Warum IDPS nicht in der Lage ist, moderne Angriffe zu erkennen

18. August 2020
Marcus Hartwig
Direktor, Produktmarketing
Warum IDPS nicht in der Lage ist, moderne Angriffe zu erkennen

In meinem letzten Blog habe ich darüber gesprochen, wie Intrusion Detection and Prevention Systeme (IDPS) zu einer Ermüdung der Alarmbereitschaft führen, indem sie die Sicherheitsteams mit falsch-positiven Alarmen überhäufen, was letztendlich zu verpassten Angriffen führt. In diesem Blog möchte ich darauf eingehen, dass IDPS nicht in der Lage ist, laterale Bewegungen, d. h. Ost-West-Verkehr, zu erkennen, oder einfach ausgedrückt: Angreifer, die sich innerhalb Ihrer Implementierungen bewegen.

Die Vorstellung von einem festen Umkreis um Hosts und Server, der durch eine Firewall geschützt ist, gehört der Vergangenheit an. Jeder greift heute auf Workloads zu, die in cloud Umgebungen bereitgestellt werden. Der Gedanke, dass der Datenverkehr innerhalb oder außerhalb eines Umkreises stattfindet, ist verschwunden. IDPS-Lösungen, die sich nur auf den Datenverkehr konzentrieren, der durch die Unternehmens-Firewall läuft, werden schnell überflüssig. Dieser Datenverkehr macht nur noch einen Bruchteil der gesamten Kommunikation in einer modernen Einrichtung aus. Das ist so, als würde man eine verstärkte Stahltür in die Mitte eines offenen Feldes stellen.

Die Erkennung von Querbewegungen ist jedoch nach wie vor ein wichtiger Bestandteil jeder Erkennungs- und Reaktionsstrategie. Böswillige Akteure zielen bei einem Angriff selten nur auf ein System ab. Stattdessen verfolgen sie einen "Land-and-Expand"-Ansatz, indem sie einen Host oder ein Konto mit geringen Rechten kompromittieren und sich dann auf der Suche nach zu stehlenden Ressourcen lateral durch das Netzwerk bewegen.

IDPS stützt sich in erster Linie auf Signaturen, um Bedrohungen zu erkennen, einschließlich Exploits und malware , die auf anfällige Systeme und Anwendungen abzielen. Dies geschieht in der Regel über eine Prüfung auf Paketebene, bei der der Hash eines Pakets mit dem Hash eines bösartigen Pakets verglichen wird. Wenn es eine Übereinstimmung gibt, löst IDPS eine Warnung aus und blockiert es möglicherweise, je nach Konfiguration. Auch wenn Signaturen ihre Berechtigung haben, haben sich die Angriffe deutlich von malware auf kontobasierte Angriffe verlagert.

Im Verizon Business 2020 Data Breach Investigations Report heißt es: "Unsere Daten zeigen, dass diese Art von malware im Jahr 2016 einen Spitzenwert von knapp 50 % aller Sicherheitsverletzungen erreichte und seitdem auf nur noch ein Sechstel des damaligen Wertes (6,5 %) gesunken ist. Während diese Art von malware abnimmt, sehen wir eine entsprechende Zunahme anderer Arten von Bedrohungen. Im Laufe der Zeit scheinen die Angreifer immer effizienter zu werden und sich mehr auf Angriffe wie phishing und den Diebstahl von Zugangsdaten zu konzentrieren." Der signaturbasierte Ansatz ist völlig unfähig, Angriffe zu erkennen, die den Diebstahl und Missbrauch von Zugangsdaten beinhalten.

Umgekehrt kombiniert die Vectra Cognito Platform Bedrohungsinformationen mit umfangreichen Kontextdaten, wie z. B. dem Verhalten von Host-Benutzern im Netzwerk, Benutzer- und Geräteprivilegien und Wissen über bösartige Verhaltensweisen. Mit Hilfe von Algorithmen des maschinellen Lernens, die von Sicherheitsforschern und Datenwissenschaftlern entwickelt wurden, identifiziert Vectra Angriffe, die eine echte Bedrohung darstellen, und eliminiert gleichzeitig das Rauschen. Dies gibt Ihnen die Gewissheit, dass Sie bekannte und unbekannte Angriffe in cloud, Rechenzentren, IoT- und Unternehmensnetzwerken erkennen und abwehren können. Vectra steht zu 100 % im Dienst der Erkennung von und Reaktion auf Angreifer, und unsere Aufgabe ist es, sie frühzeitig und mit Sicherheit zu finden.

Das fängt damit an, dass man die Daten hat, die man braucht, um das zu erreichen. Dabei geht es nicht um die Menge der Daten. Es geht um die durchdachte Sammlung von Daten aus einer Vielzahl relevanter Quellen und deren Anreicherung mit Sicherheitserkenntnissen und Kontext zur Lösung von Kundenanwendungsfällen. Das Angriffsverhalten variiert, so dass Vectra kontinuierlich einzigartige algorithmische Modelle für ein breites Spektrum neuer und aktueller Bedrohungsszenarien erstellt. Vectra geht weit über die Fähigkeiten von Menschen hinaus und verschafft Ihnen einen deutlichen Vorteil gegenüber Angreifern, indem es Angriffe erkennt, gruppiert, priorisiert und vorhersieht. Da Vectra das Denken übernimmt und den Arbeitsaufwand der Sicherheitsabteilung reduziert, können Sie mehr Zeit auf threat hunting und die Untersuchung von Vorfällen verwenden und müssen weniger Zeit für die Abstimmung von IDPS-Signaturen aufwenden.

Wenn Sie bereit sind, Ihre Herangehensweise an die Überwachung und den Schutz Ihrer Umgebung zu ändern, nehmen Sie Kontakt mit uns auf und lassen Sie sich eine Demo zeigen.

Häufig gestellte Fragen