All'inizio del mese è stata pubblicata la Gartner Market Guide for Intrusion Detection and Prevention Systems (IDPS), redatta dai ricercatori Gartner Craig Lawson e John Watts (ID: G00385800)*. La guida descrive la definizione del mercato e la direzione dei requisiti che gli acquirenti dovrebbero cercare nella loro soluzione IDPS, nonché i principali casi d'uso che guidano gli IDPS oggi.
In questo rapporto sono presenti scenari relativamente nuovi che illustrano il tipo di requisiti che dovrebbero essere presi in considerazione quando si pensa alle future soluzioni IDPS e alla sicurezza di rete in generale.
Le sezioni seguenti riassumono i punti salienti del rapporto.
L'efficienza operativa è importante
Secondo Gartner, "per quanto riguarda la modalità di rilevamento, i clienti hanno giustificate preoccupazioni sul fatto che questa tecnologia sia solo un altro 'canone di eventi' che genera avvisi che, anche se gli eventi di interesse sono presenti, vengono annegati da quello che può essere l'enorme numero di avvisi".
Molte organizzazioni cercano soluzioni che eccellano nel raggruppare numerosi avvisi per creare un singolo incidente o campagna che descriva una catena di attività correlate. Questo è molto più vantaggioso che setacciare avvisi isolati che un analista deve mettere insieme. I team di sicurezza spesso trovano che questo sia un uso prezioso dell'intelligenza artificiale e dell'apprendimento automatico tanto quanto i rilevamenti stessi.
Deve dare visibilità all'interno della rete.
Secondo il rapporto, "L'evoluzione naturale per supportare questi flussi di lavoro consiste nell'espandere la visibilità dell'IDPS stand-alone all'interno dell'ambiente in cui si possono trovare le prove di queste violazioni. Ciò significa distribuire ulteriori sensori IDPS all'interno della rete (e di solito all'interno del data center)".
Molte organizzazioni cercano soluzioni che utilizzano analisi avanzate e modelli comportamentali per i casi d'uso degli IDS di rete e per l'ispezione del traffico est-ovest. Queste soluzioni sono in grado di rilevare le minacce che hanno aggirato i controlli tradizionali, fornendo indicatori di comportamenti degli aggressori come il comando e il controllo, la ricognizione, il movimento laterale e l'esfiltrazione dei dati all'interno della rete.
Deve fornire visibilità sul cloud
Inoltre, Gartner afferma che "i fornitori di IDPS si stanno implementando in modo più efficace negli ambienti di cloud pubblico (IaaS) rispetto alle soluzioni firewall di rete aziendali, poiché i fornitori di cloud storici stanno fornendo una copertura adeguata in questo spazio, soppiantando i firewall tradizionali. I fornitori di IDPS sono ora in grado di implementare in modo più efficace queste architetture computazionali più agili, sia in modo nativo che con l'integrazione con packet broker come Gigamon e Zentara".
Man mano che le aziende spostano i loro dati e servizi di alto valore nel cloud, è imperativo ridurre i rischi informatici che possono mettere in crisi le aziende. Le connessioni tra istanze di calcolo e di storage possono presentare lacune di visibilità.
I cyberattaccanti sono consapevoli di questa lacuna di visibilità. Una recente indagine del SANS Institute ha rilevato che solo nell'ultimo anno un'azienda su cinque ha subito un grave accesso non autorizzato ai propri ambienti cloud e molte altre sono state violate inconsapevolmente. Secondo un recente studio dell'Enterprise Strategy Group (ESG), questa situazione è destinata ad aggravarsi, poiché quasi quattro organizzazioni su dieci prevedono di passare a un approccio cloud per l'implementazione di nuove applicazioni.
Di conseguenza, molti team di sicurezza sono alla ricerca di implementazioni in grado di dare visibilità all'estensione della rete che si espande nel cloud.
Per saperne di più, contattate Vectra per una discussione consultiva sui vostri requisiti IDPS o leggete una copia gratuita del report per maggiori dettagli sui requisiti da considerare nella vostra implementazione IDPS.