IDS existe desde hace décadas y ha sido durante mucho tiempo una piedra angular de la seguridad de la red. Pero con el paso de los años, los IPS han ido absorbiendo gradualmente a los IDS, que han pasado a considerarse simplemente una opción de despliegue de los IPS.
Sin embargo, este papel subordinado del IDS en relación con el IPS introduce un compromiso sutil pero importante: la detección pasa a un segundo plano frente a la prevención. Dado que el IPS se despliega en línea con el tráfico de la red, la preocupación por el rendimiento es primordial. La prevención no puede ralentizar la velocidad o el flujo del negocio, y eso significa que las detecciones deben ser casi instantáneas.
La necesidad de bloquear las amenazas en milisegundos obliga a los IDS/IPS a utilizar firmas para las detecciones. Aunque las firmas pueden detectar una gran variedad de amenazas, se basan en la rápida coincidencia de patrones de amenazas conocidas.
Este enfoque instantáneo de la detección no es adecuado para detectar la naturaleza paciente y multifásica de los ciberataques modernos. Para mantener el ritmo, el sector necesita un nuevo enfoque de la detección de intrusiones que dé prioridad a la detección.
Es hora de dar prioridad a la detección
Los IDS y los IPS ocupan el lugar que les corresponde, pero ya no son simplemente opciones de despliegue de lo mismo. Los ataques persistentes de hoy en día dictan que la inteligencia de amenazas y la aplicación de la ley deben estar separadas y optimizadas para sus respectivos propósitos.
Los IDS deben utilizar nuevas estrategias y técnicas para detectar intrusiones activas en la red. Es crucial que los IDS detecten amenazas aunque no se utilicen malware o exploits.
Esto requiere tener visibilidad más allá de las defensas perimetrales y dentro de la red interna donde se esconden los atacantes. Un IDS moderno también debe detectar la progresión de un ataque a medida que se desarrolla a lo largo de horas, días y semanas.
Centrarse en el comportamiento, no en las firmas
En el panorama actual de las amenazas, la detección de intrusiones debe dejar de lado las firmas y centrarse en la identificación de comportamientos de ataque maliciosos. A pesar de cambiar siempre de táctica para evitar las firmas, los atacantes deben realizar ciertas acciones cuando espían, propagan y roban dentro de una red.
Al concentrarse en las características únicas de los comportamientos maliciosos, los equipos de seguridad pueden identificar con fiabilidad las intrusiones en la red, incluso si las herramientas, el malware y el ataque son completamente desconocidos.
Pero este nivel de detección requiere un IDS de nueva generación con un profundo conocimiento de los comportamientos de ataque sofisticados.
La modernización de IDS
Vectra está cambiando la forma de detectar intrusiones. Utiliza una combinación innovadora de ciencia de datos, aprendizaje automático y análisis del comportamiento para detectar amenazas activas dentro de la red.
Los modelos algorítmicos revelan comportamientos de ataque subyacentes que no pueden verse en los registros o flujos de tráfico. Vectra revela las acciones clave que los atacantes deben realizar para tener éxito, independientemente de las aplicaciones, sistemas operativos y dispositivos, e incluso cuando el tráfico está cifrado.
El aprendizaje automático distingue los comportamientos de amenaza del tráfico normal y ofrece un contexto local y de toda la red. Esto permite detectar amenazas ocultas, incluidas las que solo pueden revelarse cuando se observan durante largos periodos de tiempo.
Dado que Vectra detecta acciones maliciosas en lugar de cargas útiles maliciosas, puede identificar amenazas activas sin descifrar el tráfico. Esto significa que los atacantes ya no pueden comunicarse de forma encubierta con los hosts infectados mediante sesiones web cifradas con SSL o túneles ocultos.
Mientras que los IDS tradicionales se centran en detectar un ataque inicial, Vectra detecta amenazas activas en cada fase de la cadena de ataque cibernético: mando y control, reconocimiento interno, movimiento lateral y filtración de datos.
Y lo que es más importante, Vectra no sobrecarga de trabajo a los equipos de seguridad. En su lugar, asigna las detecciones a los hosts que están siendo atacados y puntúa y prioriza las amenazas que suponen un mayor riesgo, de forma automática y en tiempo real. Esto proporciona a los equipos de seguridad la velocidad y eficacia que necesitan para prevenir o mitigar la pérdida de datos.