L'IDS esiste da decenni ed è stato a lungo un pilastro della sicurezza di rete. Tuttavia, nel corso degli anni, l'IDS è stato gradualmente assorbito dall'IPS, fino a diventare semplicemente un'opzione di implementazione dell'IPS.
Tuttavia, questo ruolo subordinato dell'IDS rispetto all'IPS introduce un compromesso sottile ma importante: il rilevamento passa in secondo piano rispetto alla prevenzione. Poiché l'IPS viene implementato in linea con il traffico di rete, le preoccupazioni relative alle prestazioni sono fondamentali. La prevenzione non può rallentare la velocità o il flusso delle attività aziendali, il che significa che i rilevamenti devono essere quasi istantanei.
La necessità di bloccare le minacce in pochi millisecondi costringe gli IDS/IPS a utilizzare le firme per il rilevamento. Sebbene le firme siano in grado di rilevare un'ampia varietà di minacce, esse si basano sul rapido confronto dei modelli delle minacce conosciute.
Questo approccio istantaneo al rilevamento non è adatto a individuare la natura complessa e multifase dei moderni attacchi informatici. Per stare al passo, il settore ha bisogno di un nuovo approccio al rilevamento delle intrusioni che dia la priorità assoluta al rilevamento.
È ora di dare priorità al rilevamento
Gli IDS e gli IPS hanno la loro ragion d'essere, ma non sono più semplicemente opzioni di implementazione della stessa cosa. Gli attacchi persistenti odierni impongono che l'intelligence sulle minacce e l'applicazione delle misure di sicurezza siano separate e ottimizzate per i rispettivi scopi.
Gli IDS devono utilizzare nuove strategie e tecniche per rilevare le intrusioni attive nella rete. È fondamentale che gli IDS rilevino le minacce anche se non vengono utilizzati malware exploit.
Ciò richiede una visibilità che vada oltre le difese perimetrali e raggiunga la rete interna dove si nascondono gli aggressori. Un IDS moderno deve anche rilevare lo sviluppo di un attacco nel corso di ore, giorni e settimane.
Concentrati sul comportamento, non sulle firme
Nell'attuale panorama delle minacce, il rilevamento delle intrusioni deve abbandonare le firme e concentrarsi sull'identificazione dei comportamenti dannosi degli attacchi. Nonostante cambino continuamente tattica per eludere le firme, gli aggressori devono compiere determinate azioni quando spiano, si diffondono e rubano all'interno di una rete.
Concentrandosi sulle caratteristiche uniche dei comportamenti dannosi, i team di sicurezza possono identificare in modo affidabile le intrusioni nella rete, anche se gli strumenti, malware l'attacco sono completamente sconosciuti.
Ma questo livello di rilevamento richiede un IDS di nuova generazione con una profonda comprensione dei comportamenti sofisticati degli attacchi.
La modernizzazione dell'IDS
Vectra sta rivoluzionando il modo in cui viene effettuato il rilevamento delle intrusioni. Utilizza una combinazione innovativa di scienza dei dati, apprendimento automatico e analisi comportamentale per rilevare le minacce attive all'interno della rete.
I modelli algoritmici rivelano comportamenti di attacco sottostanti che non possono essere rilevati dai log o dai flussi di traffico. Vectra rivela le azioni chiave che gli aggressori devono compiere per avere successo, indipendentemente dalle applicazioni, dai sistemi operativi e dai dispositivi, anche quando il traffico è crittografato.
L'apprendimento automatico distingue i comportamenti dannosi dal traffico normale e offre un contesto locale e a livello di rete. Ciò consente di rilevare minacce nascoste, comprese quelle che possono essere individuate solo dopo un periodo di osservazione prolungato.
Poiché Vectra rileva azioni dannose anziché payload dannosi, è in grado di identificare minacce attive senza decrittografare il traffico. Ciò significa che gli aggressori non possono più comunicare in modo occulto con host infetti utilizzando sessioni web crittografate con SSL o tunnel nascosti.
Mentre i sistemi IDS tradizionali si concentrano sul rilevamento di una compromissione iniziale, Vectra rileva le minacce attive in ogni fase della catena di attacco informatico: comando e controllo, ricognizione interna, movimento laterale ed esfiltrazione dei dati.
Ma soprattutto, Vectra non grava sui team di sicurezza già oberati di lavoro. Al contrario, mappa i rilevamenti sugli host sotto attacco e assegna un punteggio e una priorità alle minacce che presentano il rischio più elevato, in modo automatico e in tempo reale. Ciò garantisce ai team di sicurezza la rapidità e l'efficienza necessarie per prevenire o mitigare la perdita di dati.