Martedì 27 giugno 2023, Forrester ha pubblicato il primo Forrester Wave su Network Analysis and Visibility (NAV). Si tratta del secondo tentativo di Forrester di valutare il panorama dei fornitori NAV, poiché il NAV Wave iniziale era stato cancellato a causa del turnover degli analisti e della conseguente mancanza di competenze. Sulla base della nostra valutazione della ricerca, continua a mancare la competenza nel rilevamento delle minacce moderne.
Forrester rimane ancorato a una mentalità orientata al fornitore, definita da rigidi requisiti tecnologici basati su un affascinante mix di idealismo Zero Trust e comprensione della tecnologia legacy, completamente scollegata dai clienti e dal mercato in generale. In nessuna parte della valutazione Forrester prende in considerazione la definizione dei clienti di rilevamento e risposta alle minacce moderne che abbraccia rete, identità e cloud.
Il difetto più evidente è il fatto che la metodologia di Forrester attribuisce maggiore importanza alla decrittografia integrata rispetto a qualsiasi altro criterio, ignorando completamente qualsiasi aspetto rilevante dell'uso di ML/AI o dell'effettiva copertura delle minacce. Il risultato è che un IDS basato esclusivamente su firme con decrittografia supererebbe in modo significativo il sistema AI più avanzato senza decrittografia integrata. (Forse NAV sta in realtà per Network Anti-Virus?)
Il NAV è un ragionamento errato e la metodologia errata di Forrester Wave nel definire il rilevamento delle minacce moderne e valutare le offerte tecnologiche può indurre i clienti in un grave errore. Ad esempio, quando sono state sollevate inesattezze fattuali nella loro valutazione, Forrester ha limitato i fornitori a 5 obiezioni e qualsiasi dichiarazione errata dei fornitori oltre le 5 non sarebbe stata discussa né corretta dall'analista. Incoraggiamo vivamente qualsiasi potenziale acquirente a testare i fornitori utilizzando un red team (più è avanzato, meglio è) per vedere con i propri occhi ciò che conta davvero.
Potremmo elencare numerosi difetti nella loro metodologia, ma ci concentreremo sui tre più evidenti quando si tratta di rilevamento delle minacce moderne:
- Difetto n. 1: Forrester ritiene che tutto il traffico all'interno delle aziende sia crittografato.
- Difetto n. 2: Forrester sostiene che NAV debba decriptare per individuare le minacce
- Difetto n. 3: Forrester ritiene che il tempo necessario per raggiungere il livello di base sia più importante della copertura delle minacce per ML/AI.
Insieme, questi difetti comportano un pesante onere operativo per i clienti, con un valore minimo o nullo, distorcendo gravemente la caratterizzazione del panorama NAV verso tecnologie obsolete.
Difetto n. 1: Forrester ritiene che tutto il traffico all'interno delle aziende sia crittografato.
La forte attenzione di Forrester alla decrittografia si basa sulla convinzione che tutte le aziende stiano già crittografando o presto crittograferanno tutto il traffico per Zero Trust .
Questo semplicemente non è vero. Vectra AI monitorato per anni i tassi di crittografia nella nostra base installata, che comprende alcune delle aziende più attente alla sicurezza al mondo. Solo l'1% dei protocolli in cui è richiesta la visibilità del payload per rilevare le moderne tecniche di minaccia (DCERPC, Kerberos, SMB e DNS) è crittografato e questa percentuale non è in aumento. Sì, l'1%! Anche l'adozione di SMBv3 non ha cambiato significativamente questa situazione.
Perché? I clienti stanno valutando i vantaggi e gli svantaggi dell'utilizzo della crittografia sul traffico interno e scelgono di non crittografare. Si tratta di scelte ragionate. La gestione della decrittografia è difficile, anche con funzionalità integrate. Significa caricare ogni chiave da ogni server interno su cui si desidera decrittografare il traffico e quindi aggiornare ogni volta che una chiave viene sostituita.
Come ha affermato uno dei nostri clienti aziendali intervistati da Forrester, "La realtà è che cercare di decriptare ogni protocollo e comunicazione in un'azienda moderna è, nella migliore delle ipotesi, ingenuo". Un altro, anch'egli intervistato da Forrester, ha affermato che, anche con funzionalità integrate, la decrittazione "non vale il tempo, lo sforzo e i costi aggiuntivi".
Sembra che Zero Trust sia più importante per Forrester rispetto al punto di vista del cliente.
