IDPSが現代の攻撃を止められない理由

IDPSのセキュリティ・ギャップ

IDPS ソリューションは既知の攻撃パターンについてネットワーク・トラフィックを監視しますが、現代の攻撃者はシグネチャ・ベースの検知を回避する回避的なテクニックを使用します。いったん内部に侵入すると、攻撃者はネットワーク、クラウド・ワークロード、ID システムなど、IDPS が可視化できない領域を密かに移動します。攻撃者はこのような死角を悪用して、特権を昇格させ、ラテラルムーブし、検知されずにデータを流出させます。

攻撃者はどのようにIDPSを回避するか

1.署名回避

攻撃者はマルウェアを改変する マルウェアを改変したり、ポリモーフィック技術を使用したり、暗号化されたトラフィックを活用して検知を回避します。

2.インサイダー攻撃とクレデンシャル・ベース攻撃 

IDPS は認証されたユーザーを信頼するため、盗まれた認証情報または特権の昇格を検知 できない。

3.外周を越えたラテラルムーブメント 

IDPSはネットワーク・ペリメーターに重点を置いているが、クラウド、SaaS、IDベースの脅威に対する可視性に欠けている。

IDPSの盲点が現実にもたらすもの

Scattered Spider攻撃 (下図参照)では、侵入検知防御システム(IDPS)はほとんど効果を発揮しない。それはIDPSが壊れているからではなく、既知の攻撃シグネチャを阻止するために構築されているからだ検知

IDPSが既知の脅威を検知-現代の攻撃者は適応する

IDPSは既知の攻撃パターンを検知 するように設計されているが、新奇な、ファイルレス、クレデンシャルベースのテクニックを使用する高度な攻撃者に対しては失敗する。セキュリティ・チームは、シグネチャを越えて攻撃者の振る舞いをリアルタイムで検知 するアプローチを必要としている。

IDPSは事前に定義されたシグネチャとトラフィック分析に依存しているが、しかし：

• もし攻撃者が生きたテクニックを使ったら？IDPSは、正規のシステム・ツールを悪意を持って使用することを検知 のに苦労している。
• インサイダーがアクセス権を悪用したら？IDPS は、信頼されたユーザが安全であることを前提としており、特権の乱用を検知 しない。
• 攻撃がクラウドやアイデンティティのレイヤーを通過したら？IDPSはネットワーク・アクティビティに焦点を当てているが、SaaS、IaaS、IDの脅威に対する深い可視性が欠けている。

Vectra AI どのようにギャップをVectra AI

IDPSは既知の脅威を検出しますが、 malware 既知のシグネチャなしで活動する攻撃者を阻止することはできません。Vectra AI プラットフォームは、ネットワーク、クラウド、アイデンティティの各レイヤーにわたってリアルタイムの脅威検知を提供し、IDPSにはないセキュリティギャップを埋めます。

• ステルス攻撃を検知 AIを使用して、シグネチャベースの検知を回避する攻撃者の振る舞いを明らかにします。
• クラウドとSaaSの脅威を監視します： 従来のネットワークセキュリティを超えた可視性を提供し、ハイブリッド環境における攻撃を検知します。
• 警戒の疲労を軽減：ノイズを遮断し、信頼性の高い検知を浮上させます。

Vectra AIなら、IDPSが見逃す検知 できます——侵害に発展する前に。

Vectra AI IDPSに取って代わる方法

IDPSは既知の脅威に焦点を当てる一方、Vectra AI シグネチャベース防御を超えたアクティブな攻撃を検知します。両者の比較は以下の通りです：