Vectra AI stellt moderne NDR-Systeme konventionellen IDS-Lösungen gegenüber

Sicherheitslösungen auf dem Prüfstand

München, den 14.06.2023 – Einige Security-Hersteller vermarkten Intrusion-Detection-Produkte (IDS) als Alternative zu modernen NDR-Plattformen (Network Detection and Response) – worin liegen die entscheidenden Unterschiede?

 

Bei Intrusion-Detection-Systemen wie Cisco Firepower, Trend Micro Deep Discovery und McAfee Network Threat Behavior Analysis handelt es sich um konventionelle Technologien, die stark auf signaturbasierte Erkennungs- und Schutzfunktionen setzen.

Signaturbasierte Erkennungen und einfache Heuristiken erkennen nur bestimmte, bereits bekannte Angriffsmuster. Die meisten heutigen Angriffe – selbst die opportunistisch motivierten – wurden zumindest minimal angepasst, um den Wünschen des Angreifers so genau wie möglich zu entsprechen. Dies hat Vectra AI in seinem Spotlight Report on Ransomware festgestellt.

Die Tage der „Spray-and-Pray“-Ansätze sind längst Geschichte. Stattdessen versuchen Angreifer mit gezielten Attacken, die Wahrscheinlichkeit des Erfolgs zu steigern. Wenn Sicherheitsverantwortliche sich zum Schutz ihres Netzwerks allein auf ein IDS verlassen, verzichten sie auf eine Verhaltenserkennung. Dies ist so, als ob sie noch eine kostenlose Testversion des Kaspersky-Virenschutzes aus den frühen 2000ern nutzen und sich wundern, wenn sie im Jahr 2023 infiziert werden.

Für ältere Sicherheitsmodelle konzipiert

 

Heute setzen immer mehr Unternehmen auf ein Zero-Trust-Modell, weil veraltete IDS-Systeme sich auf die Absicherung des lokalen Außenperimeters konzentrieren und nur den Traffic erfassen, der über die Firewall läuft. Wenn Angreifer das interne Netzwerk kompromittieren, können sie sich frei seitwärts bewegen, ohne dass das IDS dies feststellen kann. Genau genommen wird das IDS lediglich bemerken, dass die Firewall-Leistung nachlässt, da die übertragenen Pakete per Heuristik untersucht werden müssen.

Hinzu kommt, dass Unternehmen heute in der Cloud ebenso viel Traffic generieren wie im internen Netzwerk. Da sich das IDS auf den im Netzwerk eingehenden Traffic konzentriert, bleiben Angreifer, die auf kompromittierte Cloud-Service-Konten zugreifen können, vollständig unbemerkt. Die Cognito-Plattform hingegen lässt sich in allen Bereichen des Netzwerks bereitstellen, einschließlich Multi-Cloud-Umgebungen, sodass Sicherheitsanalysten einen vollständigen Überblick über alle Assets des Unternehmens erhalten – unabhängig von deren Standort. Zudem unterstützt Cognito durch Privileged Access Analytics (PAA) auch Zero-Trust-Initiativen. Mit PAA können Sicherheitsteams die Kontonutzung in ihrem Netzwerk unterbinden und interne Bedrohungsakteure identifizieren, die für ihre Angriffe kompromittierte Zugangsdaten nutzen.

Vorbereitung auf unzählige Meldungen über Anomalien

Als Anomalie basiertes Erkennungssystem ist IDS nicht in der Lage, die schwerwiegendsten Bedrohungen zu identifizieren. Sicherheitsteams werden somit mit Warnmeldungen überflutet, die jeweils eine manuelle Triage erfordern. Das bedeutet zusätzliche Arbeit für die bereits überlasteten Teams. Beim Einsatz gegen menschliche Attacken statt per Simulation ausgelöster Angriffe schneiden die Algorithmusmodelle von Cognito besser ab als einfache signatur- oder heuristikbasierte Erkennungen. Fakt ist: NDR-Plattform Cognito von Vectra AI unterstützt mehr als 97 Prozent des MITRE ATT&CK-Frameworks.

