Le mardi 27 juin 2023, Forrester a publié la première Forrester Wave sur l'analyse et la visibilité du réseau (NAV). Il s'agit de la deuxième tentative de Forrester d'évaluer le paysage des fournisseurs de solutions NAV, la première vague ayant été annulée en raison de la rotation des analystes et du manque d'expertise qui en a résulté. D'après notre évaluation de la recherche, l'expertise en matière de détection des menaces modernes continue de faire défaut.
Forrester reste coincé dans un état d'esprit axé sur les fournisseurs et défini par des exigences techniques rigides basées sur un mélange fascinant d'idéalisme de tour d'ivoire ( Zero Trust ) et de compréhension des technologies héritées qui est complètement déconnecté des clients et du marché dans son ensemble. Nulle part dans l'évaluation, Forrester ne prend en considération la définition que les clients donnent de la détection et de la réponse aux menaces modernes, qui s'étendent au réseau, à l'identité et à cloud.
La faille la plus flagrante est le fait que la méthodologie de Forrester accorde plus d'importance au décryptage intégré qu'à tout autre critère, tout en ignorant complètement tout aspect pertinent de l'utilisation du ML/AI ou de la couverture réelle des menaces. Il en résulte qu'un IDS purement basé sur des signatures avec décryptage serait nettement supérieur au système d'IA le plus avancé sans décryptage intégré. (Peut-être que NAV est en fait l'acronyme de Network Anti-Virus ?)
NAV est un raisonnement erroné et la méthodologie erronée de Forrester Wave pour définir la détection des menaces modernes et évaluer les offres technologiques, a le potentiel d'égarer gravement les clients. Par exemple, lorsqu'il soulève des inexactitudes factuelles dans son évaluation, Forrester limite les fournisseurs à 5 objections, et toute déclaration erronée d'un fournisseur au-delà de ces 5 objections ne sera pas discutée, ni corrigée par l'analyste. Nous encourageons vivement tout acheteur potentiel à tester les fournisseurs à l'aide d'une équipe rouge - plus elle est avancée, mieux c'est - pour voir par eux-mêmes ce qui compte vraiment.
Nous pourrions énumérer de nombreuses failles dans leur méthodologie, mais nous nous concentrerons sur les trois plus flagrantes en ce qui concerne la détection moderne des menaces :
- Défaut n° 1 : Forrester pense que tout le trafic à l'intérieur des entreprises est crypté
- Défaut n° 2 : Forrester prétend que NAV doit décrypter pour trouver les menaces
- Défaut #3 : Forrester pense que le temps de passage à la ligne de base est plus important que la couverture des menaces pour le ML/AI.
Ensemble, ces défauts font peser une lourde charge opérationnelle sur les clients pour une valeur faible, voire nulle, tout en faussant gravement la caractérisation du paysage de la navigation aérienne en faveur des technologies traditionnelles.
Défaut n° 1 : Forrester pense que tout le trafic à l'intérieur des entreprises est crypté
L'importance accordée par Forrester au décryptage s'explique par le fait que toutes les entreprises cryptent ou crypteront bientôt l'ensemble de leur trafic pour l'alignement de Zero Trust .
C'est tout simplement faux. Vectra AI surveille depuis des années les taux de cryptage dans notre base installée, qui comprend certaines des entreprises les plus soucieuses de la sécurité dans le monde. Seul 1 % des protocoles pour lesquels la visibilité de la charge utile est nécessaire pour détecter les techniques de menace modernes (DCERPC, Kerberos, SMB et DNS) sont cryptés et ce chiffre n'augmente pas. Oui, 1 % ! Même l'adoption de SMBv3 n'a pas changé cette situation de manière significative.
Pourquoi ? Les clients évaluent les avantages et les inconvénients du chiffrement du trafic interne et choisissent de ne pas le faire. Il s'agit de choix raisonnés. La gestion du décryptage est difficile, même avec des capacités intégrées. Il faut charger toutes les clés de tous les serveurs internes vers lesquels vous souhaitez déchiffrer le trafic, puis les mettre à jour à chaque rotation de clé.
Comme l'a déclaré l'une de nos entreprises clientes interrogée par Forrester, "la réalité est qu'essayer de décrypter chaque protocole et chaque communication dans une entreprise moderne est, au mieux, naïf". Un autre, également interrogé par Forrester, a déclaré que même avec des capacités intégrées, le décryptage "ne vaut pas le temps, l'effort et les frais généraux supplémentaires".
Il semble que le dogme de Zero Trust soit plus important pour Forrester que la perspective du client.
