All'inizio di questo mese è stata pubblicata la Guida al mercato dei sistemi di rilevamento e prevenzione delle intrusioni (IDPS) di Gartner, redatta dai ricercatori Craig Lawson e John Watts (ID: G00385800)*. La guida descrive la definizione di mercato e l'orientamento dei requisiti che gli acquirenti dovrebbero ricercare nella loro soluzione IDPS, nonché i principali casi d'uso che oggi guidano l'IDPS.
In questo rapporto spiccano scenari relativamente nuovi che descrivono il tipo di requisiti da prendere in considerazione quando si pensa alle future soluzioni IDPS e alla sicurezza della rete in generale.
Le sezioni seguenti riassumono le principali conclusioni della relazione.
L'efficienza operativa è importante
Secondo Gartner, "Per quanto riguarda la modalità di rilevamento, i clienti nutrono giustificate preoccupazioni sul fatto che questa tecnologia sia solo un altro 'canone di eventi' che genera avvisi che, anche se gli eventi di interesse sono presenti, vengono soffocati dal numero elevato di avvisi".
Molte organizzazioni cercano soluzioni che eccellono nel raggruppare numerosi avvisi per creare un unico incidente o campagna che descriva una catena di attività correlate. Ciò è molto più vantaggioso che setacciare avvisi isolati che un analista deve mettere insieme. I team di sicurezza spesso ritengono che questo sia un uso dell'intelligenza artificiale e dell'apprendimento automatico altrettanto prezioso quanto le rilevazioni stesse.
Deve fornire visibilità all'interno della rete
Secondo il rapporto, "L'evoluzione naturale per supportare questi flussi di lavoro consiste nell'espandere ulteriormente la visibilità dell'IDPS autonomo nell'ambiente in cui è possibile trovare prove di tali violazioni. Ciò significa implementare sensori IDPS aggiuntivi all'interno della rete (e solitamente all'interno del data center)".
Molte organizzazioni cercano soluzioni che utilizzino analisi avanzate e modelli comportamentali per casi d'uso di IDS di rete e per l'ispezione del traffico est-ovest. Queste soluzioni offrono la possibilità di rilevare minacce che hanno aggirato i controlli tradizionali fornendo indicatori dei comportamenti degli aggressori, come comando e controllo, ricognizione, movimento laterale ed esfiltrazione di dati all'interno della rete.
Deve offrirti visibilità nel cloud
Gartner aggiunge inoltre: "I fornitori di IDPS stanno implementando soluzioni più efficaci negli ambienti cloud pubblici cloud IaaS) rispetto alle soluzioni firewall per reti aziendali, poiché cloud esistenti offrono una copertura adeguata in questo spazio, sostituendo i firewall tradizionali. I fornitori di IDPS sono ora in grado di implementare soluzioni più efficaci in queste architetture di elaborazione più agili, sia in modo nativo che con l'integrazione con broker di pacchetti come Gigamon e Zentara".
Man mano che le aziende trasferiscono i propri dati e servizi di alto valore sul cloud, è fondamentale ridurre i rischi informatici che possono compromettere le attività aziendali. Possono esserci lacune di visibilità nelle connessioni tra le istanze di elaborazione e archiviazione.
I cybercriminali sono consapevoli di questa lacuna nella visibilità. Un recente sondaggio condotto dal SANS Institute ha rilevato che solo nell'ultimo anno un'azienda su cinque ha subito gravi accessi non autorizzati ai propri cloud e molte altre sono state violate a loro insaputa. Questo fenomeno è destinato ad accentuarsi, dato che quasi quattro organizzazioni su dieci prevedono di passare a un approccio cloud per l'implementazione di nuove applicazioni, secondo un recente studio dell'Enterprise Strategy Group (ESG).
Di conseguenza, molti team di sicurezza sono alla ricerca di soluzioni che consentano loro di avere visibilità sull'impronta estesa della propria rete man mano che questa si espande nel cloud.
Per ulteriori informazioni, contatta Vectra per una consulenza sulle tue esigenze in materia di IDPS o leggi una copia gratuita del rapporto, per maggiori dettagli sui requisiti da considerare nell'implementazione dell'IDPS.