IDS gibt es schon seit Jahrzehnten und war lange Zeit ein Eckpfeiler der Netzwerksicherheit. Im Laufe der Jahre wurde IDS jedoch allmählich von IPS absorbiert, und IDS wurde einfach als eine Einsatzoption von IPS betrachtet.
Diese untergeordnete Rolle des IDS gegenüber dem IPS führt jedoch zu einem subtilen, aber wichtigen Kompromiss: Die Erkennung tritt hinter die Prävention zurück. Da IPS parallel zum Netzwerkverkehr eingesetzt wird, sind Leistungsaspekte von größter Bedeutung. Die Vorbeugung darf die Geschwindigkeit oder den Fluss des Geschäftsverkehrs nicht verlangsamen, und das bedeutet, dass die Erkennungen nahezu sofort erfolgen müssen.
Die Notwendigkeit, Bedrohungen innerhalb von Millisekunden zu blockieren, zwingt IDS/IPS dazu, Signaturen für die Erkennung zu verwenden. Signaturen können zwar eine Vielzahl von Bedrohungen erkennen, sind aber auf eine schnelle Mustererkennung bekannter Bedrohungen angewiesen.
Dieser Momentaufnahme-Ansatz zur Erkennung ist nicht geeignet, um die geduldige, mehrstufige Natur moderner Cyberangriffe zu erkennen. Um mithalten zu können, braucht die Branche einen neuen Ansatz zur Erkennung von Eindringlingen, bei dem die Erkennung an erster Stelle steht.
Es ist an der Zeit, die Erkennung an die erste Stelle zu setzen
IDS und IPS haben ihren berechtigten Platz, aber sie sind nicht mehr nur Einsatzoptionen für ein und dieselbe Sache. Die hartnäckigen Angriffe von heute machen es erforderlich, dass Bedrohungserkennung und Durchsetzung getrennt und für ihre jeweiligen Zwecke optimiert werden müssen.
IDS müssen neue Strategien und Techniken anwenden, um aktive Netzwerkeinbrüche zu erkennen. Es ist wichtig, dass IDS Bedrohungen erkennen, auch wenn malware oder Exploits nicht verwendet werden.
Dies setzt voraus, dass die Sichtbarkeit über die Perimeterverteidigung hinaus in das interne Netzwerk reicht, wo sich die Angreifer verstecken. Ein modernes IDS muss auch den Verlauf eines Angriffs erkennen, der sich über Stunden, Tage und Wochen entwickelt.
Fokus auf Verhalten, nicht auf Unterschriften
In der heutigen Bedrohungslandschaft muss sich die Intrusion Detection von Signaturen verabschieden und sich auf die Identifizierung bösartiger Angriffsverhaltensweisen konzentrieren. Obwohl Angreifer ihre Taktik immer wieder ändern, um Signaturen zu umgehen, müssen sie bestimmte Aktionen ausführen, wenn sie ein Netzwerk ausspähen, verbreiten und stehlen.
Durch die Konzentration auf die einzigartigen Merkmale bösartiger Verhaltensweisen können Sicherheitsteams Eindringlinge in das Netzwerk zuverlässig identifizieren, selbst wenn die Tools, malware und der Angriff völlig unbekannt sind.
Für diese Erkennungsstufe ist jedoch ein IDS der nächsten Generation erforderlich, das ein tiefes Verständnis für komplexe Angriffsverhaltensweisen besitzt.
Die Modernisierung von IDS
Vectra verändert die Art und Weise, wie Intrusion Detection durchgeführt wird. Es nutzt eine innovative Kombination aus Datenwissenschaft, maschinellem Lernen und Verhaltensanalyse, um aktive Bedrohungen im Netzwerk zu erkennen.
Algorithmische Modelle enthüllen das zugrunde liegende Angriffsverhalten, das nicht aus Protokollen oder Verkehrsflüssen ersichtlich ist. Vectra enthüllt die Schlüsselaktionen, die Angreifer durchführen müssen, um erfolgreich zu sein, unabhängig von Anwendungen, Betriebssystemen und Geräten - und selbst wenn der Verkehr verschlüsselt ist.
Das maschinelle Lernen unterscheidet das Verhalten von Bedrohungen vom normalen Datenverkehr und bietet netzwerkweiten und lokalen Kontext. Dies ermöglicht die Erkennung versteckter Bedrohungen, einschließlich solcher, die nur bei längerer Beobachtung aufgedeckt werden können.
Da Vectra bösartige Aktionen anstelle von bösartigen Nutzdaten erkennt, kann es aktive Bedrohungen identifizieren, ohne den Datenverkehr zu entschlüsseln. Das bedeutet, dass Angreifer nicht mehr heimlich mit infizierten Hosts kommunizieren können, indem sie SSL-verschlüsselte Websitzungen oder versteckte Tunnel verwenden.
Während herkömmliche IDS auf die Erkennung einer ersten Kompromittierung fixiert sind, erkennt Vectra aktive Bedrohungen in jeder Phase der Kill Chain von Cyberangriffen - Befehl und Kontrolle, interne Aufklärung, seitliche Bewegung und Datenexfiltration.
Am wichtigsten ist, dass Vectra überlastete Sicherheitsteams nicht belastet. Stattdessen ordnet es Erkennungen den Hosts zu, die angegriffen werden, und bewertet und priorisiert die Bedrohungen, die das höchste Risiko darstellen - automatisch und in Echtzeit. Dies gibt den Sicherheitsteams die Geschwindigkeit und Effizienz, die sie benötigen, um Datenverluste zu verhindern oder einzudämmen.