Les menaces invisibles au sein du réseau
Chaque jour, le réseau de cette université acheminait le trafic généré par des milliers d'étudiants regardant des cours en streaming, des chercheurs transférant des ensembles de données entre les laboratoires, des enseignants accédant à des plateformes de notation en ligne, ainsi que par le personnel administratif traitant les dossiers d'inscription et les fiches de paie. Sur l'ensemble des campus, le réseau horizontal reliant les laboratoires de recherche, les départements universitaires et les systèmes administratifs a été conçu pour assurer le bon fonctionnement de l'ensemble sans heurts.
Cette même connectivité rendait le réseau pratiquement impossible à défendre de l'intérieur. Pour un pirate ayant obtenu un accès initial via une campagne de phishing, des identifiants compromis ou un système destiné aux étudiants présentant des failles, cette activité légitime constituait une couverture idéale. Le SOC disposait de contrôles rigoureux au niveau du périmètre, mais une fois qu'un pirate s'était introduit à l'intérieur, il n'avait qu'une capacité limitée à voir ce qui se passait. Le trafic interne circulait librement entre les systèmes, avec une visibilité limitée sur ce qui circulait et où.
Le trafic sur le réseau interne était pratiquement invisible
Les outils de surveillance traditionnels se concentraient sur le trafic entrant et sortant du périmètre du réseau. Les communications entre les systèmes internes au sein de l'infrastructure du campus, notamment les laboratoires de recherche, les applications universitaires et les bases de données administratives, échappaient à leur champ de vision. Des mouvements latéraux, des activités de commande et de contrôle, ainsi que les premiers signes de comportement malveillant pouvaient se produire sur ces segments sans déclencher d'alerte. Le SOC ne disposait d'aucun mécanisme pour les détecter.
La détection reposait sur des indicateurs en aval
En l'absence de visibilité au niveau du réseau, les analystes se fiaient aux alertes provenant des terminaux et aux anomalies du système pour détecter les activités suspectes. Ces indicateurs n'apparaissaient généralement qu'une fois que l'attaquant avait déjà étendu son accès, s'était déplacé d'un système à l'autre ou s'était positionné à proximité de données sensibles. Au moment où le SOC était alerté, la fenêtre permettant un confinement précoce était souvent déjà fermée.
La complexité du campus rendait l'analyse comportementale impossible
L'ampleur et la diversité de l'activité sur le réseau du campus rendaient difficile l'établissement de références ou la détection d'anomalies à l'aide d'outils classiques. Les schémas de trafic provenant des environnements de recherche, des systèmes destinés aux étudiants, des services cloud et de l'infrastructure administrative variaient considérablement. Distinguer le comportement des attaquants des activités légitimes exigeait un niveau de capacité d'analyse que les outils existants n'étaient pas en mesure d'offrir.
Ce dont le SOC avait besoin pour protéger l'environnement du campus
L'équipe de sécurité de l'université avait besoin de pouvoir surveiller son propre réseau, prendre des mesures en fonction de ses constatations et démontrer que les données de recherche sensibles et les informations relatives aux étudiants étaient bien protégées. Parmi les critères de décision figuraient notamment :
Une détection plus précoce dans l'ensemble des systèmes internes
Le SOC devait détecter les menaces circulant entre les systèmes internes avant qu'elles n'atteignent les infrastructures de recherche ou administratives sensibles, et non après que les alertes des terminaux se soient déjà déclenchées.
Fiabilité des résultats dans un environnement à fort volume
Avec des milliers d'utilisateurs et d'appareils générant un trafic constant, l'équipe avait besoin de détections fiables plutôt que d'un volume accru d'alertes à trier manuellement.
Des enquêtes plus rapides et plus approfondies
Les analystes avaient besoin d'un contexte suffisant au moment de la détection pour évaluer rapidement l'ampleur d'une menace, sans avoir à rassembler des éléments de preuve provenant de multiples outils disparates.
Conformité aux exigences réglementaires du secteur de l'éducation
L'université avait besoin d'un système de surveillance continue permettant de se préparer aux audits et de démontrer le respect des normes de sécurité régissant les données relatives aux étudiants et à la recherche.
Perturbation minimale du fonctionnement du campus
Toute solution devait être compatible avec l'ensemble des systèmes de l'université, qu'ils soient modernes ou hérités, sans nécessiter de modifications architecturales majeures ni perturber les activités pédagogiques pendant sa mise en œuvre.
Des angles morts à une visibilité unifiée du réseau
L'université a comblé son déficit de visibilité interne en déployant MetaDefender NDR sur les segments stratégiques du réseau à travers l'ensemble du campus. Des capteurs placés au niveau des principaux nœuds du réseau ont permis au SOC d'avoir un accès continu au trafic circulant entre les systèmes universitaires, les réseaux de recherche, les services cloud et l'infrastructure administrative. Pour la première fois, les analystes disposaient d'une vue unifiée de l'activité réseau est-ouest à travers l'environnement distribué de l'université.
