophos. Il permet d’identifier les lacunes de couverture sur les appareils autorisés, mais aussi de repérer des systèmes ou appareils non autorisés, potentiellement malveillants.

Deep Packet Inspection (DPI)

La Deep Packet Inspection permet de rechercher dans le réseau des indicateurs de compromission précis, par exemple une communication vers un serveur de commande et contrôle (C2) ou une adresse IP suspecte qui n’a rien à faire dans votre réseau.

Ce qu’il faut pour Sophos NDR

Sophos NDR est actuellement uniquement disponible comme intégration MDR. Cela signifie qu’une licence MDR active est nécessaire pour pouvoir configurer NDR. Depuis la mi-juillet, les clients XDR peuvent également tester gratuitement NDR via le programme Early Access.

Comme expliqué plus haut, le capteur Sophos NDR (collecteur de logs) fonctionne sur une machine virtuelle (VM). Les données y sont collectées et transmises au Sophos Data Lake. Actuellement, Sophos NDR prend en charge “VMware ESXi 6.7” ou plus récent et “Microsoft Hyper-V 6.0.6001.18016 (Windows Server 2016)” ou plus récent.

Essayer Sophos NDR

Cet article vous a-t-il convaincu des qualités et des avantages de Sophos NDR, ou au moins donné envie d’en savoir plus ? Les clients disposant d’une licence MDR ou XDR peuvent s’inscrire depuis la mi-juillet au programme Early Access de Sophos pour tester gratuitement NDR. Selon Sophos, l’EAP doit être ouvert de juillet à novembre 2023.

Si vous n’utilisez pas encore de licences XDR ou MDR et que vous souhaitez essayer Sophos NDR, commandez-les simplement via notre boutique en ligne :

Les étapes exactes pour ajouter NDR comme intégration dans Central, configurer l’image, la télécharger et l’installer sur la VM sont décrites dans le guide Sophos suivant : Configurer Sophos NDR

Documents d’information

Sophos Network Detection and Response (NDR) – Guide de démarrage rapide EAP

Sophos Network Detection and Response (NDR) – Fiche technique

Sophos Network Detection and Response (NDR) – Brève description

Sophos Network Detection and Response (NDR) – Livre blanc

David

David

David est responsable des contenus, de la structure et de la mise en oeuvre numerique chez Avanet. Il veille a rendre les sujets techniques complexes clairs, precis et optimises pour la recherche.