Los sistemas de detección y prevención de intrusiones (IDPS) están diseñados para detectar amenazas basándose en reglas y firmas. Se trata de una solución probada y comprobada que suele verse en el software antivirus y los cortafuegos de nueva generación. En teoría, es una forma estupenda de detectar un ataque conocido utilizando la firma adecuada que presenta. Sin embargo, la realidad a menudo supera a la teoría; los atacantes son listos y las redes ruidosas, así que resulta que no hay dos ataques completamente iguales.
Para contrarrestar esto, los vendedores que crean las firmas tienen que ser un poco más relajados a la hora de depurar lo que buscan. Parece una buena solución, pequeñas variaciones en un ataque que antes pasaban desapercibidas ahora se vuelven a detectar. El problema es que ahora empiezas a tener un montón de falsos positivos. No es raro que un centro de operaciones de seguridad (SOC) moderno que aprovecha las detecciones basadas en firmas reciba diez mil alertas, a veces incluso más en sólo 24 horas, lo que hace que su solución sea inútil.
El 79% de los equipos de seguridad declararon que "estaban desbordados por el volumen".
- Resumen informativo de Enterprise Management Associates
Para contrarrestarlo, los analistas de los SOC suelen verse obligados a configurar los sistemas IDPS para que sólo supervisen el tráfico que se dirige a los activos de alto valor, como las bases de datos y los servidores de producción. También es habitual ser muy selectivo a la hora de habilitar reglas de firmas en su IDPS, a menudo eliminando las reglas más antiguas y ruidosas, y ajustando los umbrales de alerta para reducir el volumen de alertas. Desgraciadamente, desactivar la supervisión de la seguridad significa que está prácticamente garantizado que no se producirá un ataque.
Un enfoque exitoso y más moderno es alejarse de su IDPS heredado y sustituirlo por una solución de detección y respuesta de red (NDR). La NDR ofrece información sobre amenazas combinada con datos contextuales enriquecidos, como comportamientos de usuarios host en la red, privilegios de usuarios y dispositivos, y conocimiento de comportamientos maliciosos. Todo ello potenciado por reglas de aprendizaje automático desarrolladas por la investigación en seguridad y la ciencia de datos que identifican los ataques que son amenazas reales, al tiempo que eliminan el ruido. En última instancia, le da la tranquilidad de que está detectando y deteniendo tanto los ataques conocidos como los completamente desconocidos para todo su despliegue.
Elimine el ruido de IDPS para empezar a detectar y detener amenazas de nuevo con NDR. Libere a sus analistas para que se centren en su verdadero trabajo en lugar de ajustar las firmas. La plataforma Cognito de Vectra está al 100% al servicio de la detección y respuesta a los ataques dentro de cloud, el centro de datos, el IoT y la empresa. Nuestro trabajo es encontrar esos ataques pronto y con certeza.
Todo empieza por disponer de los datos necesarios. No se trata del volumen de datos. Se trata de recopilar datos de diversas fuentes relevantes y enriquecerlos con información sobre seguridad y contexto para resolver los casos de uso de los clientes.
Los comportamientos de ataque varían, por lo que creamos continuamente modelos algorítmicos únicos para la más amplia gama de escenarios de amenazas nuevas y actuales. Con un rendimiento muy superior a las capacidades humanas, Vectra le proporciona una clara ventaja sobre sus adversarios al detectar, agrupar, priorizar y anticipar los ataques.
Al pensar y reducir la carga de trabajo de las operaciones de seguridad, dedicará más tiempo a la caza de amenazas y a la investigación de incidentes. Si está listo para cambiar su enfoque de la supervisión y protección de su entorno, póngase en contacto con nosotros para ver una demostración.