IDPSが現代の攻撃を止められない理由

IDPSのセキュリティ・ギャップ

IDPS ソリューションは既知の攻撃パターンについてネットワーク・トラフィックを監視しますが、現代の攻撃者はシグネチャ・ベースの検知を回避する回避的なテクニックを使用します。いったん内部に侵入すると、攻撃者はネットワーク、クラウド・ワークロード、ID システムなど、IDPS が可視化できない領域を密かに移動します。攻撃者はこのような死角を悪用して、特権を昇格させ、横方向に移動し、検出されずにデータを流出させます。

攻撃者はどのようにIDPSを回避するか

1.署名回避

攻撃者はmalware改変したり、ポリモーフィック技術を使用したり、暗号化されたトラフィックを活用して検知を回避したりする。

2.インサイダー攻撃とクレデンシャル・ベース攻撃 

IDPS は認証されたユーザーを信頼するため、盗まれた認証情報または特権の昇格を検知 できない。

3.外周を越えた横方向の動き 

IDPSはネットワーク・ペリメーターに重点を置いているが、クラウド、SaaS、IDベースの脅威に対する可視性に欠けている。

IDPSの盲点が現実にもたらすもの

Scattered Spider攻撃 （下図参照）では、侵入検知防御システム（IDPS）はほとんど効果を発揮しない。それはIDPSが壊れているからではなく、既知の攻撃シグネチャを阻止するために構築されているからだ検知

IDPSが既知の脅威を検知-現代の攻撃者は適応する

IDPSは既知の攻撃パターンを検知 するように設計されているが、新奇な、ファイルレス、クレデンシャルベースのテクニックを使用する高度な攻撃者に対しては失敗する。セキュリティ・チームは、シグネチャを越えて攻撃者の行動をリアルタイムで検知 するアプローチを必要としている。

IDPSは事前に定義されたシグネチャとトラフィック分析に依存しているが、しかし：

• もし攻撃者が生きたテクニックを使ったら？IDPSは、正規のシステム・ツールを悪意を持って使用することを検知 のに苦労している。
• インサイダーがアクセス権を悪用したら？IDPS は、信頼されたユーザが安全であることを前提としており、特権の乱用を検知 しない。
• 攻撃がクラウドやアイデンティティのレイヤーを通過したら？IDPSはネットワーク・アクティビティに焦点を当てているが、SaaS、IaaS、IDの脅威に対する深い可視性が欠けている。

Vectra AIがギャップを埋める方法

IDPSは既知の脅威を検出しますが、 malware 既知のシグネチャなしで活動する攻撃者を阻止することはできません。Vectra AI Platformは、ネットワーク、クラウド、アイデンティティの各レイヤーにわたってリアルタイムの脅威検知を提供し、IDPSにはないセキュリティギャップを埋めます。

• ステルス攻撃を検知 AIを使用して、シグネチャベースの検知を回避する攻撃者の行動を明らかにします。
• クラウドとSaaSの脅威を監視します： 従来のネットワークセキュリティを超えた可視性を提供し、ハイブリッド環境における攻撃を検知します。
• 警戒の疲労を軽減：ノイズを遮断し、信頼性の高い検知を浮上させます。

Vectra AIを使えば、IDPSが見落としている脅威を、侵害に拡大する前に検知 ことができます。

Vectra AIがIDPSを置き換える方法

IDPSは既知の脅威に焦点を当て、Vectra AIはシグネチャベースの防御を超えたアクティブな攻撃を検出します。両者の比較は以下の通り：