MetaDefender NDR analyseNDR les données d'activité réseau à l'aide de l'apprentissage automatique et de l'analyse comportementale afin d'identifier les schémas de trafic anormaux, de détecter les mouvements latéraux entre les systèmes et de mettre au jour les communications de commande et de contrôle. Les modèles de détection des anomalies basés sur l'IA permettent de mettre en évidence les indicateurs subtils du comportement des attaquants qui se fondent dans le trafic normal du réseau, avant que ceux-ci ne puissent progresser plus avant dans l'environnement.
Les informations intégrées sur les menaces ont enrichi automatiquement les détections, fournissant ainsi aux analystes des alertes contextualisées plutôt que de simples indicateurs bruts. Au lieu de devoir recouper des données fragmentées provenant de plusieurs systèmes, le SOC a pu enquêter sur les incidents en bénéficiant d'une visibilité complète, au niveau du réseau, sur les activités des attaquants, le tout à partir d'une seule et même plateforme.
Impact mesurable sur la visibilité du SOC et la sécurité du campus
Après avoir déployé MetaDefender NDR, le SOC de l'université est passé d'une approche réactive, qui consistait à attendre les alertes provenant des terminaux et les anomalies du système, à une approche proactive, lui permettant de détecter et d'analyser les menaces alors qu'elles étaient encore en cours d'exécution.
Domaines d'impact | Avantages opérationnels |
Visibilité du réseau | Une visibilité approfondie et en continu sur le trafic est-ouest interne au sein des réseaux du campus |
Vitesse de détection des menaces | Détection précoce des mouvements latéraux et des schémas de communication suspects |
Efficacité des enquêtes | Une analyse plus rapide des causes profondes grâce à une télémétrie unifiée au niveau du réseau |
Protection de la recherche | Une capacité de détection améliorée pour protéger la recherche universitaire sensible et la propriété intellectuelle |
Réponse aux incidents | Une intervention mieux coordonnée du SOC grâce à une vision complète du contexte réseau |
Préparation à la conformité | Renforcement de la surveillance continue, conformément aux normes de sécurité du secteur de l'éducation |
Renforcer la sécurité à mesure que les menaces sur les campus évoluent
Grâce à la visibilité continue du réseau désormais mise en place, l'université est désormais en mesure d'étendre ses capacités de détection et d'intervention à un ensemble plus large de systèmes du campus et de processus de sécurité.
Une couverture plus étendue des capteurs sur l'ensemble du campus
ÉtendreNDR MetaDefender NDR à d'autres segments du réseau, tels que les environnements de collaboration en matière de recherche et l'infrastructure périphérique, afin de maintenir la visibilité à mesure que le réseau du campus s'étend et évolue.
Une intégration plus poussée avec les opérations du SOC
Mettre en corrélation les données de télémétrie réseau avec les plateformes SIEM et SOAR existantes afin d'enrichir les chronologies des incidents, d'accélérer les processus d'intervention et d'alléger la charge de travail des analystes au sein de l'équipe des opérations de sécurité.
Recherche rétrospective de menaces dans l'historique du trafic
En utilisant la fonctionnalité de « retrohunting » de la plateforme pour réanalyser les données historiques du réseau, détecter les activités malveillantes qui avaient échappé à la surveillance et déterminer depuis combien de temps des menaces non détectées étaient présentes dans l'environnement.
De la sécurité périmétrique à la réalité du réseau
Les réseaux universitaires ne peuvent pas être protégés uniquement contre les menaces extérieures. Les pirates qui parviennent à s'introduire dans le réseau peuvent se déplacer latéralement au sein des systèmes de recherche, des applications universitaires et de l'infrastructure administrative pendant de longues périodes si le centre de surveillance de sécurité (SOC) n'a aucun moyen de surveiller l'activité interne du réseau.
Grâce au déploiement MetaDefender NDR, les analystes du SOC de cette université ont acquis la visibilité, les capacités de détection et le contexte d'investigation nécessaires pour identifier plus rapidement les menaces et y répondre en toute confiance. Il en résulte un modèle de défense proactif, ancré dans le réseau, conçu pour s'adapter à la complexité des environnements actuels de l'enseignement supérieur.
Conclusions finales
- Les outils de périmètre et de protection des terminaux ne suffisent pas à eux seuls à détecter les menaces qui se propagent déjà latéralement au sein d'un réseau de campus
- Une visibilité permanente sur le réseau interne est essentielle pour détecter les agissements des pirates avant qu'ils n'atteignent les systèmes sensibles
- L'analyse comportementale basée sur l'IA détecte les activités suspectes qui se fondent dans le trafic intense du campus plus rapidement que les outils basés sur des règles
- Les informations intégrées sur les menaces réduisent la charge de travail des analystes en fournissant du contexte dès la détection
- Une solution de détection réseau spécialement conçue permet d'améliorer de manière tangible les performances du SOC sans perturber le fonctionnement du campus
Si votre centre de sécurité des opérations (SOC) assure la protection d'un environnement de campus complexe et a besoin d'une meilleure visibilité sur l'activité du réseau interne, contactez un OPSWAT pour découvrir comment MetaDefender NDR vous aider à protéger vos données sensibles.
