Vectra è stata recentemente posizionata come unico visionario nel Magic Quadrant di Gartner 2018 per i sistemi di rilevamento e prevenzione delle intrusioni (IDPS). Sono piuttosto entusiasta di questo risultato.
Nel corso degli anni, i sistemi di rilevamento delle intrusioni (IDS) sono confluiti nei sistemi di prevenzione delle intrusioni (IPS) e i due sono ora noti collettivamente come IDPS. Questa convergenza si è verificata quando il settore della sicurezza si è concentrato maggiormente sulla prevenzione delle minacce esterne.
Tuttavia, Gartner sottolinea che "le valutazioni iniziali di sicurezza di blocco/consenso una tantum per l'accesso e la protezione sono imperfette, lasciando l'azienda aperta ad attacchi zero-day e mirati, al furto di credenziali e alle minacce interne"[i].
È ora di mettere i rilevamenti al primo posto
Nell'attuale panorama delle minacce, in cui le violazioni di alto profilo vengono spesso riportate dalle cronache, è chiaro che le tecniche di prevenzione si sono rivelate insufficienti e che è necessario mettere nuovamente al primo posto l'individuazione interna.
Fin dall'inizio, Vectra ha riconosciuto che per rilevare le minacce informatiche era necessario comprendere il modo in cui gli attacchi funzionano realmente e le azioni che gli aggressori compiono per avere successo. Sapevamo che i sofisticati aggressori di oggi sono armati degli stessi strumenti utilizzati dagli amministratori di sistema e che non hanno bisogno di usare malware o exploit.
I sistemi di rilevamento devono adattarsi agli ambienti complessi in cui si trova oggi l'azienda, con una superficie di attacco in continua espansione. I dispositivi sono mobili, l'IoT sta crescendo in modo esponenziale, i server sono ora carichi di lavoro che si spostano fluidamente tra il data center virtuale e il cloud e gli analisti della sicurezza hanno sempre più difficoltà a gestire le risorse e a sapere dove risiedono i dati.
Soprattutto, i sistemi di rilevamento non possono essere complessi come gli IDS tradizionali, che richiedono molti sensori fisici e una costante manutenzione e messa a punto. Per essere efficaci, i sistemi di rilevamento devono essere facili da implementare, gestire e utilizzare. Non devono richiedere un esperto a tempo pieno per rimanere operativi.
Inoltre, il rilevamento non deve essere relegato solo al perimetro. Il rilevamento è necessario in profondità nella rete per identificare tutte le fasi critiche di un attacco informatico, come la ricognizione interna e il movimento laterale.
Per garantire che i segnali di attacchi reali non vadano persi nel grande volume di rumore creato da un sistema di rilevamento, è necessario un metodo di riduzione del rumore e di prioritizzazione del rischio che consenta di rivolgere rapidamente l'attenzione degli analisti della sicurezza alle minacce che rappresentano il rischio maggiore.
La piattaforma di rilevamento e risposta automatizzata alle minacce Cognito di Vectra si basa sull'analisi diretta del traffico di rete per rivelare i comportamenti fondamentali alla base dei cyberattacchi.
Combinando la scienza dei dati, l'apprendimento automatico e l'analisi comportamentale, Cognito identifica ciò che l'aggressore sta facendo senza affidarsi alle tradizionali firme di malware e liste di reputazione. Le analisi rivelano i comportamenti dannosi, indipendentemente dalle applicazioni e anche quando il traffico è criptato. Questo approccio rivela le azioni chiave che un attaccante deve compiere per avere successo.
Come afferma Gartner nel Magic Quadrant IDPS, "L'evoluzione degli IDS verso l'utilizzo di analisi avanzate come l'apprendimento automatico si adatta bene ai tipi di telemetria che queste tecnologie generano e dimostra di aggiungere un modo diverso di rilevare comportamenti dannosi o indesiderati all'interno di un ambiente"[ii].
Cognito applica modelli algoritmici direttamente al traffico di rete per rivelare i comportamenti di attacco sottostanti e poi arricchisce questi dati con fonti secondarie come i log e i dati di intelligence sulle minacce per accelerare il processo di rilevamento e risposta per gli analisti della sicurezza - automaticamente.
Siamo onorati che Gartner abbia posizionato Vectra come visionario nel Magic Quadrant Gartner IDPS 2018. Per saperne di più, cliccate qui.