Dans mon blog précédent, j'ai expliqué comment les systèmes de détection et de prévention des intrusions (IDPS) entraînent une fatigue des alertes en submergeant les équipes chargées des opérations de sécurité de fausses alertes positives, ce qui conduit en fin de compte à des attaques manquées. Dans ce blog, j'aimerais aborder la façon dont les systèmes de détection et de prévention des intrusions sont mal équipés pour détecter ce que l'on appelle le mouvement latéral, le trafic est-ouest ou, plus simplement, les attaquants qui se déplacent à l'intérieur de vos déploiements.
La notion de périmètre fixe autour des hôtes et des serveurs protégés par un pare-feu appartient au passé. Tout le monde accède désormais à des charges de travail déployées dans des environnements cloud . La notion de trafic à l'intérieur ou à l'extérieur d'un périmètre a disparu. En se concentrant uniquement sur le trafic qui traverse le pare-feu de l'entreprise, les solutions IDPS deviennent rapidement obsolètes. Ce trafic ne représente plus qu'une fraction de l'ensemble des communications dans un déploiement moderne. C'est comme si l'on mettait une porte en acier renforcé au milieu d'un champ ouvert.
Mais la détection des mouvements latéraux reste un élément important de toute stratégie de détection et d'intervention. Les acteurs malveillants ciblent rarement un seul système lors d'une attaque. Ils adoptent plutôt une approche d'expansion en compromettant un hôte ou un compte à faible privilège, puis se déplacent latéralement sur le réseau à la recherche d'actifs à voler.
L'IDPS s'appuie principalement sur les signatures pour détecter les menaces, notamment les exploits et les logiciels malveillants qui ciblent les systèmes et les applications vulnérables. Il le fait généralement par le biais d'une inspection au niveau des paquets, qui compare le hachage d'un paquet au hachage d'un paquet malveillant. En cas de correspondance, IDPS déclenche une alerte et bloque éventuellement le paquet, en fonction de la configuration. Bien que les signatures aient leur utilité, on observe une évolution significative des attaques, qui s'éloignent des logiciels malveillants pour se diriger vers des attaques basées sur les comptes.
En fait, le rapport Verizon Business 2020 Data Breach Investigations Report indique que "nos données montrent que ce type de logiciels malveillants a culminé à un peu moins de 50 % de toutes les violations en 2016 et qu'il n'est plus qu'un sixième de ce qu'il était à l'époque (6,5 %). À mesure que ce type de logiciel malveillant diminue, nous constatons une augmentation correspondante d'autres types de menaces. Au fil du temps, il semble que les attaquants deviennent de plus en plus efficaces et se tournent davantage vers des attaques telles que le phishing et le vol d'informations d'identification." L'approche basée sur les signatures est totalement incapable de détecter les attaques qui impliquent le vol et l'utilisation abusive d'informations d'identification.
À l'inverse, la plateforme Vectra Cognito associe les informations sur les menaces à des données contextuelles riches, telles que les comportements des utilisateurs hôtes sur le réseau, les privilèges des utilisateurs et des appareils, ainsi que la connaissance des comportements malveillants. Grâce à des algorithmes d'apprentissage automatique développés par des chercheurs en sécurité et des scientifiques des données, Vectra identifie les attaques qui constituent des menaces réelles, tout en éliminant le bruit. Vous avez ainsi la certitude de détecter et d'arrêter les attaques connues et inconnues sur cloud, dans les centres de données, l'IoT et les réseaux d'entreprise. Vectra est au service à 100 % de la détection et de la réponse aux attaquants, et notre travail consiste à les trouver rapidement et avec certitude.
Il faut d'abord disposer des données nécessaires pour y parvenir. Il ne s'agit pas de volume de données. Il s'agit de collecter de manière réfléchie des données provenant de diverses sources pertinentes et de les enrichir avec des informations sur la sécurité et le contexte afin de résoudre les cas d'utilisation des clients. Les comportements d'attaque varient, c'est pourquoi Vectra crée en permanence des modèles algorithmiques uniques pour le plus grand nombre de scénarios de menaces nouveaux et actuels. Bien au-delà des capacités humaines, Vectra vous donne un avantage certain sur vos adversaires en détectant, regroupant, hiérarchisant et anticipant les attaques. En réfléchissant et en réduisant la charge de travail des opérations de sécurité, vous consacrerez plus de temps à la chasse aux menaces et aux enquêtes sur les incidents et moins de temps à l'ajustement des signatures IDPS.
Si vous êtes prêt à changer votre approche de la surveillance et de la protection de votre environnement, contactez-nous pour voir une démonstration.