Die Erkennungsfunktionen zeigen bei einem Proof-of-Concept schnell ihre Vorteile. Gleichzeitig reduziert Cognito die Belastung durch Sicherheitsprozesse um das 38-Fache: Dies geht zurück auf die automatische Triage von Warnmeldungen zu Zwischenfällen und die Priorisierung von Host-Geräten mit den größten Risiken. Zudem extrahiert Cognito Untersuchungen und Forensik aus dem gesamten Netzwerk-Traffic sowie mit Sicherheitsdaten angereicherte Metadaten.

Bindung an einen Anbieter verhindert Nutzung der besten Lösung

 

IDS ist meist Bestandteil einer breiter aufgestellten Plattform und daher nicht eigenständig einsetzbar. Stattdessen sind zusätzliche Investitionen in Firewalls, URL-Filterung, Tools zur Anwendungsüberwachung, erweiterte Angriffserkennung etc. erforderlich. Damit alle Bestandteile integriert werden, müssen Unternehmen diese beim gleichen Anbieter erwerben.

Eine moderne NDR-Plattform integriert sich hingegen problemlos per APIs mit bestehenden Sicherheitstechnologien. Das Ökosystem aus Technologiepartnern umfasst Branchenführer für Endpoint Detection and Response, Next-Generation-Firewalls, SIEM (Security Information and Event Management), Sicherheitsorchestrierung und Netzwerkzugriffskontrolle. Die Cognito-Integrationen unterstützen erstklassige Sicherheitsstrategien und sorgen dafür, dass die im Unternehmen vorhandenen Investitionen dauerhaft Mehrwert bieten.

 

Die Zukunft von IDS

Die Cognito-Plattform bietet im Vergleich mit Next-Generation-IDS zahlreiche Vorteile. Sie erkennt aktuelle, reale Angriffe mithilfe überwachter und nicht überwachter Algorithmen für maschinelles Lernen. Die Plattform bietet vollständige Transparenz vom Unternehmensnetzwerk bis zur Cloud, nicht nur über die Daten, die über eine Firewall übertragen werden. Cognito reduziert die Belastung des Sicherheitsteams um das 38-Fache. Die Plattform führt die Triage von Angriffserkennungen durch, um priorisierte Zwischenfälle herauszustellen und die sinnvollsten Response-Maßnahmen deutlich zu beschleunigen. Zudem steht mit Cognito eine Hochleistungsplattform bereit, die sich mit anderen Sicherheitstechnologien integrieren lässt.

# # # ENDE # # #

Ãœber Vectra

Vectra® ist führend in der KI-basierte Erkennung und Abwehr von Bedrohungen in einer Hybrid Cloud Welt. Nur Vectra optimiert die KI, um Angreifermethoden konkret zu erkennen – die TTPs, die das Herzstück aller Angriffe bilden – anstatt einfach nur bei „Auffälligkeiten“ zu warnen. Das resultierende High-Fidelity-Bedrohungssignal und der klare Kontext ermöglichen es Cybersicherheitsteams, schnell auf Bedrohungen zu reagieren und zu verhindern, dass Angriffe zu schwerwiegenden Sicherheitsverletzungen werden. Die Vectra-Plattform und -Services decken Public Cloud, SaaS-Anwendungen, Identitätssysteme und Netzwerkinfrastruktur ab – sowohl On-Premises als auch Cloud-basiert. Organisationen auf der ganzen Welt verlassen sich auf die Vectra-Plattform und -Dienste, um Widerstandsfähigkeit gegenüber Ransomware, Kompromittierung der Lieferkette, Identitätsübernahmen und anderen Cyberangriffen sicherzustellen, die sich auf ihre Organisation auswirken. Zur Website von Vectra AI … https://www.vectra-ai.com/de

Pressekontakt 

tech2com UG (haftungsbeschränkt)

Philipp Haberland

0049 163 2722 363

p.haberland@tech2com.de