Vectra a récemment été positionné comme le seul visionnaire dans le carré magique 2018 de Gartner pour les systèmes de détection et de prévention des intrusions (IDPS). Je suis assez enthousiaste à ce sujet.
Au fil des ans, les systèmes de détection d'intrusion (IDS) ont convergé avec les systèmes de prévention d'intrusion (IPS) et les deux sont maintenant connus collectivement sous le nom d'IDPS. Cette convergence s'est produite lorsque l'industrie de la sécurité s'est concentrée davantage sur la prévention des intrusions externes cybercriminels.
Cependant, Gartner souligne que "les évaluations de sécurité initiales de type blocage/autorisation unique pour l'accès et la protection sont défectueuses, laissant l'entreprise ouverte aux attaques ciblées et de type "zero-day", au vol d'informations d'identification et aux menaces de type individu "[i].
Il est temps de donner la priorité aux détections
Dans le paysage actuel des menaces, où des violations très médiatisées sont fréquemment signalées dans les journaux, il est clair que les techniques de prévention ont été insuffisantes et qu'il est nécessaire de redonner la priorité à la détection interne.
Dès le départ, Vectra a reconnu que la détection des cybermenaces nécessitait de comprendre le fonctionnement réel des attaques et les actions que les attaquants effectuent pour réussir. Nous savions que les attaquants sophistiqués d'aujourd'hui sont armés des mêmes outils que ceux utilisés par les administrateurs système et qu'ils n'ont pas besoin d'utiliser malware ou des exploits.
Les systèmes de détection doivent s'adapter aux environnements complexes de l'entreprise d'aujourd'hui, avec une surface d'attaque qui ne cesse de s'étendre. Les appareils sont mobiles, l'IdO connaît une croissance exponentielle, les serveurs sont désormais des charges de travail qui se déplacent avec fluidité entre le centre de données virtuel et le site cloud, et les analystes de la sécurité ont de plus en plus de mal à gérer les actifs et à savoir où résident les données.
Plus important encore, les systèmes de détection ne peuvent pas être complexes comme les IDS traditionnels, qui nécessitent de nombreux capteurs physiques ainsi qu'une maintenance et un réglage constants. Pour être efficaces, les systèmes de détection doivent être faciles à déployer, à gérer et à utiliser. Ils ne doivent pas nécessiter l'intervention d'un expert à temps plein pour rester opérationnels.
En outre, la détection ne doit pas être reléguée au seul périmètre. La détection est nécessaire à l'intérieur du réseau pour identifier toutes les phases critiques d'une cyberattaque, telles que la reconnaissance interne et les mouvements latéraux.
Pour s'assurer que les signaux d'attaques réelles ne se perdent pas dans le grand volume de bruit créé par un système de détection, une méthode de réduction du bruit et de hiérarchisation des risques est nécessaire pour attirer rapidement l'attention des analystes de la sécurité sur les menaces qui représentent le plus grand risque.
La plateforme de détection et de réponse automatisée aux menaces Cognito de Vectra est basée sur l'analyse directe du trafic réseau afin de révéler les comportements fondamentaux au cœur des cyberattaques.
En combinant la science des données, l'apprentissage automatique et l'analyse comportementale, Cognito identifie ce que fait l'attaquant sans s'appuyer sur les signatures traditionnelles malware et les listes de réputation. Les analyses révèlent les comportements malveillants, indépendamment des applications et même lorsque le trafic est crypté. Cette approche révèle les actions clés qu'un attaquant doit effectuer pour réussir.
Comme l'indique Gartner dans le carré magique des IDPS, "l'évolution des IDS vers l'utilisation d'analyses avancées telles que l'apprentissage automatique est bien adaptée aux types de télémétrie que ces technologies génèrent, et s'avère ajouter une manière différente de détecter les comportements malveillants ou indésirables au sein d'un environnement"[ii].
Cognito applique des modèles algorithmiques directement au trafic réseau pour révéler les comportements d'attaque sous-jacents, puis enrichit ces données avec des sources secondaires telles que les journaux et les données de renseignement sur les menaces afin d'accélérer le processus de détection et de réponse pour les analystes de la sécurité, et ce de manière automatique.
Nous sommes honorés que Gartner ait positionné Vectra comme un visionnaire dans le 2018 Gartner IDPS Magic Quadrant. Pour en savoir plus, cliquez ici.