Intrusion Shield Test Avis et Verdict
Les organisations de toutes tailles sont confrontées à une grave menace de cyberattaques. Alors que le volume et la sophistication des attaques ne cessent d’augmenter chaque année, elles sont confrontées à deux défis de taille : leur posture de sécurité est réactionnaire, et elles manquent de ressources pour réagir efficacement.
La plupart des organisations s’appuient encore sur des outils de sécurité dépassés et anciens qui sont mal équipés pour faire face aux menaces d’aujourd’hui.
Les outils de sécurité traditionnels tels que les pare-feu, les solutions anti-malware et les systèmes de détection ou de prévention des intrusions sont toujours considérés comme des éléments de base, plus ou moins, de la cybersécurité.
Cependant, ces outils sont principalement basés sur des signatures. Ils donnent la primeur aux attaquants car la détection et le blocage de la menace nécessitent d’abord la présence du fichier de signature.
De nombreuses organisations disposent également de technologies de sécurité plus récentes comme le SIEM (security information and event management) ou le SOAR (security orchestration, automation, and response).
Ces outils regroupent les renseignements sur les menaces et la télémétrie de sécurité pour fournir une vue plus complète de l’environnement.
Le problème est qu’ils génèrent un grand nombre d’alertes – souvent des faux positifs si l’outil n’est pas correctement configuré – et qu’il incombe ensuite à l’équipe de sécurité informatique d’évaluer ces alertes et d’y répondre. Le simple volume d’alertes est écrasant, et les équipes de sécurité informatique sont généralement trop sollicitées pour pouvoir suivre le rythme.
Aujourd’hui, plus de 60 % des attaques s’appuient sur un exploit de type “zero-day”, de sorte que cette approche réactionnelle n’est pas suffisante. Intrusion a développé Shield pour relever ces défis.
Shield adopte une approche plus proactive pour stopper les menaces, en prévenant les cyberattaques avant que les dommages ne se produisent.
J’ai décidé d’examiner de plus près le bouclier d’Intrusion pour voir par moi-même comment il fonctionne et dans quelle mesure il protège efficacement contre les attaques.
Intrusion propose Shield comme une offre de sécurité en tant que service (SECaaS). Il s’agit d’un pont transparent qui se trouve sur votre réseau entre votre équipement de réseau périphérique et les commutateurs et dispositifs internes. Shield est disponible en versions 1GB, 10GB, 40GB et 100GB pour assurer un débit maximal et une latence quasi nulle.
Intrusion vend Shield par siège et par mois. Il n’y a pas de matériel à acheter, ni de contrat annuel.
Fonction
Intrusion Shield ne s’appuie pas sur des fichiers de signatures et n’attend pas que les attaques soient connues. Il combine l’analyse en temps réel de tous les paquets entrants et sortants, et l’IA (intelligence artificielle) pour détecter et tuer les connexions malveillantes avant que le trafic dangereux puisse avoir un effet négatif sur votre réseau.
Shield utilise également une base de données massive contenant plus de 8,4 milliards de réputations d’adresses IP actives pour les adresses IPv4 et IPv6. Les informations historiques de la base de données sont mises à jour quotidiennement en fonction de l’activité réelle de tous les appareils mondiaux connectés à Intrusion Shield. Shield AI analyse toutes les informations disponibles pour déterminer un score de réputation pour l’adresse et tue ou autorise les connexions de trafic en fonction de ce score.
En fait, Intrusion Shield élimine les connexions suspectes ou malveillantes en temps réel. Il détruit automatiquement les tentatives de connexion si une activité suspecte est détectée.
Les virus, les logiciels malveillants, les ransomwares, la fraude par usurpation d’identité, le vol d’IP (propriété intellectuelle), la compromission de la messagerie professionnelle (BEC) et même le fuzzing, le piratage de contrat et l’empoisonnement par apprentissage automatique sont arrêtés avant que ces attaques n’atteignent la phase dangereuse de leur fonctionnement.
Crucial pour l’efficacité de Shield, Intrusion Shield surveille également le trafic sortant.
Si votre réseau compte déjà des appareils compromis par des logiciels malveillants, des brèches dans le pare-feu ou des logiciels malveillants dans des appareils IoT (internet-of-things), Intrusion Shield bloquera également le trafic suspect généré par ces appareils.
Qu’il s’agisse de communiquer avec un serveur C2 pour obtenir des instructions supplémentaires ou des téléchargements malveillants, ou d’exfiltrer des données, la menace devra éventuellement envoyer du trafic hors du réseau – et Intrusion Shield promet de détecter et de bloquer cette activité.
Il s’agit d’une solution simple qui fonctionne immédiatement sans qu’il soit nécessaire de procéder à des modifications de configuration ou à une gestion intensive. Il n’est pas nécessaire qu’un analyste de la sécurité informatique réponde aux alertes – la solution commence tout simplement à faire son travail sans générer d’alertes.
