L'IDS existe depuis des décennies et constitue depuis longtemps une pierre angulaire de la sécurité des réseaux. Mais au fil des ans, l'IDS a été progressivement absorbé par l'IPS, et l'IDS a simplement été considéré comme une option de déploiement de l'IPS.
Cependant, ce rôle subalterne de l'IDS par rapport à l'IPS introduit un compromis subtil mais important : la détection est reléguée au second plan par rapport à la prévention. L'IPS étant déployé en ligne avec le trafic du réseau, les préoccupations en matière de performances sont primordiales. La prévention ne peut pas ralentir la vitesse ou le flux des activités, ce qui signifie que les détections doivent être quasi-instantanées.
La nécessité de bloquer les menaces en quelques millisecondes contraint les IDS/IPS à utiliser des signatures pour la détection. Bien que les signatures puissent détecter une grande variété de menaces, elles reposent sur la correspondance rapide des modèles de menaces connues.
Cette approche instantanée de la détection n'est pas adaptée à la détection de la nature patiente et multiphasée des cyberattaques modernes. Pour rester dans la course, l'industrie doit adopter une nouvelle approche de la détection des intrusions qui accorde la priorité à la détection.
Il est temps de donner la priorité à la détection
Les systèmes IDS et IPS ont leur place légitime, mais il ne s'agit plus de simples options de déploiement de la même chose. Les attaques persistantes d'aujourd'hui exigent que le renseignement sur les menaces et l'application de la loi soient séparés et optimisés en fonction de leurs objectifs respectifs.
Les IDS doivent utiliser de nouvelles stratégies et techniques pour détecter les intrusions actives dans les réseaux. Il est essentiel que les IDS détectent les menaces même si des logiciels malveillants ou des exploits ne sont pas utilisés.
Pour cela, il faut avoir une visibilité au-delà des défenses périmétriques et dans le réseau interne où se cachent les attaquants. Un IDS moderne doit également détecter la progression d'une attaque au fil des heures, des jours et des semaines.
Se concentrer sur le comportement, pas sur les signatures
Dans le paysage actuel des menaces, la détection des intrusions doit abandonner les signatures et se concentrer sur l'identification des comportements d'attaque malveillants. Même s'ils changent constamment de tactique pour éviter les signatures, les attaquants doivent effectuer certaines actions lorsqu'ils espionnent, se répandent et volent à l'intérieur d'un réseau.
En se concentrant sur les caractéristiques uniques des comportements malveillants, les équipes de sécurité peuvent identifier de manière fiable les intrusions dans le réseau, même si les outils, les logiciels malveillants et l'attaque sont totalement inconnus.
Mais ce niveau de détection nécessite un système de détection d'intrusion de nouvelle génération, capable de comprendre en profondeur les comportements d'attaque sophistiqués.
La modernisation de l'IDS
Vectra change la façon dont la détection des intrusions est effectuée. Il utilise une combinaison innovante de science des données, d'apprentissage automatique et d'analyse comportementale pour détecter les menaces actives au sein du réseau.
Les modèles algorithmiques révèlent les comportements sous-jacents des attaques qui ne sont pas visibles dans les journaux ou les flux de trafic. Vectra révèle les actions clés que les attaquants doivent effectuer pour réussir, quels que soient les applications, les systèmes d'exploitation et les appareils, et même lorsque le trafic est crypté.
L'apprentissage automatique distingue les comportements menaçants du trafic normal et offre un contexte local et à l'échelle du réseau. Cela permet de détecter les menaces cachées, y compris celles qui ne peuvent être révélées que lorsqu'elles sont observées sur de longues périodes.
Comme Vectra détecte les actions malveillantes plutôt que les charges utiles, il peut identifier les menaces actives sans décrypter le trafic. Cela signifie que les attaquants ne peuvent plus communiquer secrètement avec des hôtes infectés en utilisant des sessions web cryptées par SSL ou des tunnels cachés.
Alors que les IDS traditionnels se concentrent sur la détection d'un compromis initial, Vectra détecte les menaces actives à chaque phase de la chaîne d'exécution des cyberattaques - commande et contrôle, reconnaissance interne, mouvement latéral et exfiltration de données.
Plus important encore, Vectra n'alourdit pas la tâche des équipes de sécurité surchargées. Au contraire, il associe les détections aux hôtes attaqués, évalue et hiérarchise les menaces qui présentent le risque le plus élevé, de manière automatique et en temps réel. Les équipes de sécurité bénéficient ainsi de la rapidité et de l'efficacité dont elles ont besoin pour prévenir ou limiter les pertes de données.