入侵检测系统是任何企业网络安全环境的重要组成部分。IDS监视网络流量中是否存在异常活动,并在检测到此类活动时发出警报或响应。
这听起来很简单,但是必须对解决方案进行不断的微调,以区分正常的网络流量和潜在的恶意行为。随着流量和黑客的不断发展,虚假警报可能会经常发生(研究表明,许多企业现在每天通过其所有安全工具收到5,000个警报,甚至更多)。
我们认为,虽然入侵检测系统是现代安全解决方案的重要组成部分,但网络环境的复杂性和范围不断扩大,以及发明力和侵略性的黑客意味着,组织需要从其现有的网络安全工具中获得更好的性能以加速他们的事件响应能力,包括威胁识别和遏制。
让我们看一下传统安全环境的一些局限性,以及组织如何帮助提高IDS解决方案的性能和有效性。
可见度有限。从防火墙开始,大多数入侵检测系统都将重点放在外围攻击面威胁上。这可以保护您的网络的南北向流量,但是没有考虑到当今许多网络威胁在渗透到您组织的网络中并保持隐身状态时所利用的横向扩散(东西向)。我们知道这是真的,因为研究表明,只有20%的发现威胁来自南北监视。
我们的新型系统定义的安全解决方案通过监视所有方向的流量模式来弥合此网络可见性差距。
响应延迟。当检测到可疑活动时,通常会将违规情况报告给安全信息和事件管理(SIEM)系统,在该系统中,在良性流量异常或其他错误警报中最终确定实际威胁。但是,辨别威胁所需的时间越长,可以造成的损害就越大。
我们不仅通过提供整个网络中的数据来提高SIEM部署的效率,而且还通过使用NetFlow元数据减少了摄取量,并最大程度地提高了索引编制能力。可以更快地发现IDS检测到的威胁,从而将SIEM搜索从数小时减少到几分钟。
威胁遏制。如前所述,仅IDS的环境可以很好地监视南北网络流量和典型的地面威胁。但是东西向交通是由一些流动性最强的交通路径和不受监控的设备组成的。
ARIA SDS可以通过串联安装来帮助保护网络上的设备,而不是像EDR那样保护设备本身,从而使ARIA可以停止威胁对话,而无需使设备或应用程序脱机。更快的遏制意味着您可以在不使关键资产离线的情况下防止威胁的传播。
通过ARIA SDS更加完善
我们使您的工具现在可以:
通过更深入,更广泛的网络可见性来查找您缺少的威胁
为物联网,虚拟机和容器环境提供增强的安全性
创建具有明确证据和上下文的警报,以做出更快,更明智的决策
通过外科手术遏制威胁,而无需使设备脱机进行补救
自动停止关键资产上的数据泄露和泄露