Intrusion Shield propose des options de rapport permettant aux responsables informatiques de maintenir la transparence avec la direction et le conseil d’administration et de démontrer l’efficacité de la protection.
Mon expérience avec Intrusion Shield
OK. Ce sont les revendications faites par Intrusion au sujet de Shield. La question est de savoir s’il fonctionne comme annoncé ? Est-il vraiment aussi simple de commencer à bloquer les menaces en temps réel ? En un mot, oui.
L’installation a été simple et j’ai pu être opérationnel assez rapidement. Il a commencé à faire son travail et à supprimer immédiatement les connexions suspectes et malveillantes, et ce, sans produire une seule alerte. Cependant, les résumés quotidiens et les mesures d’atténuation par ordre de priorité ont été très utiles.
J’ai été agréablement surpris. Je n’ai rencontré aucun problème de ce type en utilisant Intrusion Shield. J’ai poursuivi mes activités comme si de rien n’était, sans remarquer de ralentissement de la vitesse du réseau ni de blocage de l’accès à un site ou à un outil légitime.
Le tableau de bord fournit une vue d’ensemble de la protection fournie. Il affiche le nombre total de connexions tuées pour la journée en cours ou la journée précédente, ainsi qu’une liste hiérarchisée des appareils qui doivent être corrigés. Une carte du monde vous permet de visualiser le trafic autorisé par pays, et de voir rapidement d’où proviennent les connexions tuées, ou tout aussi important, où elles sont destinées. Plus la couleur du pays est foncée sur la carte, plus il y a de connexions liées à ce pays spécifique.
Le tableau de bord affiche l’adresse IP du client, le nom d’hôte du client, l’adresse IP du serveur (ou de la destination), le nom d’hôte du serveur, le port, la description du port, la direction du trafic et la raison de la destruction, ainsi que des données sur la date de la première ou de la dernière connexion et le pays dans lequel elle se trouve. Le champ “Kill Reason” est classé de 1 à 5, 5 étant le pire. Vous pouvez cliquer sur la raison de l’échec pour approfondir et obtenir plus d’informations sur la raison de l’échec de la connexion.
Comme nous l’avons déjà mentionné, il existe un rapport quotidien qui fournit un résumé de l’activité. Il donne un aperçu simple du nombre total d’événements tués, des destinations autorisées et des observations générales de la journée.
Une autre question à laquelle je voulais répondre était la suivante : “Que se passe-t-il si le bouclier anti-intrusion tue une connexion à un site que je dois utiliser ?”.
C’est relativement simple.
Je peux cliquer sur la connexion tuée et sélectionner “Autoriser tout”. Cela ouvre une page d’autorisation – préremplie avec les informations de la connexion sur laquelle j’ai cliqué – et je peux choisir d’autoriser la connexion indéfiniment ou de la limiter à une période donnée, par exemple 15 minutes ou 24 heures.
Il y a un champ pour ajouter une raison pour l’autorisation, ce qui peut être utile pour une référence future. Ensuite, vous avez terminé et l’IP est ajoutée à votre liste blanche.
Je n’ai pas rencontré ce problème, cependant. L’intelligence artificielle d’Intrusion Shield ajoute automatiquement des autorisations à la liste blanche. Elle surveille et apprend et est capable de reconnaître les adresses IP de destination que vous utilisez souvent, et Shield apprend à les autoriser.
Dans l’ensemble, mon expérience a été assez impressionnante.
L’ Intrusion Shield a fait ce qu’il était censé faire, sans que je m’en aperçoive. Il n’y a pas eu de latence notable dans mon activité réseau, et il n’y a pas eu d’alertes auxquelles répondre.
J’ai simplement continué à utiliser mon ordinateur sur mon réseau local comme je le fais toujours, et Intrusion Shield a automatiquement et proactivement détruit les connexions suspectes ou malveillantes.
Le verdict
Si votre entreprise comprend un grand nombre de dispositifs divers, une architecture informatique complexe et détient des données d’entreprise et des données clients/utilisateurs précieuses, et si vous voulez protéger le tout contre le paysage des menaces en constante expansion et de plus en plus sophistiquées, je vous suggère fortement d’envisager Intrusion Shield.
Je ne dis pas que Shield est une “solution miracle” qui résoudra comme par magie tous vos problèmes de cybersécurité. Mais je dis que les outils traditionnels ne sont pas équipés pour protéger contre les menaces d’aujourd’hui, et que Intrusion Shield est une solution abordable et intuitive qui fera passer immédiatement et automatiquement votre posture de sécurité de réactive à proactive, et améliorera considérablement vos cyberdéfenses tout en vous faisant évoluer vers un environnement de confiance zéro virus au niveau du réseau.
Vous vous devez d’y jeter un coup d’œil et peut-être de demander une démonstration pour voir ce qu’il peut faire pour vous.