Les systèmes de détection et de prévention des intrusions (IDPS) sont conçus pour détecter les menaces sur la base de règles et de signatures. Il s'agit d'une solution éprouvée que l'on retrouve souvent dans les logiciels antivirus et les pare-feu de nouvelle génération. En théorie, il s'agit d'un excellent moyen de détecter une attaque connue à l'aide de la signature appropriée qu'elle présente. Les attaquants sont intelligents et les réseaux sont bruyants, de sorte qu'il s'avère qu'il n'y a pas deux attaques qui soient complètement identiques.
Pour contrer ce phénomène, les fournisseurs qui créent les signatures doivent être un peu plus détendus lorsqu'ils sélectionnent ce qu'ils recherchent. Cela semble être une bonne solution : les petites variations d'une attaque qui n'étaient pas détectées auparavant sont maintenant détectées à nouveau. Le problème est que l'on commence à obtenir un grand nombre de détections faussement positives. Il n'est pas rare qu'un centre opérationnel de sécurité (SOC) moderne utilisant des détections basées sur les signatures reçoive des dizaines de milliers d'alertes, parfois même plus, en seulement 24 heures, ce qui rend sa solution inutile.
79 % des équipes de sécurité se sont déclarées "dépassées par le volume".
- Enterprise Management Associates Info Brief
Pour contrer cela, les analystes SOC sont généralement obligés de configurer les systèmes IDPS pour ne surveiller que le trafic allant vers les actifs de grande valeur, tels que les bases de données et les serveurs de production. Il est également courant d'être très sélectif quant aux règles de signature activées dans leur IDPS, en supprimant souvent les règles les plus anciennes et les plus bruyantes, et en réglant les seuils d'alerte pour réduire le volume d'alertes. Malheureusement, la désactivation de la surveillance de la sécurité signifie que vous êtes pratiquement assuré de manquer une attaque.
Une approche efficace et plus moderne consiste à abandonner votre ancien système IDPS et à le remplacer par une solution détection et réponse aux incidents (NDR ). La NDR offre des informations sur les menaces combinées à des données contextuelles riches telles que les comportements des utilisateurs hôtes sur le réseau, les privilèges des utilisateurs et des appareils, et la connaissance des comportements malveillants. Toutes ces données sont alimentées par des règles d'apprentissage automatique développées par la recherche en sécurité et la science des données qui identifient les attaques qui constituent des menaces réelles, tout en éliminant le bruit. En fin de compte, vous avez la certitude de détecter et d'arrêter les attaques connues et totalement inconnues pour l'ensemble de votre déploiement.
Éliminez le bruit de l'IDPS pour recommencer à détecter et à arrêter les menaces grâce à la NDR. Libérez vos analystes pour qu'ils se concentrent réellement sur leur travail au lieu de peaufiner les signatures. La plateforme Cognito de Vectra est au service à 100 % de la détection et de la réponse aux attaques à l'intérieur de cloud, du centre de données, de l'IoT et de l'entreprise. Notre travail consiste à trouver ces attaques de manière précoce et avec certitude.
Il faut d'abord disposer des données nécessaires pour y parvenir. Il ne s'agit pas de volume de données. Il s'agit de collecter des données de manière réfléchie à partir d'une variété de sources pertinentes et de les enrichir avec des informations sur la sécurité et le contexte afin de résoudre les cas d'utilisation des clients.
Les comportements d'attaque varient, c'est pourquoi nous créons en permanence des modèles algorithmiques uniques pour le plus grand nombre de scénarios de menaces nouveaux et actuels. Bien au-delà des capacités humaines, Vectra vous donne un avantage certain sur vos adversaires en détectant, regroupant, hiérarchisant et anticipant les attaques.
En réfléchissant et en réduisant la charge de travail des opérations de sécurité, vous consacrerez plus de temps à la recherche de menaces et aux enquêtes sur les incidents. Si vous êtes prêt à changer votre approche de la surveillance et de la protection de votre environnement, contactez-nous pour voir une démonstration.