なぜIDPSは、検知 モダンな攻撃に対する能力を欠いているのか?

2020年8月18日
マーカス・ハートウィグ
プロダクト・マーケティング・ディレクター
なぜIDPSは、検知 モダンな攻撃に対する能力を欠いているのか?

前回のブログでは、侵入検知防御システム (IDPS) が誤検知アラートでセキュリティ・オペレーション・チームを圧倒し、最終的に攻撃を見逃してしまうことで、いかにアラート疲労を引き起こすかについてお話しました。今回のブログでは、IDPSが、いわゆる横方向の動き、東西方向のトラフィック、簡単に言えば、攻撃者がデプロイメント内部を動き回ること、検知 。

ファイアウォールで保護されたホストやサーバーの周囲に固定された境界という概念は過去のものだ。今や誰もが、クラウド環境に展開されたワークロードにアクセスしている。トラフィックが境界の内側にあるか外側にあるかという考え方はなくなりました。企業のファイアウォールを通過するトラフィックだけに注目することで、IDPSソリューションは急速に時代遅れになりつつある。このトラフィックは現在、最新の導入環境におけるすべての通信のほんの一部にすぎません。オープンフィールドの真ん中に鉄筋のドアを1枚設置するようなものだ。

しかし、横の動きを検知することは、検知とレスポンス 戦略の重要な部分であることに変わりはない。悪質なアクターは、攻撃において1つのシステムだけを標的にすることはめったにありません。その代わりに、低プリビレッジのホストやアカウントを侵害し、盗むべき資産を求めてネットワーク上を横方向に移動することで、陸続きのアプローチを追求します。

検知 IDPS は主にシグネチャに依存し、脆弱なシステムやアプリケーションを狙うエクスプロイトやマルウェア 。通常、IDPS はパケット・レベル検査を行い、パケットのハッシュと悪意のあるパケットのハッシュを比較する。IDPSは、パケットのハッシュと悪意のあるパケットのハッシュを比較し、一致すればアラートを発し、設定によってはブロックする。シグネチャにはその用途があるが、攻撃はマルウェアからアカウント・ベースの攻撃へと大きくシフトしている。

実際、Verizon Business 2020 Data Breach Investigations Reportによると、「我々のデータによると、この種のマルウェアは2016年の侵害全体の50%弱をピークに、その後は当時の6分の1(6.5%)にまで減少しています。このタイプのマルウェアが減少するにつれ、他のタイプの脅威も増加しています。時間が経つにつれて、攻撃者はますます効率的になり、フィッシングや認証情報の窃取といった攻撃に傾倒しているようです。シグネチャベースのアプローチでは、クレデンシャルの盗用や悪用を伴う攻撃を完全に検知することはできません。

逆に、Vectra CognitoPlatformは、ネットワーク上のホスト・ユーザーの行動、ユーザーやデバイスの権限、悪意のある行動に関する知識などの豊富なコンテキスト・データと脅威情報を組み合わせています。セキュリティリサーチャーやデータサイエンティストによって開発された機械学習アルゴリズムを搭載し、Vectra 、ノイズを排除しながら、真の脅威である攻撃を特定します。これにより、クラウド、データセンター、IoT、および企業ネットワークにおける既知および未知の攻撃を検知し、阻止しているという信頼が得られます。Vectra は、攻撃者の検知とレスポンスに100%奉仕しており、私たちの仕事は、攻撃者を早期に確実に発見することです。

それを実現するためのデータを持つことから始まる。これはデータ量の問題ではない。関連するさまざまなソースから入念にデータを収集し、顧客のユースケースを解決するために、セキュリティに関する洞察とコンテキストを充実させることです。攻撃行動はさまざまであるため、Vectra 、新しい脅威シナリオや最新の脅威シナリオに対応する独自のアルゴリズムモデルを継続的に作成しています。人間の能力をはるかに超えるパフォーマンスを発揮するVectra は、攻撃を検知、クラスタリング、優先順位付け、予測することで、敵に対して明確な優位性を提供します。思考を行い、セキュリティ運用の作業負荷を軽減することで、脅威の発見やインシデントの調査に多くの時間を費やし、IDPSシグネチャのチューニングに費やす時間を減らすことができます。

環境の監視と保護に対するアプローチを変更する準備が整いましたら、デモをご覧になるために当社までご連絡ください。

よくあるご質問(FAQ)