Systeme zur Erkennung und Verhinderung von Eindringlingen (Intrusion Detection and Prevention Systems, IDPS) sind so konzipiert, dass sie Bedrohungen anhand von Regeln und Signaturen erkennen. Dies ist eine bewährte Lösung, die häufig in Antiviren-Software und Firewalls der nächsten Generation eingesetzt wird. Theoretisch ist dies eine großartige Möglichkeit, einen bekannten Angriff anhand der entsprechenden Signatur zu erkennen, die er darstellt. Die Realität übertrumpft jedoch oft die Theorie: Angreifer sind schlau, und Netzwerke sind verrauscht, so dass keine zwei Angriffe völlig gleich sind.
Um dem entgegenzuwirken, müssen die Anbieter, die Signaturen erstellen, bei der Auslese dessen, wonach sie suchen, etwas entspannter sein. Es scheint eine gute Lösung zu sein, dass kleine Variationen eines Angriffs, die zuvor unentdeckt blieben, nun wieder erkannt werden. Das Problem ist jedoch, dass es jetzt zu einer Reihe von falsch-positiven Erkennungen kommt. Es ist nicht ungewöhnlich, dass ein modernes Security Operation Center (SOC), das signaturbasierte Erkennungen einsetzt, zehntausende von Warnungen erhält, manchmal sogar noch mehr in nur 24 Stunden, wodurch die Lösung sinnlos wird.
79 % der Sicherheitsteams gaben an, dass sie "von der Menge überwältigt wurden".
- Info-Brief von Enterprise Management Associates
Um dem entgegenzuwirken, sind SOC-Analysten in der Regel gezwungen, die IDPS-Systeme so zu konfigurieren, dass sie nur den Datenverkehr überwachen, der zu hochwertigen Ressourcen wie Datenbanken und Produktionsservern geht. Es ist auch üblich, sehr selektiv vorzugehen, wenn es darum geht, welche Signaturregeln in ihrem IDPS aktiviert werden, wobei häufig ältere und lautere Regeln entfernt und die Alarmschwellenwerte angepasst werden, um das Alarmvolumen zu reduzieren. Leider bedeutet das Ausschalten der Sicherheitsüberwachung, dass Sie so gut wie garantiert einen Angriff verpassen.
Ein erfolgreicher und modernerer Ansatz besteht darin, Ihr altes IDPS durch eine Network Detection and Response (NDR)- Lösung zu ersetzen. NDR bietet Bedrohungsinformationen in Kombination mit umfangreichen Kontextdaten wie dem Verhalten von Host-Benutzern im Netzwerk, Benutzer- und Geräteprivilegien und Wissen über bösartiges Verhalten. All dies wird durch Regeln des maschinellen Lernens unterstützt, die von der Sicherheitsforschung und der Datenwissenschaft entwickelt wurden und Angriffe identifizieren, die eine echte Bedrohung darstellen, während das Rauschen eliminiert wird. Das gibt Ihnen die Gewissheit, dass Sie sowohl bekannte als auch völlig unbekannte Angriffe für Ihre gesamte Einrichtung erkennen und abwehren können.
Schalten Sie das Rauschen von IDPS aus, um mit NDR wieder Bedrohungen zu erkennen und zu stoppen. Setzen Sie Ihre Analysten frei, damit sie sich auf ihre eigentliche Arbeit konzentrieren können, anstatt Signaturen zu optimieren. Die Cognito-Plattform von Vectra dient zu 100 % der Erkennung von und Reaktion auf Angriffe in cloud, Rechenzentren, IoT und Unternehmen. Unsere Aufgabe ist es, diese Angriffe frühzeitig und mit Sicherheit zu finden.
Das fängt damit an, dass man über die Daten verfügt, die dies ermöglichen. Dabei geht es nicht um die Menge der Daten. Es geht um die durchdachte Sammlung von Daten aus einer Vielzahl relevanter Quellen und deren Anreicherung mit Sicherheitserkenntnissen und Kontext zur Lösung von Kundenanwendungsfällen.
Das Verhalten von Angreifern variiert, so dass wir kontinuierlich einzigartige algorithmische Modelle für ein breites Spektrum neuer und aktueller Bedrohungsszenarien entwickeln. Mit einer Leistung, die weit über die Fähigkeiten von Menschen hinausgeht, verschafft Ihnen Vectra einen deutlichen Vorteil gegenüber Angreifern, indem es Angriffe erkennt, gruppiert, priorisiert und vorhersieht.
Indem Sie das Denken übernehmen und den Arbeitsaufwand für den Sicherheitsbetrieb reduzieren, bleibt Ihnen mehr Zeit für die Suche nach Bedrohungen und die Untersuchung von Vorfällen. Wenn Sie bereit sind, Ihre Herangehensweise an die Überwachung und den Schutz Ihrer Umgebung zu ändern, nehmen Sie Kontakt mit uns auf und lassen Sie sich eine Demo zeigen.