Pourquoi l'IDPS est-il lourd et gêne-t-il le personnel de sécurité ?

25 août 2020
Marcus Hartwig
Directeur, Marketing produit
Pourquoi l'IDPS est-il lourd et gêne-t-il le personnel de sécurité ?

Voici le dernier billet de notre série en trois parties sur les raisons pour lesquelles vous devriez vous débarrasser de vos vieux systèmes de détection et de prévention des intrusions (IDPS) et les remplacer par des systèmes modernes détection et réponse aux incidents (NDR).

Dans la première partie, nous avons expliqué comment l'IDPS entraîne une fatigue des alertes en submergeant les équipes chargées des opérations de sécurité de fausses alertes positives, ce qui conduit en fin de compte à des attaques manquées. Dans la deuxième partie, nous avons expliqué comment l'IDPS est mal équipé pour détecter ce que l'on appelle le mouvement latéral, le trafic est-ouest ou, plus simplement, les attaquants qui se déplacent à l'intérieur de vos déploiements.

Dans ce blog, j'aimerais discuter des raisons pour lesquelles de nombreuses équipes se débattent avec le fardeau de maintenir ces déploiements obsolètes. La plupart des organisations sont confrontées à une pénurie de compétences en matière de sécurité et à un manque d'accès aux talents en général. En fait, 88 % des dirigeants estiment qu'il y a une pénurie de compétences en cybersécurité dans leur entreprise, selon l'étude 2019 Cyber Security in Focus. Selon l'Official Annual Cybersecurity Jobs Report 2019/2020 du Herjavec Group, il y aura 3,5 millions d'emplois dans le domaine de la cybersécurité qui n'auront pas été pourvus d'ici 2021.

Dans ce contexte, il n'est pas difficile de comprendre pourquoi de nombreuses personnes préféreraient que leur personnel existant, déjà surchargé, travaille sur autre chose qu'un système IDPS obsolète qui n'apporte que peu de valeur ajoutée à leur posture de sécurité. Selon l'Institut Ponemon, 27 % du personnel informatique déclare que la tâche la plus chronophage consiste à créer, modifier et mettre à jour des systèmes de détection d'intrusion. Des tâches quotidiennes telles que l'installation de nouvelles signatures, leur réglage et la réduction des alertes faussement positives, tout cela pour quelque chose qui ne détectera pas les attaques modernes.

La plateforme Cognito de Vectra , avec ses capacités de détection des cyberattaques basées sur l'IA, est le remplaçant idéal des produits IDPS actuels qui ne peuvent pas bloquer les cyberattaques contemporaines et ne peuvent pas détecter les comportements cachés des attaquants à l'intérieur de votre réseau. En permettant à l'IA de réfléchir et en réduisant la charge de travail des opérations de sécurité manuelles, vous consacrerez plus de temps à la chasse aux menaces et aux enquêtes sur les incidents, et moins de temps à la mise au point des signatures IDPS. La plateforme Cognito découvre les cyberattaques en cours au sein des réseaux en combinant les renseignements sur les menaces avec des données contextuelles riches, telles que les comportements des utilisateurs de l'hôte, les privilèges de l'utilisateur et de l'appareil, et la connaissance des comportements malveillants. Les détections sont mises en corrélation avec les hôtes attaqués, et chacun d'entre eux est évalué et classé par ordre de priorité en fonction du risque le plus élevé. Les hôtes ayant fait l'objet d'une détection sont représentés dans l'indice de certitude des menaces du tableau de bord Cognito, qui révèle instantanément les hôtes au cœur d'une attaque.

Il est temps d'abandonner les limites mitées de l'IDPS et de se concentrer sur la détection et l'atténuation des menaces actives à l'intérieur du réseau - des utilisateurs aux appareils IoT en passant par les centres de données et les charges de travail cloud - avant que les attaquants n'aient une chance d'espionner, de se propager et de voler.

Si vous êtes prêt à changer votre approche de la détection et de la réponse aux cyberattaques, découvrez comment la NDR remplace idéalement les IDS et comment la NDR contribue à la mise en conformité. Vous pouvez également nous contacter pour une démonstration.

Foire aux questions