A principios de este mes se publicó la Guía de mercado de Gartner para sistemas de detección y prevención de intrusiones (IDPS), escrita por los investigadores de Gartner Craig Lawson y John Watts (ID: G00385800)*. La guía describe la definición del mercado y la dirección de los requisitos que los compradores deben buscar en su solución IDPS, así como los principales casos de uso que impulsan los IDPS en la actualidad.
En este informe destacan escenarios relativamente nuevos que hablan del tipo de requisitos que deben tenerse en cuenta a la hora de pensar en futuras soluciones IDPS, así como para la seguridad de la red en general.
En las siguientes secciones se resumen los puntos más destacados del informe.
La eficiencia operativa es importante
Según Gartner, "para el modo de detección, los clientes tienen preocupaciones justificadas sobre cómo esta tecnología no es más que otro "canon de eventos" que genera alertas que, incluso si hay eventos de interés, quedan ahogadas por lo que puede ser la gran cantidad de alertas."
Muchas organizaciones buscan soluciones que destaquen en la agrupación de numerosas alertas para crear un único incidente o campaña que describa una cadena de actividades relacionadas. Esto es mucho más ventajoso que rebuscar entre alertas aisladas que un analista tiene que recomponer. Los equipos de seguridad a menudo encuentran que este es un uso tan valioso de la inteligencia artificial y el aprendizaje automático como las propias detecciones.
Debe darle visibilidad del interior de la red
Según el informe, "la evolución natural para apoyar estos flujos de trabajo es ampliar la visibilidad del IDPS autónomo más allá del entorno donde se pueden encontrar pruebas de estas brechas. Eso significa desplegar sensores IDPS adicionales dentro de la red (y normalmente dentro del centro de datos)".
Muchas organizaciones buscan soluciones que utilicen análisis avanzados y modelos de comportamiento para los casos de uso de IDS de red y para inspeccionar el tráfico este-oeste. Estas soluciones ofrecen la posibilidad de detectar amenazas que han eludido los controles tradicionales proporcionando indicadores de comportamientos de los atacantes como el mando y control, el reconocimiento, el movimiento lateral y la exfiltración de datos dentro de la red.
Debe darle visibilidad en la cloud
Además, Gartner afirma que "los proveedores de IDPS se están desplegando con mayor eficacia en entornos de cloud pública (IaaS) que las soluciones de cortafuegos de red empresarial, ya que los proveedores de cloud tradicionales están proporcionando una cobertura adecuada en este espacio, suplantando a los cortafuegos tradicionales. Los proveedores de IDPS pueden ahora desplegarse con mayor eficacia en estas arquitecturas informáticas más ágiles, ya sea de forma nativa o mediante la integración con intermediarios de paquetes como Gigamon y Zentara."
A medida que las empresas trasladan sus datos y servicios de alto valor a cloud, es imperativo reducir los riesgos cibernéticos que pueden hacer caer los negocios. Pueden existir lagunas de visibilidad en las conexiones entre instancias informáticas y de almacenamiento.
Los ciberatacantes son conscientes de esta falta de visibilidad. Según un estudio reciente del SANS Institute, sólo el año pasado una de cada cinco empresas sufrió graves accesos no autorizados a sus entornos cloud , y muchas más sufrieron ataques sin saberlo. Esta situación se acentuará a medida que casi cuatro de cada diez organizaciones tengan previsto adoptar un enfoque cloud para implantar nuevas aplicaciones, según un estudio reciente de Enterprise Strategy Group (ESG).
Como resultado, muchos equipos de seguridad están buscando implantaciones que puedan darles visibilidad de la huella ampliada de su red a medida que se expande hacia la cloud.
Para obtener más información, póngase en contacto con Vectra para un debate consultivo sobre sus requisitos de IDPS o lea una copia gratuita del informe para obtener más detalles sobre los requisitos que debe tener en cuenta en su implementación de IDPS.