La connectivité augmente les brèches et la surface d’attaque
Une brèche ou une intrusion est tout accès ou activité non autorisé dans un réseau ou un système informatique. Les auteurs de menaces exploitent diverses méthodes et vulnérabilités pour accéder à des ressources confidentielles, voler des données privées, modifier des données, détruire des ressources ou bloquer l’accès légitime à des ressources afin de nuire à la productivité de l’entreprise. Les acteurs de la menace sont motivés par un large éventail d’objectifs allant du gain monétaire à la vengeance, en passant par les employés mécontents, les conflits idéologiques ou politiques, ou tout simplement pour un avantage concurrentiel.
La surface d’attaque est la zone de votre réseau et des autres opérations numériques potentiellement ouverte à l’intrusion par un accès non autorisé. Plus votre réseau et vos ressources sont connectés, plus la surface d’attaque est étendue.
Traditionnellement, les réseaux internes des entreprises étaient protégés du monde extérieur, soit en refusant complètement l’accès à Internet, soit en ne l’autorisant que derrière le puissant pare-feu du centre de données. Mais avec l’avènement de la transformation numérique – tendances à la mobilité, accès à l’Internet partout, informatique dans le cloud, entreprises et services natifs du cloud, travail à domicile à une échelle inimaginable avant 2020 – les entreprises prospèrent ou échouent désormais en fonction de l’étendue même de leur connectivité. La surface d’attaque est énorme. La vigilance comme l’IPS/IDS est impérative.
Comment les systèmes IDS/IPS détectent-ils les menaces ?
Les systèmes IDS/IPS détectent les activités suspectes ou non autorisées telles que les attaques de phishing, l’infection et la distribution de virus, l’installation et le téléchargement de logiciels malveillants et de ransomwares, les dénis de service (DOS), les attaques de type « man-in-the-middle », les attaques de type jour zéro, les injections SQL, etc. En raison de la croissance du réseau étendu dans le cloud et de la mobilité, il est devenu plus difficile d’arrêter les cyberattaques, tandis que les attaquants sont devenus plus sophistiqués dans leurs tactiques.
Comprendre les menaces de votre organisation
Les menaces connues sont généralement détectées en comparant les modèles de trafic aux modèles de signature. Les bases de données fréquemment mises à jour contiennent d’immenses quantités de signatures caractérisant les menaces existantes. Les systèmes IDS/IPS recherchent en permanence les correspondances avec les signatures connues.
Les menaces inconnues sont des modèles malveillants jamais vus auparavant – parfois des variations évasives de menaces connues – et sont beaucoup plus difficiles à détecter. Les systèmes IDS/IPS utilisent l’analyse comportementale pour identifier les modèles de trafic potentiellement anormaux. Des modèles de comportement « ordinaire » du réseau sont établis et mis à jour grâce à l’apprentissage automatique, l’heuristique et l’intelligence artificielle. L’IDS/IPS compare en permanence le trafic réseau réel avec ces modèles afin de reconnaître un comportement potentiellement incohérent qui pourrait indiquer une intrusion.