Détecter les vraies alertes des fausses alertes
Les entreprises d'aujourd'hui sont confrontées à des cybermenaces de plus en plus complexes. Les pirates informatiques peuvent de plus en plus échapper aux mesures de prévention et de détection des nouvelles et anciennes infrastructures de sécurité et sont malheureusement devenus une amère réalité pour les équipes de sécurité. Le défi consiste à détecter une véritable alerte dans un flot de fausses alertes, autrement dit à trouver l'équilibre entre risque et fréquence. [...]
Les entreprises d'aujourd'hui sont confrontées à des cybermenaces de plus en plus complexes. Les pirates informatiques peuvent de plus en plus échapper aux mesures de prévention et de détection des nouvelles et anciennes infrastructures de sécurité et sont malheureusement devenus une amère réalité pour les équipes de sécurité. Le défi consiste à détecter une véritable alerte dans un flot de fausses alertes, c'est-à-dire à trouver un équilibre entre le risque et la fréquence. Les professionnels de l'informatique considèrent cela comme l'un de leurs plus grands défis, selon l'étude "Security, Operations, Challenges, Priorities and Strategies" d'ESG Research.
Les nouvelles technologies intégrant des éléments d'intelligence artificielle (IA) et de machine learning (ML) aident à détecter les vraies menaces et à optimiser la vitesse et la précision du centre de sécurité. Pour ce faire, le logiciel doit, selon Logrhythm inclure les éléments suivants :
1. une analyse globale des menaces
Trop de technologies de sécurité différentes qui ne travaillent pas ensemble se mettent des bâtons dans les roues. Résultat : les experts informatiques sont submergés par un flot d'informations et les véritables attaques peuvent être ignorées. Il est donc important de disposer d'un système de sécurité unifié avec une analyse globale des menaces et des processus uniformes qui, à l'aide de l'intelligence artificielle, peut détecter les cyberattaques à temps, les classer et représenter de manière simplifiée où elles se produisent, quand et pourquoi. L'analyse porte sur les points finaux, les serveurs, les applications, les appareils et les utilisateurs.
2. une plate-forme transparente
Enfin, la technologie doit permettre aux entreprises de détecter les cybermenaces connues et inconnues sur l'ensemble de la surface d'attaque. Des données doivent donc être collectées, modélisées et enrichies sur une plate-forme, et des analyses de scénarios sophistiquées (tactiques, techniques, procédures) doivent être élaborées sur cette base. Le système de sécurité doit rester transparent de bout en bout afin de permettre aux experts informatiques d'effectuer d'autres analyses comportementales approfondies. C'est la seule façon de détecter les changements de comportement subtils qui indiquent une menace potentielle ou actuelle.
3. optimisation du rapport entre les fausses alertes et les vraies alertes
Une nouvelle technologie doit finalement permettre d'optimiser le rapport entre les fausses alertes et les vraies alertes par rapport à la situation antérieure. Le risque et la fréquence doivent être évalués à l'aide d'analyses basées sur l'IA et, en fin de compte, les vraies alertes doivent être distinguées des fausses - ce qui permet de réduire les fausses alertes, mais pas le nombre d'attaques détectées. Les fournisseurs de sécurité doivent proposer à leurs clients des approches avancées et pragmatiques dans le but d'alléger la charge de travail des experts en sécurité et de réduire les coûts, sans pour autant sacrifier la qualité.
Texte : Ross Brewer, directeur général et vice-président EMEA, LogRhythm
