Martedì 27 giugno 2023, Forrester ha pubblicato la prima Forrester Wave su Network Analysis and Visibility (NAV). Si tratta del secondo tentativo di Forrester di valutare il panorama dei fornitori NAV, poiché il NAV Wave iniziale è stato annullato a causa del turnover degli analisti e della conseguente mancanza di competenze. In base alla nostra valutazione della ricerca, le competenze in materia di rilevamento delle minacce moderne continuano a mancare.
Forrester rimane bloccato in una mentalità guidata dai fornitori, definita da rigidi requisiti tecnologici basati su un'affascinante miscela di idealismo da torre d'avorio Zero Trust e comprensione della tecnologia legacy, completamente scollegata dai clienti e dal mercato in generale. In nessun punto della valutazione Forrester prende in considerazione la definizione di rilevamento e risposta alle minacce moderne da parte dei clienti, che comprende rete, identità e cloud.
Il difetto più evidente è che la metodologia di Forrester attribuisce un peso maggiore alla decrittazione integrata rispetto a qualsiasi altro criterio, ignorando completamente qualsiasi aspetto rilevante dell'uso di ML/AI o della copertura effettiva delle minacce. Il risultato è che un IDS basato sulla firma pura con decodifica supererebbe in modo significativo il sistema AI più avanzato senza decodifica integrata. (Forse NAV è l'acronimo di Network Anti-Virus).
NAV è un pensiero errato e la metodologia errata di Forrester Wave nel definire il rilevamento delle minacce moderne e nel valutare le offerte tecnologiche, ha il potenziale di portare i clienti fuori strada. Per esempio, nel sollevare imprecisioni di fatto nella loro valutazione, Forrester ha limitato i fornitori a 5 obiezioni, e qualsiasi dichiarazione errata del fornitore oltre le 5 non sarebbe stata discussa, né corretta dall'analista. Incoraggiamo caldamente ogni potenziale acquirente a testare i fornitori utilizzando un red team - più è avanzato, meglio è - per capire da soli cosa conta davvero.
Potremmo elencare numerosi difetti nella loro metodologia, ma ci concentreremo sui tre più evidenti quando si tratta di rilevamento di minacce moderne:
- Difetto n. 1: Forrester ritiene che tutto il traffico all'interno delle aziende sia crittografato
- Difetto n. 2: Forrester sostiene che NAV debba essere decriptato per trovare le minacce.
- Difetto n. 3: Forrester ritiene che il time-to-baseline sia più importante della copertura delle minacce per il ML/AI
Insieme, questi difetti comportano un pesante onere operativo per i clienti a fronte di un valore scarso o nullo, mentre la caratterizzazione del panorama NAV è fortemente orientata verso la tecnologia legacy.
Difetto n. 1: Forrester ritiene che tutto il traffico all'interno delle aziende sia crittografato
L'attenzione di Forrester per la decodifica si basa sull'idea che tutte le aziende stiano o presto crittografando tutto il traffico per l'allineamento Zero Trust .
Questo non è vero. Vectra AI ha monitorato per anni i tassi di crittografia della nostra base installata, che comprende alcune delle aziende più attente alla sicurezza del mondo. Solo l'1% dei protocolli per i quali è necessaria la visibilità del payload per rilevare le moderne tecniche di minaccia (DCERPC, Kerberos, SMB e DNS) è crittografato e la percentuale non è in aumento. Sì, l'1%! Anche l'adozione di SMBv3 non ha cambiato significativamente la situazione.
Perché? I clienti soppesano i vantaggi e gli svantaggi dell'uso della crittografia sul traffico interno e scelgono di non crittografare. Si tratta di scelte ragionate. La gestione della decrittografia è difficile, anche con le funzionalità integrate. Significa caricare ogni chiave da ogni server interno verso il quale si vuole decrittografare il traffico, e poi aggiornare ogni volta che una chiave ruota.