Difetto n. 2: Forrester sostiene che NAV debba decriptare per individuare le minacce
Quindi, i protocolli ad alto valore non sono crittografati. Ciò che viene crittografato è il traffico web, sia interno (circa il 60%) che esterno (oltre il 90%). Forrester sostiene che sia fondamentale decrittografarlo per rilevare le minacce. Ancora una volta, è completamente sbagliato.
La moderna tecnologia di rilevamento delle minacce funziona comprendendo i metodi di attacco e il movimento dei dati utilizzando una combinazione di ML/AI ed euristica potenziata da informazioni sulle minacce. La decrittografia non è né necessaria né utile in questo caso. Anche se il traffico viene decrittografato, il payload dell'autore dell'attacco rimane crittografato in modo tale da non poter essere decrittografato dall'azienda.
L'unica cosa che si ottiene dalla decrittografia è la possibilità di eseguire le firme IDS. Ciò comporta un costo operativo elevato. A causa del TLS 1.3 con PFS, la decrittografia passiva richiede che ogni singolo sistema esegua un agente per inoltrare le chiavi di sessione. Ancora un altro agente e i grattacapi che ne derivano solo per eseguire alcune firme IDS!
Questo è il motivo per cui i clienti eseguono la decrittografia del traffico in uscita presso il SASE/proxy per l'ispezione dei contenuti e l'applicazione delle policy e del traffico DMZ in entrata in un NGFW in linea per la copertura IDPS degli exploit noti. NAV integra queste funzionalità fornendo il rilevamento comportamentale e le informazioni sulle minacce per individuare minacce moderne e sconosciute.
Vectra AI rileva con precisione gli attacchi nel traffico crittografato, inclusi C2, exfil, data staging, brute force, scansioni/sweep, uso sospetto dei protocolli di amministrazione, ecc. Altrimenti i nostri clienti non otterrebbero i risultati di valore che ottengono, né noi potremmo godere dei risultati commerciali che otteniamo. Come dice uno dei nostri clienti, "Non c'è bisogno di guardare dentro per sapere che l'auto sta guidando in modo irregolare".
Difetto n. 3: Forrester ritiene che il tempo necessario per raggiungere il livello di base sia più importante della copertura delle minacce per ML/AI.
L'ossessione di Forrester per la decrittografia al servizio dello Zero Trust distoglie Zero Trust l'attenzione dalla realtà di ciò che è più importante in questo mercato: ottenere un segnale chiaro delle minacce che il SOC possa comprendere con un rapido time-to-value e bassi costi operativi. Sebbene ci siano molte chiacchiere di marketing intorno al ML e all'AI che possono far girare la testa, nessuna persona sana di mente crede che un moderno sistema di rilevamento delle minacce possa essere costruito solo con le firme. Un ottimo ML/AI è indispensabile per stare al passo con i metodi di attacco in continua evoluzione ed emergenti.
Per quanto riguarda il ML/AI, Forrester lo valuta esclusivamente in base al tempo necessario per raggiungere il baseline. Un baseline più breve equivale a un punteggio più alto. Ancora una volta, questo è un modo completamente errato e fuorviante di valutare ML/AI. Si consideri l'uso di account amministrativi e di servizio, che sono fondamentali per la maggior parte degli attacchi moderni. Questi devono essere appresi su un orizzonte temporale di almeno 30 giorni per ottenere baseline accurate, data la natura del lavoro amministrativo. Se si riesce a ricordare solo un paio di giorni, solitamente a causa delle limitazioni del sistema, il risultato sarà rumore e fastidio per gli utenti.
Nel frattempo, la metodologia Forrester non tiene assolutamente conto dell'efficacia dei modelli AI/ML nel coprire i vari metodi alla base degli attacchi moderni. Letteralmente, nella loro metodologia non c'è una sola domanda o criterio di valutazione relativo al rilevamento degli attacchi AI/ML. Incredibile! Se si parla con un acquirente o un utente, questo è ciò che interessa loro in primo luogo. Vectra AI 35 brevetti in questo settore, il maggior numero di brevetti citati nelle MITRE D3FEND , più di Crowdstrike, Microsoft e tutti gli altri fornitori di questo Wave messi insieme.
Il nostro consiglio: Red Team Vectra AI.
Non fidatevi solo della nostra parola, e non fidatevi nemmeno di quella di Forrester. Il vero banco di prova dell'efficacia dei moderni sistemi di rilevamento delle minacce è il Red Team dei fornitori, e questo prodotto Forrester NAV "strong performer" sfiderà qualsiasi "leader" per dimostrare la nostra tesi.
Per scoprire perché 4 clienti su 5 scelgono Vectra AI alla concorrenza (compresi quelli citati in The Forrester Wave), visita vectra.ai/platform.