Un IPS - Intrusion Prevention System affidabile dovrebbe anche proteggere dal traffico di rete crittografato e dagli attacchi zero-day. Tuttavia, poiché molte soluzioni funzionano con il rilevamento basato sulle firme, in genere non sono in grado di proteggere dagli attacchi zero-day. Il nuovo rapporto di mancato recapito di ExeonTrace esegue IPS contemporaneamente.
Con ExeonTrace, la società di sicurezza svizzera Exeon Analytics offre una soluzione per il rilevamento di intrusi che va ben oltre le capacità dei tradizionali sistemi di prevenzione delle intrusioni (IPS). In particolare, ExeonTrace è in grado di rilevare anche gli attacchi zero-day, contro i quali le soluzioni IPS non possono offrire alcuna protezione a causa del loro rilevamento basato sulle firme. Sebbene tali sistemi siano adatti per il rilevamento automatico e la difesa contro attacchi noti, devono essere integrati da altre soluzioni di sicurezza per una protezione completa.
Il traffico di rete crittografato protegge anche gli aggressori
A seconda dello studio, oggi dall'80 al 90 percento del traffico di rete globale è crittografato e la tendenza è in aumento. Questa crittografia protegge la riservatezza e l'integrità dei dati aziendali sensibili. D'altra parte, l'approccio di rilevamento basato sulla firma di IPS e altre soluzioni non può essere applicato ai payload crittografati per rilevare e prevenire i tentativi di intrusione. Per superare questa limitazione, il firewall dovrebbe decrittografare tutto il traffico, il che può portare a una serie di altri problemi di sicurezza. ExeonTrace, invece, si basa sull'analisi dei metadati ed è quindi in grado di esaminare la comunicazione di rete crittografata e di rilevare i relativi attacchi.
NDR offre un quadro generale anziché singoli allarmi
Inoltre, sebbene le soluzioni IPS in genere generino avvisi individuali, non mettono in correlazione tali avvisi per creare un quadro generale del panorama delle minacce. Ciò rende difficile per i team di sicurezza distinguere una minaccia reale da falsi allarmi o giudicarli in base alla loro gravità. Questa limitazione può ridurre significativamente i tempi di risposta e dare agli aggressori un vantaggio per entrare nell'organizzazione. A differenza di IPS, ExeonTrace come soluzione NDR (Network Detection and Response) non si basa sul rilevamento di attacchi informatici basato su firme. Invece, utilizza algoritmi di apprendimento automatico per esaminare le comunicazioni di rete quasi in tempo reale.
Solo la correlazione fornisce un quadro generale
ExeonTrace crea una linea di base del comportamento di rete "normale" attraverso l'analisi continua del traffico non elaborato. In caso di deviazioni, la soluzione prima analizza e correla le anomalie e poi, se necessario, genera allarmi per segnalare una potenziale minaccia all'interno dell'ambiente di rete. Questo metodo basato sull'intelligenza artificiale consente inoltre di rilevare attacchi zero-day sconosciuti per i quali non esistono ancora firme. Ad esempio, la piattaforma ExeonTrace NDR ha un modello ML in grado di rilevare il Domain Generation Algorithm (DGA) utilizzato nell'attacco SolarWinds Sunburst del 2020. Grazie agli algoritmi ML vengono rilevati anche nuovi tipi di malware per i quali non è ancora disponibile una firma.
Altro su NextGen.Exeon.com
A proposito di Exeon
Exeon Analytics AG è una società cybertech svizzera specializzata nella protezione delle infrastrutture IT e OT attraverso l'analisi della sicurezza basata sull'intelligenza artificiale. La piattaforma Network Detection and Response (NDR) ExeonTrace offre alle aziende l'opportunità di monitorare le reti, rilevare immediatamente le minacce informatiche e quindi proteggere efficacemente il panorama IT della propria azienda, in modo rapido, affidabile e completamente basato su software.