今月初め、ガートナーのリサーチャーであるクレイグ・ローソンとジョン・ワッツ (ID: G00385800)*が執筆した「侵入検知防御システム (IDPS) のガートナー・マーケット・ガイド」が発表された。このガイドでは、バイヤーがIDPSソリューションに求めるべき要件の市場定義と方向性、および今日のIDPSを牽引する主要なユースケースについて説明している。
このレポートで注目すべきは、将来のIDPSソリューションやネットワーク・セキュリティ全般について考える際に考慮すべき要件の種類を示す、比較的新しいシナリオである。
以下のセクションでは、報告書からの注目すべき洞察を要約する。
業務効率の問題
ガートナー社によれば、「検知モードでは、顧客は、このテクノロジーが、たとえ関心のあるイベントがあったとしても、膨大な数のアラートにかき消されてしまうアラートを生成する、単なる『イベント・キャノン』になってしまうことに、正当な懸念を抱いている。」
多くの組織は、多数のアラートをロールアップして、関連する一連の活動を説明する単一のインシデントまたはキャンペーンを作成することに優れたソリューションを求めている。これは、アナリストが断片化されたアラートを選別するよりもはるかに有利です。セキュリティチームは、人工知能や機械学習が、検知そのものと同じくらい価値のある利用法であることに気づくことが多い。
ネットワーク内部を可視化する必要がある。
レポートでは、「これらのワークフローをサポートするための自然な進化は、スタンドアロンIDPSの可視性を、これらの侵害の証拠が発見される環境にさらに拡大することである。つまり、ネットワーク内部(通常はデータセンター内部)にIDPSセンサーを追加配備することです。
多くの企業は、ネットワーク IDS のユースケースや東西トラフィックの検査に、高度な分析と行動モデルを使用するソリューションを求めています。これらのソリューションは、ネットワーク内部でのコマンド&コントロール、偵察、 横移動、データ流出などの攻撃者の行動を示す指標を提供することで、従来の制御をバイパスした脅威を検知する能力を提供します。
クラウドの可視化を実現
さらにガートナーは、「既存のクラウドプロバイダーがこの領域で十分なカバレッジを提供し、従来のファイアウォールに取って代わっているため、IDPSベンダーは、企業ネットワークのファイアウォール・ソリューションよりもパブリッククラウド (IaaS)環境に、より効果的に導入している。IDPSベンダーは現在、ネイティブに、あるいはGigamonやZentaraのようなパケット・ブローカーとの統合により、より俊敏なコンピュート・アーキテクチャに、より効果的に導入できるようになっています。
企業が価値の高いデータとサービスをクラウドに移行する際、ビジネスを停止させかねないサイバー・リスクを軽減することが不可欠です。コンピュート・インスタンスとストレージ・インスタンス間の接続には、可視性のギャップが存在する可能性がある。
サイバー攻撃者はこの可視性のギャップを認識している。SANS Instituteの最近の調査によると、この1年だけでも5社に1社の企業が、クラウド環境に深刻な不正アクセスを受け、さらに多くの企業が無意識のうちに侵入されていた。Enterprise Strategy Group (ESG) の最近の調査によると、10社中4社近くの企業が、新しいアプリケーションを展開するためにクラウドファーストアプローチに移行する予定であるため、この傾向はさらに顕著になるでしょう。
その結果、多くのセキュリティチームは、クラウドに拡大するネットワークのフットプリントを可視化できる配備を探している。
詳細については、 Vectra までご連絡いただき、IDPS の要件についてご相談いただくか、IDPS の導入に際して考慮すべき要件の詳細について、無料のレポートをお読みください。