I sistemi di rilevamento e prevenzione delle intrusioni (IDPS) sono progettati per rilevare le minacce in base a regole e firme. Si tratta di una soluzione collaudata, spesso presente nei software antivirus e nei firewall di nuova generazione. In teoria, si tratta di un ottimo modo per rilevare un attacco noto utilizzando la firma appropriata che presenta. Tuttavia, la realtà spesso batte la teoria: gli aggressori sono intelligenti e le reti sono rumorose, quindi risulta che non ci sono due attacchi completamente uguali.
Per contrastare questo fenomeno, i fornitori che creano le firme devono essere un po' più rilassati nel selezionare ciò che stanno cercando. Sembra una buona soluzione: piccole variazioni in un attacco che prima non venivano rilevate ora vengono rilevate di nuovo. Il problema è che ora iniziano a verificarsi una serie di rilevamenti falsi positivi. Non è raro che un moderno centro operativo di sicurezza (SOC) che sfrutta i rilevamenti basati sulle firme riceva decine di migliaia di avvisi, a volte anche di più, in sole 24 ore, rendendo la soluzione inutile.
Il 79% dei team di sicurezza ha dichiarato di "essere sopraffatto dal volume".
- Brief informativo di Enterprise Management Associates
Per contrastare questa situazione, gli analisti SOC sono in genere costretti a configurare i sistemi IDPS per monitorare solo il traffico diretto verso asset di alto valore, come database e server di produzione. È anche comune essere molto selettivi nell'abilitare le regole di firma nel loro IDPS, spesso rimuovendo le regole più vecchie e rumorose e regolando le soglie di allarme per ridurre il volume degli avvisi. Purtroppo, disattivare il monitoraggio della sicurezza significa avere la garanzia di non subire un attacco.
Un approccio efficace e più moderno consiste nell'abbandonare l'IDPS tradizionale per sostituirlo con una soluzione di rilevamento e risposta della rete (NDR). L'NDR offre informazioni sulle minacce combinate con ricchi dati contestuali, come i comportamenti degli utenti host sulla rete, i privilegi di utenti e dispositivi e la conoscenza di comportamenti dannosi. Il tutto alimentato da regole di apprendimento automatico sviluppate dalla ricerca sulla sicurezza e dalla scienza dei dati che identificano gli attacchi che rappresentano minacce reali, eliminando il rumore. In definitiva, vi garantisce la tranquillità di rilevare e bloccare gli attacchi, sia noti che completamente sconosciuti, per l'intera implementazione.
Eliminate il rumore dell'IDPS per ricominciare a rilevare e bloccare le minacce con l'NDR. Liberate i vostri analisti per concentrarsi sul loro vero lavoro invece di modificare le firme. La piattaforma Cognito di Vectra è al 100% al servizio del rilevamento e della risposta agli attacchi all'interno di cloud, data center, IoT e aziende. Il nostro lavoro consiste nel trovare questi attacchi in anticipo e con certezza.
Il punto di partenza è disporre dei dati necessari. Non si tratta di volume di dati. Si tratta di raccogliere in modo ponderato i dati da una serie di fonti pertinenti e di arricchirli con informazioni sulla sicurezza e sul contesto per risolvere i casi d'uso dei clienti.
I comportamenti di attacco variano, quindi creiamo continuamente modelli algoritmici unici per la più ampia gamma di scenari di minaccia nuovi e attuali. Con prestazioni ben superiori alle capacità degli esseri umani, Vectra vi offre un netto vantaggio sugli avversari rilevando, raggruppando, dando priorità e anticipando gli attacchi.
Facendo le cose in grande e riducendo il carico di lavoro delle operazioni di sicurezza, potrete dedicare più tempo alla ricerca delle minacce e alle indagini sugli incidenti. Se siete pronti a cambiare il vostro approccio al monitoraggio e alla protezione del vostro ambiente, contattateci per vedere una demo.