Pendant des décennies, toute personne analysant le trafic réseau s'est concentrée
sur le trafic réseau externe, connu sous le nom de trafic nord-sud,
périmètre via des pare-feu. Bien que
les pare-feu ont évolué pour mieux analyser ce trafic, deux grandes tendances se sont dégagées:
1) l’adoption du cloud rendait le périmètre plus poreux, même pour les
point d'extinction, et 2) que les attaquants ont gagné en sophistication, les menaces à l'intérieur
le réseau devenait de plus en plus difficile à détecter. Trafic nord-sud
l'analyse ne suffit plus pour protéger le réseau d'une organisation.
Ce qui a initialement émergé pour analyser le trafic réseau interne, connu sous le nom de trafic est-ouest, était des solutions d'inspection approfondie des paquets initialement conçues pour l'analyse du trafic entrant / sortant. Le défi avec ces solutions en ligne est qu'elles étaient très coûteuses à déployer et à mettre à l'échelle, ce qui a conduit les organisations à faire des paris stratégiques sur le trafic est-ouest à surveiller et le trafic à ne pas surveiller.
Pendant cette période également, l'analyse du comportement des utilisateurs et des entités
est apparue comme une solution possible aux menaces internes. Ces solutions reposaient principalement sur les journaux pour
analyser le comportement des utilisateurs sur les hôtes, mais n'a pas fourni d'analyse approfondie sur l'est-ouest
trafic réseau. Pour obtenir la pleine valeur
de ces solutions, elles devaient généralement être intégrées à la sécurité
plates-formes de gestion des incidents et des événements (SIEM), qui avaient encore des limites
lorsqu'il s'agissait de détecter des comportements d'attaque inconnus.
Reconnaissant la limitation des solutions existantes dans le
marché, Gartner a identifié un nouveau marché de la sécurité appelé Network Traffic
Analyse (NTA). Les capacités définies
dans leur Marché
Guide consistent à
- Analyser le trafic de paquets réseau brut ou le trafic
les flux (par exemple, les enregistrements NetFlow) en temps réel ou presque en temps réel - Avoir la capacité de surveiller et d'analyser
trafic nord / sud (car il traverse le périmètre), ainsi que trafic est / ouest
(car il se déplace latéralement à travers le réseau) - Être capable de modéliser le trafic réseau normal et
mettre en évidence le trafic anormal - Offrir des techniques comportementales (sans signature
(apprentissage automatique ou analyse avancée, qui détectent le réseau)
anomalies - Être capable de mettre l'accent sur la phase de détection des menaces,
plutôt que la criminalistique - par exemple, l'analyse de capture de paquets (PCAP) - phase
d'une attaque
Sur la douzaine de fournisseurs identifiés sur ce nouveau marché, le
Les fournisseurs NTA pure-play ont les meilleures capacités. Plus précisément, ExtraHop Reveal (x) offre
visibilité complète et détection en temps réel des voyous, des initiés et
attaques basses et lentes, avec enquête guidée pour une confiance immédiate et confiante
réponse. Les différenciateurs clés comprennent:
- Traitement passif hors bande du réseau
trafic à grande échelle (jusqu'à 100 Gbit / s). De nombreux fournisseurs atteignent 40 Gbit / s ou moins par
appareil, ce qui n'est pas suffisant pour les entreprises d'aujourd'hui. - Accès instantané à la transaction d'application
contenu à la couche 7 (détails de l'application), permettant une détection rapide et
enquête sur les menaces présumées. - Détection en temps réel des menaces basée sur
analyse comportementale axée sur l'apprentissage automatique pour détecter des inconnues inconnues de différentes manières
que la détection basée sur des règles ne peut pas. - Capacités de déchiffrement, y compris pour Perfect
Forward Secrecy (PFS), donnant accès à des preuves concrètes des TTP utilisés
qui échapperaient autrement à la détection en se cachant dans de véritables
trafic légitime.
Dans un marché émergent, les leaders de la catégorie doivent le faire mieux et / ou différemment. Dans le cas d'ExtraHop, ils font les deux. Pour en savoir plus, visitez securityweekly.com/extrahop.
