Vectra wurde kürzlich als einziger Visionär im Gartner 2018 Magic Quadrant für Intrusion Detection and Prevention Systems (IDPS) positioniert. Darüber bin ich sehr erfreut.
Im Laufe der Jahre haben sich die Systeme zur Erkennung von Eindringlingen (IDS) und zur Verhinderung von Eindringlingen (IPS) einander angenähert, so dass die beiden Systeme nun gemeinsam als IDPS bezeichnet werden. Diese Konvergenz fand statt, als sich die Sicherheitsbranche stärker auf die Verhinderung externer cybercriminels konzentrierte.
Gartner weist jedoch darauf hin, dass "die anfänglichen einmaligen Sperren/Erlauben-Sicherheitsbewertungen für den Zugriff und den Schutz fehlerhaft sind und das Unternehmen für Zero-Day- und gezielte Angriffe, den Diebstahl von Anmeldeinformationen und Insider-Bedrohungen anfällig machen"[i].
Es ist an der Zeit, die Erkennung in den Vordergrund zu stellen
In der heutigen Bedrohungslandschaft, in der häufig über aufsehenerregende Verstöße in den Nachrichten berichtet wird, ist es klar, dass die Präventionsmethoden unzureichend waren und dass die interne Erkennung wieder an erster Stelle stehen muss.
Vectra hat von Anfang an erkannt, dass die Erkennung von Cyberbedrohungen ein Verständnis der tatsächlichen Funktionsweise von Angriffen und der Aktionen erfordert, die Angreifer durchführen, um erfolgreich zu sein. Wir wussten, dass die raffinierten Angreifer von heute mit denselben Tools bewaffnet sind, die auch von Systemadministratoren verwendet werden, und dass sie nicht malware oder Exploits verwenden müssen.
Erkennungssysteme müssen sich an die komplexen Umgebungen anpassen, in denen sich Unternehmen heute befinden und die eine immer größere Angriffsfläche bieten. Geräte sind mobil, das Internet der Dinge wächst exponentiell, Server sind jetzt Arbeitslasten, die sich fließend zwischen dem virtuellen Rechenzentrum und cloud bewegen, und Sicherheitsanalysten haben es immer schwerer mit der Bestandsverwaltung und dem Wissen, wo sich Daten befinden.
Am wichtigsten ist, dass Erkennungssysteme nicht so komplex sein dürfen wie herkömmliche IDS, die viele physische Sensoren und eine ständige Wartung und Einstellung erfordern. Um effektiv zu sein, müssen Erkennungssysteme einfach zu implementieren, zu verwalten und zu nutzen sein. Sie sollten keinen Vollzeit-Experten erfordern, um betriebsbereit zu bleiben.
Außerdem sollte die Erkennung nicht nur auf den Netzwerkrand beschränkt werden. Die Erkennung ist tief im Netz erforderlich, um jede kritische Phase eines Cyberangriffs zu erkennen, z. B. die interne Aufklärung und seitliche Bewegungen.
Um sicherzustellen, dass die Signale echter Angriffe nicht im großen Rauschen eines Erkennungssystems untergehen, ist eine Methode zur Rauschunterdrückung und Risikopriorisierung erforderlich, die die Aufmerksamkeit der Sicherheitsanalysten schnell auf die Bedrohungen lenkt, die das größte Risiko darstellen.
Die automatisierte Bedrohungserkennungs- und Reaktionsplattform Cognito von Vectra basiert auf der direkten Analyse des Netzwerkverkehrs, um die grundlegenden Verhaltensweisen zu erkennen, die Cyberangriffen zugrunde liegen.
Durch die Kombination von Data Science, maschinellem Lernen und Verhaltensanalyse identifiziert Cognito, was der Angreifer tut, ohne sich auf herkömmliche malware Signaturen und Reputationslisten zu verlassen. Analysen decken böswillige Verhaltensweisen auf, unabhängig von Anwendungen und sogar bei verschlüsseltem Datenverkehr. Dieser Ansatz offenbart die wichtigsten Aktionen, die ein Angreifer durchführen muss, um erfolgreich zu sein.
Im IDPS Magic Quadrant von Gartner heißt es: "Die Entwicklung von IDS hin zu fortschrittlichen Analysemethoden wie maschinellem Lernen ist für die Arten von Telemetrie, die diese Technologien generieren, gut geeignet und bietet eine neue Möglichkeit, bösartiges oder unerwünschtes Verhalten in einer Umgebung zu erkennen"[ii].
Cognito wendet algorithmische Modelle direkt auf den Netzwerkverkehr an, um das zugrunde liegende Angriffsverhalten aufzudecken, und reichert diese Daten dann mit sekundären Quellen wie Protokollen und Bedrohungsdaten an, um den Erkennungs- und Reaktionsprozess für Sicherheitsanalysten zu beschleunigen - automatisch.
Wir fühlen uns geehrt, dass Gartner Vectra als Visionär im Gartner IDPS Magic Quadrant 2018 positioniert hat. Um mehr zu erfahren, klicken Sie hier.