L'IDS esiste da decenni ed è stato a lungo una pietra miliare della sicurezza di rete. Tuttavia, nel corso degli anni, l'IDS è stato gradualmente assorbito dall'IPS e quest'ultimo è stato considerato semplicemente come un'opzione di implementazione dell'IPS.
Tuttavia, questo ruolo subalterno dell'IDS rispetto all'IPS introduce un compromesso sottile ma importante: il rilevamento passa in secondo piano rispetto alla prevenzione. Poiché l'IPS viene distribuito in linea con il traffico di rete, le preoccupazioni relative alle prestazioni sono fondamentali. La prevenzione non può rallentare la velocità o il flusso delle attività, e questo significa che i rilevamenti devono essere quasi istantanei.
La necessità di bloccare le minacce in pochi millisecondi costringe gli IDS/IPS a utilizzare le firme per i rilevamenti. Sebbene le firme siano in grado di rilevare un'ampia varietà di minacce, si basano su una rapida corrispondenza dei modelli di minacce note.
Questo approccio istantaneo al rilevamento non è adatto a rilevare la natura paziente e multifase dei moderni attacchi informatici. Per tenere il passo, il settore deve adottare un nuovo approccio al rilevamento delle intrusioni che metta al primo posto la priorità del rilevamento.
È ora di mettere la rilevazione al primo posto
IDS e IPS hanno il loro giusto posto, ma non sono più semplicemente opzioni di distribuzione della stessa cosa. Gli attacchi persistenti di oggi impongono che l'intelligence e l'applicazione delle minacce siano separate e ottimizzate per i rispettivi scopi.
Gli IDS devono utilizzare nuove strategie e tecniche per rilevare le intrusioni di rete attive. È fondamentale che gli IDS rilevino le minacce anche se non vengono utilizzati malware o exploit.
Ciò richiede una visibilità che vada oltre le difese perimetrali e raggiunga la rete interna dove si nascondono gli aggressori. Un IDS moderno deve anche rilevare la progressione di un attacco nel corso di ore, giorni e settimane.
Concentrarsi sul comportamento, non sulle firme
Nell'attuale panorama delle minacce, il rilevamento delle intrusioni deve abbandonare le firme e concentrarsi sull'identificazione dei comportamenti di attacco dannosi. Nonostante cambino sempre tattica per evitare le firme, gli aggressori devono eseguire determinate azioni quando spiano, diffondono e rubano all'interno di una rete.
Concentrandosi sulle caratteristiche uniche dei comportamenti dannosi, i team di sicurezza possono identificare in modo affidabile le intrusioni di rete, anche se gli strumenti, il malware e l'attacco sono completamente sconosciuti.
Ma questo livello di rilevamento richiede un IDS di nuova generazione con una profonda comprensione dei comportamenti di attacco sofisticati.
La modernizzazione di IDS
Vectra sta cambiando il modo di rilevare le intrusioni. Utilizza una combinazione innovativa di data science, machine learning e analisi comportamentale per rilevare le minacce attive all'interno della rete.
I modelli algoritmici rivelano i comportamenti di attacco sottostanti che non possono essere visti dai registri o dai flussi di traffico. Vectra rivela le azioni chiave che gli aggressori devono eseguire per avere successo, indipendentemente dalle applicazioni, dai sistemi operativi e dai dispositivi, e anche quando il traffico è crittografato.
L'apprendimento automatico distingue i comportamenti delle minacce dal traffico normale e offre un contesto locale e di rete. Ciò consente di rilevare le minacce nascoste, comprese quelle che possono essere rivelate solo se osservate per lunghi periodi di tempo.
Poiché Vectra rileva le azioni dannose anziché i payload dannosi, è in grado di identificare le minacce attive senza decrittografare il traffico. Ciò significa che gli aggressori non possono più comunicare segretamente con gli host infetti utilizzando sessioni Web crittografate SSL o tunnel nascosti.
Mentre gli IDS tradizionali si concentrano sul rilevamento di una compromissione iniziale, Vectra rileva le minacce attive in ogni fase della kill chain dell'attacco informatico: comando e controllo, ricognizione interna, movimento laterale ed esfiltrazione dei dati.
Ma soprattutto, Vectra non grava sui team di sicurezza sovraccarichi di lavoro. Al contrario, mappa i rilevamenti sugli host oggetto di attacco e assegna punteggi e priorità alle minacce che presentano il rischio più elevato, in modo automatico e in tempo reale. In questo modo i team di sicurezza ottengono la velocità e l'efficienza necessarie per prevenire o ridurre la perdita di dati.