I sistemi di rilevamento e prevenzione delle intrusioni (IDPS) sono progettati per rilevare le minacce in base a regole e firme. Si tratta di una soluzione collaudata, spesso presente nei software antivirus e nei firewall di nuova generazione. In teoria, si tratta di un ottimo modo per rilevare un attacco noto utilizzando la firma appropriata che presenta. Tuttavia, la realtà spesso batte la teoria: gli aggressori sono intelligenti e le reti sono rumorose, quindi risulta che non ci sono due attacchi completamente uguali.
Per contrastare questo fenomeno, i fornitori che creano le firme devono essere un po' più rilassati nel selezionare ciò che stanno cercando. Sembra una buona soluzione: piccole variazioni in un attacco che prima non venivano rilevate ora vengono rilevate di nuovo. Il problema è che ora iniziano a verificarsi una serie di rilevamenti falsi positivi. Non è raro che un moderno centro operativo di sicurezza (SOC) che sfrutta i rilevamenti basati sulle firme riceva decine di migliaia di avvisi, a volte anche di più, in sole 24 ore, rendendo la soluzione inutile.
Il 79% dei team di sicurezza ha dichiarato di "essere sopraffatto dal volume".
- Brief informativo di Enterprise Management Associates
Per contrastare questa situazione, gli analisti SOC sono in genere costretti a configurare i sistemi IDPS per monitorare solo il traffico diretto verso asset di alto valore, come database e server di produzione. È anche comune essere molto selettivi nell'abilitare le regole di firma nel loro IDPS, spesso rimuovendo le regole più vecchie e rumorose e regolando le soglie di allarme per ridurre il volume degli avvisi. Purtroppo, disattivare il monitoraggio della sicurezza significa avere la garanzia di non subire un attacco.
A successful and more modern approach is to move away from your legacy IDPS and replace it with a network detection and response (NDR) solution. NDR offers threat intel combined with rich contextual data such as host user behaviors on the network, user and device privilege, and knowledge of malicious behaviors. All powered by machine learning rules developed by security research and data science that identify attacks that are real threats, while eliminating the noise. Ultimately giving you the peace of mind that you are detecting and stopping both known and completely unknown attacks for your entire deployment.
Eliminate il rumore dell'IDPS per ricominciare a rilevare e bloccare le minacce con l'NDR. Liberate i vostri analisti per concentrarsi sul loro vero lavoro invece di modificare le firme. La piattaforma Cognito di Vectra è al 100% al servizio del rilevamento e della risposta agli attacchi all'interno di cloud, data center, IoT e aziende. Il nostro lavoro consiste nel trovare questi attacchi in anticipo e con certezza.
Il punto di partenza è disporre dei dati necessari. Non si tratta di volume di dati. Si tratta di raccogliere in modo ponderato i dati da una serie di fonti pertinenti e di arricchirli con informazioni sulla sicurezza e sul contesto per risolvere i casi d'uso dei clienti.
I comportamenti di attacco variano, quindi creiamo continuamente modelli algoritmici unici per la più ampia gamma di scenari di minaccia nuovi e attuali. Con prestazioni ben superiori alle capacità degli esseri umani, Vectra vi offre un netto vantaggio sugli avversari rilevando, raggruppando, dando priorità e anticipando gli attacchi.
Facendo le cose in grande e riducendo il carico di lavoro delle operazioni di sicurezza, potrete dedicare più tempo alla ricerca delle minacce e alle indagini sugli incidenti. Se siete pronti a cambiare il vostro approccio al monitoraggio e alla protezione del vostro ambiente, contattateci per vedere una demo.