Défaut n° 2 : Forrester prétend que NAV doit décrypter pour trouver les menaces
Les protocoles de grande valeur ne sont donc pas cryptés. Ce qui est chiffré, c'est le trafic web, tant interne (environ 60 %) qu'externe (plus de 90 %). Forrester affirme qu'il est essentiel de décrypter ce trafic pour détecter les menaces. Là encore, c'est tout à fait faux.
Les technologies modernes de détection des menaces permettent de comprendre les méthodes d'attaque et les mouvements de données grâce à un mélange de ML/AI et d'heuristique complété par des informations sur les menaces. Le décryptage n'est ni nécessaire ni même utile. Même si le trafic est décrypté, la charge utile de l'attaquant reste cryptée d'une manière qui ne peut pas être décryptée par l'entreprise.
La seule chose que l'on obtient en décryptant, c'est la possibilité d'exécuter des signatures IDS. Cela a un coût opérationnel élevé. En raison de TLS 1.3 avec PFS, le déchiffrement passif exige que chaque système exécute un agent afin de transmettre les clés de session. Encore un agent, et les maux de tête qui l'accompagnent, juste pour exécuter quelques signatures IDS !
C'est pourquoi les clients décryptent le trafic sortant au niveau du SASE/proxy pour l'inspection du contenu et l'application des politiques, et le trafic entrant de la zone démilitarisée dans un NGFW en ligne pour la couverture IDPS des exploits connus. Le NAV complète ces solutions en fournissant une détection comportementale et des informations sur les menaces afin de détecter les menaces modernes et inconnues.
Vectra AI détecte avec précision les attaques dans le trafic crypté - y compris C2, exfiltration, mise en scène des données, force brute, balayages, utilisation suspecte de protocoles d'administration, etc. Comme le dit l'un de nos clients, "il n'est pas nécessaire de regarder à l'intérieur pour savoir que la voiture roule de manière erratique".
Défaut #3 : Forrester pense que le temps de passage à la ligne de base est plus important que la couverture des menaces pour le ML/AI.
L'obsession de Forrester pour le décryptage au service de Zero Trust détourne complètement l'attention de la réalité de ce qui est le plus important sur ce marché : obtenir un signal de menace clair que le SOC peut comprendre avec un délai de rentabilité rapide et une faible charge opérationnelle. Bien qu'il y ait beaucoup de marketing autour de la ML et de l'IA qui peut faire tourner la tête, aucune personne saine d'esprit ne croit qu'un système moderne de détection des menaces peut être construit avec seulement des signatures. Il est indispensable de disposer d'un excellent système de ML/AI pour suivre l'évolution des méthodes émergentes des attaquants.
Dans la mesure où la ML/AI est prise en compte, Forrester l'évalue entièrement en fonction du temps nécessaire à l'établissement d'une base de référence. Une ligne de base plus courte équivaut à un score plus élevé. Là encore, il s'agit d'une manière totalement erronée d'évaluer la ML/AI. Prenons l'exemple de l'utilisation des comptes d'administrateur et de service, qui sont au cœur de la plupart des attaques modernes. Ces comptes doivent être appris sur une période d'au moins 30 jours pour obtenir des bases de référence précises, en raison de la nature du travail d'administrateur. Si vous ne pouvez vous souvenir que de quelques jours - généralement en raison des limites de votre système - le résultat sera du bruit et des tracas pour les utilisateurs.
En revanche, la méthodologie Forrester ne tient absolument pas compte de la manière dont les modèles d'IA/ML couvrent les différentes méthodes d'attaque au cœur des attaques modernes. Il n'y a littéralement pas une seule question ou un seul critère de notation dans leur méthodologie qui soit lié à la détection des attaques par l'IA/ML. C'est ahurissant ! Parlez à un acheteur ou à un utilisateur et c'est ce qui lui importe avant tout. Vectra AI possède 35 brevets dans ce domaine, le plus grand nombre de brevets référencés dans MITRE D3FEND contre-mesures - plus que Crowdstrike, Microsoft et tous les autres fournisseurs de cette vague combinés.
Nos conseils : Red Team Vectra AI.
Ne nous croyez pas sur parole, et ne croyez pas non plus Forrester. Le véritable test de l'efficacité de la détection des menaces modernes consiste à placer les fournisseurs en équipe rouge, et ce "bon élève" de Forrester NAV se mesurera à n'importe quel "leader" pour prouver notre point de vue.
Pour savoir pourquoi 4 clients sur 5 choisissent Vectra AI plutôt que des concurrents (y compris ceux nommés dans The Forrester Wave), visitez vectra.ai/produits/ndr.