IDSは何十年も前から存在し、長い間ネットワーク・セキュリティの要となってきた。しかし、長年の間にIDSは徐々にIPSに吸収され、IDSは単にIPSの導入オプションとして考えられるようになった。
しかし、IPSに関連するIDSのこの従属的な役割は、微妙だが重要な妥協をもたらす。IPSはネットワーク・トラフィックとインラインで展開されるため、パフォーマンスへの懸念が最優先される。防御はビジネスのスピードや流れを遅らせることはできないため、検知はほぼ瞬時に行われなければならない。
ミリ秒以内に脅威をブロックする必要性から、IDS/IPSは検知にシグネチャを使用することになる。シグネチャは多種多様な脅威を検知することができるが、既知の脅威の高速パターン・マッチングに依存している。
このようなスナップショット的な検知アプローチは、現代のサイバー攻撃の忍耐強く多段階的な性質を検知するのには適していない。歩調を合わせるために、業界は何よりもまず検知を優先する侵入検知への新しいアプローチを必要としている。
今こそ検知を最優先する時だ
IDSとIPSにはそれぞれ正当な位置づけがあるが、もはや同じものを単に導入するという選択肢ではない。今日の執拗な攻撃は、脅威インテリジェンスとエンフォースメントを分離し、それぞれの目的に合わせて最適化する必要があることを示している。
IDS は、検知 アクティブなネットワーク侵入に新しい戦略とテクニックを使用する必要があります。マルウェアやエクスプロイトが使用されていなくても、IDSが脅威を検知 。
そのためには、境界の防御を越えて、攻撃者が潜む内部ネットワークを可視化する必要がある。現代のIDSはまた、数時間、数日、数週間にわたって展開される攻撃の進行を検知 。
署名ではなく行動に焦点を当てる
今日の脅威の状況では、侵入検知はシグネチャを捨て、悪意のある攻撃行動を特定することに集中しなければならない。シグネチャを回避するために常に戦術を変えているにもかかわらず、攻撃者はネットワーク内部でスパイ、拡散、窃盗を行う際に特定のアクションを実行しなければならない。
悪意のある行動に特有の特徴に集中することで、セキュリティチームは、ツール、マルウェア、攻撃がまったく未知のものであっても、ネットワーク侵入を確実に特定することができる。
しかし、このレベルの検知には、高度な攻撃行動を深く理解した次世代IDSが必要だ。
IDSの最新化
Vectra は侵入検知のあり方を変える。データサイエンス、機械学習、行動分析の革新的な組み合わせを使用して、ネットワーク内部のアクティブな脅威を検知します。
Vectra は、アプリケーション、オペレーティング・システム、デバイスに関係なく、またトラフィックが暗号化されている場合でも、攻撃者が成功するために実行しなければならない主要なアクションを明らかにします。
機械学習は、脅威の振る舞いを通常のトラフィックと区別し、ネットワーク全体およびローカルのコンテキストを提供します。これにより、長期間にわたって観察された場合にのみ明らかになる脅威など、隠れた脅威の検知が可能になります。
Vectra は悪意のあるペイロードの代わりに悪意のあるアクションを検知するため、トラフィックを解読することなくアクティブな脅威を特定することができます。つまり、攻撃者はSSL暗号化されたWebセッションや隠れたトンネルを使用して、感染したホストと秘密裏に通信することができなくなります。
従来のIDSが最初の侵害を検知することに固執していたのに対し、Vectra は、サイバー攻撃のキルチェーンのあらゆる段階(コマンド&コントロール、内部偵察、横移動、データ流出)で能動的な脅威を検知する。
最も重要なことは、Vectra 、過重労働のセキュリティチームに負担をかけないことです。その代わりに、検知された脅威を攻撃を受けているホストにマッピングし、最も高いリスクをもたらす脅威を自動的かつリアルタイムにスコア化し、優先順位付けします。これにより、セキュリティチームは、データ損失を防止または軽減するために必要なスピードと効率を得ることができます。