Systeme zur Erkennung und Verhinderung von Eindringlingen (Intrusion Detection and Prevention Systems, IDPS) sind so konzipiert, dass sie Bedrohungen anhand von Regeln und Signaturen erkennen. Dies ist eine bewährte Lösung, die häufig in Antiviren-Software und Firewalls der nächsten Generation eingesetzt wird. Theoretisch ist dies eine großartige Möglichkeit, einen bekannten Angriff anhand der entsprechenden Signatur zu erkennen, die er darstellt. Die Realität übertrumpft jedoch oft die Theorie: Angreifer sind schlau, und Netzwerke sind verrauscht, so dass keine zwei Angriffe völlig gleich sind.
Um dem entgegenzuwirken, müssen die Anbieter, die Signaturen erstellen, bei der Auslese dessen, wonach sie suchen, etwas entspannter sein. Es scheint eine gute Lösung zu sein, dass kleine Variationen eines Angriffs, die zuvor unentdeckt blieben, nun wieder erkannt werden. Das Problem ist jedoch, dass es jetzt zu einer Reihe von falsch-positiven Erkennungen kommt. Es ist nicht ungewöhnlich, dass ein modernes Security Operation Center (SOC), das signaturbasierte Erkennungen einsetzt, zehntausende von Warnungen erhält, manchmal sogar noch mehr in nur 24 Stunden, wodurch die Lösung sinnlos wird.
79 % der Sicherheitsteams gaben an, dass sie "von der Menge überwältigt wurden".
- Info-Brief von Enterprise Management Associates
Um dem entgegenzuwirken, sind SOC-Analysten in der Regel gezwungen, die IDPS-Systeme so zu konfigurieren, dass sie nur den Datenverkehr überwachen, der zu hochwertigen Ressourcen wie Datenbanken und Produktionsservern geht. Es ist auch üblich, sehr selektiv vorzugehen, wenn es darum geht, welche Signaturregeln in ihrem IDPS aktiviert werden, wobei häufig ältere und lautere Regeln entfernt und die Alarmschwellenwerte angepasst werden, um das Alarmvolumen zu reduzieren. Leider bedeutet das Ausschalten der Sicherheitsüberwachung, dass Sie so gut wie garantiert einen Angriff verpassen.
A successful and more modern approach is to move away from your legacy IDPS and replace it with a network detection and response (NDR) solution. NDR offers threat intel combined with rich contextual data such as host user behaviors on the network, user and device privilege, and knowledge of malicious behaviors. All powered by machine learning rules developed by security research and data science that identify attacks that are real threats, while eliminating the noise. Ultimately giving you the peace of mind that you are detecting and stopping both known and completely unknown attacks for your entire deployment.
Schalten Sie das Rauschen von IDPS aus, um mit NDR wieder Bedrohungen zu erkennen und zu stoppen. Setzen Sie Ihre Analysten frei, damit sie sich auf ihre eigentliche Arbeit konzentrieren können, anstatt Signaturen zu optimieren. Die Cognito-Plattform von Vectra dient zu 100 % der Erkennung von und Reaktion auf Angriffe in cloud, Rechenzentren, IoT und Unternehmen. Unsere Aufgabe ist es, diese Angriffe frühzeitig und mit Sicherheit zu finden.
Das fängt damit an, dass man über die Daten verfügt, die dies ermöglichen. Dabei geht es nicht um die Menge der Daten. Es geht um die durchdachte Sammlung von Daten aus einer Vielzahl relevanter Quellen und deren Anreicherung mit Sicherheitserkenntnissen und Kontext zur Lösung von Kundenanwendungsfällen.
Das Verhalten von Angreifern variiert, so dass wir kontinuierlich einzigartige algorithmische Modelle für ein breites Spektrum neuer und aktueller Bedrohungsszenarien entwickeln. Mit einer Leistung, die weit über die Fähigkeiten von Menschen hinausgeht, verschafft Ihnen Vectra einen deutlichen Vorteil gegenüber Angreifern, indem es Angriffe erkennt, gruppiert, priorisiert und vorhersieht.
Indem Sie das Denken übernehmen und den Arbeitsaufwand für den Sicherheitsbetrieb reduzieren, bleibt Ihnen mehr Zeit für threat hunting und die Untersuchung von Vorfällen. Wenn Sie bereit sind, Ihre Herangehensweise an die Überwachung und den Schutz Ihrer Umgebung zu ändern, nehmen Sie Kontakt mit uns auf und lassen Sie sich eine Demo zeigen.