I sistemi di rilevamento e prevenzione delle intrusioni (IDPS) sono progettati per rilevare le minacce sulla base di regole e firme. Si tratta di una soluzione collaudata, spesso utilizzata nei software antivirus e nei firewall di nuova generazione. In teoria, questo è un ottimo modo per rilevare un attacco noto utilizzando la firma appropriata che presenta. Tuttavia, la realtà spesso prevale sulla teoria: gli aggressori sono intelligenti e le reti sono rumorose, quindi risulta che non esistono due attacchi completamente identici.
Per ovviare a questo problema, i fornitori che creano le firme devono essere un po' più flessibili nella selezione degli elementi da ricercare. Sembra una buona soluzione: piccole variazioni in un attacco che in precedenza non venivano rilevate ora vengono nuovamente individuate. Il problema è che ora si iniziano a ottenere un sacco di rilevamenti falsi positivi. Non è raro che un moderno centro operativo di sicurezza (SOC) che utilizza rilevamenti basati su firme riceva decine di migliaia di avvisi, a volte anche di più in sole 24 ore, rendendo la loro soluzione inutile.
Il 79% dei team di sicurezza ha dichiarato di essere stato "sopraffatto dal volume".
- Informazioni sintetiche di Enterprise Management Associates
Per contrastare questo fenomeno, gli analisti SOC sono solitamente costretti a configurare i sistemi IDPS in modo che monitorino solo il traffico diretto verso risorse di alto valore, come database e server di produzione. È inoltre comune essere molto selettivi nell'abilitazione delle regole di firma nei propri IDPS, spesso rimuovendo quelle più vecchie e rumorose e regolando le soglie di allerta per ridurne il volume. Sfortunatamente, disattivare il monitoraggio della sicurezza significa avere la certezza quasi assoluta di non rilevare un attacco.
Un approccio efficace e più moderno consiste nell'abbandonare il proprio IDPS legacy e sostituirlo con una soluzione di rilevamento e risposta di rete (NDR). L'NDR offre informazioni sulle minacce combinate con ricchi dati contestuali quali i comportamenti degli utenti host sulla rete, i privilegi degli utenti e dei dispositivi e la conoscenza dei comportamenti dannosi. Il tutto basato su regole di machine learning sviluppate dalla ricerca sulla sicurezza e dalla scienza dei dati che identificano gli attacchi che rappresentano minacce reali, eliminando al contempo il rumore. In definitiva, vi garantisce la tranquillità di rilevare e bloccare sia gli attacchi noti che quelli completamente sconosciuti per l'intera implementazione.
Elimina il rumore dell'IDPS per ricominciare a rilevare e bloccare le minacce con l'NDR. Libera i tuoi analisti affinché possano concentrarsi sul loro vero lavoro invece che sulla modifica delle firme. La piattaforma Cognito di Vectra è dedicata al 100% al rilevamento e alla risposta agli attacchi all'interno cloud, dei data center, dell'IoT e delle aziende. Il nostro compito è individuare questi attacchi in modo tempestivo e con certezza.
Il primo passo è disporre dei dati necessari per raggiungere questo obiettivo. Non si tratta della quantità di dati, ma della raccolta accurata di dati provenienti da una varietà di fonti pertinenti e del loro arricchimento con approfondimenti sulla sicurezza e contestualizzazione per risolvere i casi d'uso dei clienti.
I comportamenti degli attacchi variano , quindi creiamo continuamente modelli algoritmici unici per la più ampia gamma di scenari di minaccia nuovi e attuali. Con prestazioni che vanno ben oltre le capacità umane, Vectra offre un netto vantaggio sugli avversari grazie alla capacità di rilevare, raggruppare, classificare in ordine di priorità e anticipare gli attacchi.
Pensando a tutto questo e riducendo il carico di lavoro delle operazioni di sicurezza, potrai dedicare più tempo alla ricerca delle minacce e alle indagini sugli incidenti. Se sei pronto a cambiare il tuo approccio al monitoraggio e alla protezione del tuo ambiente, contattaci per vedere una demo.