Les systèmes de détection et de prévention des intrusions (IDPS) sont conçus pour détecter les menaces sur la base de règles et de signatures. Il s'agit d'une solution éprouvée que l'on retrouve souvent dans les logiciels antivirus et les pare-feu de nouvelle génération. En théorie, il s'agit d'un excellent moyen de détecter une attaque connue à l'aide de la signature appropriée qu'elle présente. Les attaquants sont intelligents et les réseaux sont bruyants, de sorte qu'il s'avère qu'il n'y a pas deux attaques qui soient complètement identiques.
Pour contrer ce phénomène, les fournisseurs qui créent les signatures doivent être un peu plus détendus lorsqu'ils sélectionnent ce qu'ils recherchent. Cela semble être une bonne solution : les petites variations d'une attaque qui n'étaient pas détectées auparavant sont maintenant détectées à nouveau. Le problème est que l'on commence à obtenir un grand nombre de détections faussement positives. Il n'est pas rare qu'un centre opérationnel de sécurité (SOC) moderne utilisant des détections basées sur les signatures reçoive des dizaines de milliers d'alertes, parfois même plus, en seulement 24 heures, ce qui rend sa solution inutile.
79 % des équipes de sécurité se sont déclarées "dépassées par le volume".
- Enterprise Management Associates Info Brief
Pour contrer cela, les analystes SOC sont généralement obligés de configurer les systèmes IDPS pour ne surveiller que le trafic allant vers les actifs de grande valeur, tels que les bases de données et les serveurs de production. Il est également courant d'être très sélectif quant aux règles de signature activées dans leur IDPS, en supprimant souvent les règles les plus anciennes et les plus bruyantes, et en réglant les seuils d'alerte pour réduire le volume d'alertes. Malheureusement, la désactivation de la surveillance de la sécurité signifie que vous êtes pratiquement assuré de manquer une attaque.
A successful and more modern approach is to move away from your legacy IDPS and replace it with a network detection and response (NDR) solution. NDR offers threat intel combined with rich contextual data such as host user behaviors on the network, user and device privilege, and knowledge of malicious behaviors. All powered by machine learning rules developed by security research and data science that identify attacks that are real threats, while eliminating the noise. Ultimately giving you the peace of mind that you are detecting and stopping both known and completely unknown attacks for your entire deployment.
Éliminez le bruit de l'IDPS pour recommencer à détecter et à arrêter les menaces grâce à la NDR. Libérez vos analystes pour qu'ils se concentrent réellement sur leur travail au lieu de peaufiner les signatures. La plateforme Cognito de Vectra est au service à 100 % de la détection et de la réponse aux attaques à l'intérieur de cloud, du centre de données, de l'IoT et de l'entreprise. Notre travail consiste à trouver ces attaques de manière précoce et avec certitude.
Il faut d'abord disposer des données nécessaires pour y parvenir. Il ne s'agit pas de volume de données. Il s'agit de collecter des données de manière réfléchie à partir d'une variété de sources pertinentes et de les enrichir avec des informations sur la sécurité et le contexte afin de résoudre les cas d'utilisation des clients.
Les comportements d'attaque varient, c'est pourquoi nous créons en permanence des modèles algorithmiques uniques pour le plus grand nombre de scénarios de menaces nouveaux et actuels. Bien au-delà des capacités humaines, Vectra vous donne un avantage certain sur vos adversaires en détectant, regroupant, hiérarchisant et anticipant les attaques.
En réfléchissant et en réduisant la charge de travail des opérations de sécurité, vous consacrerez plus de temps à la recherche de menaces et aux enquêtes sur les incidents. Si vous êtes prêt à changer votre approche de la surveillance et de la protection de votre environnement, contactez-nous pour voir une démonstration.