Come ha affermato uno dei nostri clienti aziendali intervistati da Forrester, "la realtà è che cercare di decifrare ogni protocollo e comunicazione in un'azienda moderna è a dir poco ingenuo". Un altro, sempre intervistato da Forrester, ha affermato che, anche con le funzionalità integrate, la decodifica "non vale il tempo, l'impegno e i costi aggiuntivi".
Sembra che per Forrester il dogma Zero Trust sia più importante della prospettiva del cliente.
Difetto n. 2: Forrester sostiene che NAV debba essere decriptato per trovare le minacce.
Quindi, i protocolli ad alto valore non sono criptati. Ciò che viene crittografato è il traffico web, sia interno (circa il 60%) che esterno (oltre il 90%). Forrester sostiene che è fondamentale decifrarlo per rilevare le minacce. Anche in questo caso, si sbaglia di grosso.
La moderna tecnologia di rilevamento delle minacce funziona comprendendo i metodi di attacco e il movimento dei dati utilizzando un mix di ML/AI e di euristica aumentata dalle informazioni sulle minacce. La decodifica non è necessaria e nemmeno utile. Anche se il traffico viene decifrato, il payload dell'aggressore rimane criptato in modo tale da non poter essere decifrato dall'azienda.
L'unica cosa che si ottiene per la decodifica è la possibilità di eseguire le firme IDS. Questo comporta un costo operativo elevato. A causa di TLS 1.3 con PFS, la decrittografia passiva richiede che ogni singolo sistema esegua un agente per inoltrare le chiavi di sessione. Un altro agente e i problemi che ne derivano solo per eseguire alcune firme IDS!
Per questo motivo i clienti decifrano il traffico in uscita dal SASE/proxy per l'ispezione dei contenuti e l'applicazione dei criteri e il traffico DMZ in entrata in un NGFW in linea per la copertura IDPS degli exploit noti. NAV li integra fornendo rilevamento comportamentale e informazioni sulle minacce per individuare minacce moderne e sconosciute.
Vectra AI rileva con precisione gli attacchi nel traffico crittografato, tra cui C2, exfil, data staging, brute force, scansioni/sweep, uso sospetto di protocolli di amministrazione e così via, altrimenti i nostri clienti non avrebbero i risultati di valore che hanno, né i risultati aziendali di cui godiamo come risultato. Come dice uno dei nostri clienti, "non c'è bisogno di guardare dentro per sapere che la macchina sta guidando in modo irregolare".
Difetto n. 3: Forrester ritiene che il time-to-baseline sia più importante della copertura delle minacce per il ML/AI
L'ossessione di Forrester per la decodifica al servizio di Zero Trust distrae completamente dalla realtà di ciò che è più importante in questo mercato: ottenere un chiaro segnale di minaccia che il SOC possa comprendere con un rapido time-to-value e un basso overhead operativo. Sebbene ci siano molte stronzate di marketing intorno all'ML e all'IA che possono far girare la testa, nessuna persona sana di mente crede che un moderno sistema di rilevamento delle minacce possa essere costruito solo con le firme. Per tenere il passo con i metodi di attacco emergenti e in continua evoluzione, è necessario disporre di un ottimo ML/AI.
Nella misura in cui viene preso in considerazione il ML/AI, Forrester lo valuta interamente in base al tempo necessario per la baseline. Una linea di base più breve equivale a un punteggio più alto. Anche in questo caso, si tratta di un modo completamente errato e scorretto di valutare l'ML/AI. Considerate l'uso degli account di amministrazione e di servizio, che sono il fulcro della maggior parte degli attacchi moderni. Per ottenere linee di base accurate, queste devono essere apprese su un orizzonte temporale di almeno 30 giorni, a causa della natura del lavoro degli amministratori. Se riuscite a ricordare solo un paio di giorni, di solito a causa delle limitazioni del vostro sistema, il risultato sarà un rumore e un fastidio per gli utenti.
Nel frattempo, la metodologia di Forrester non tiene assolutamente conto della capacità dei modelli AI/ML di coprire i vari metodi di attacco alla base degli attacchi moderni. Letteralmente non c'è una sola domanda o criterio di punteggio nella loro metodologia che riguardi il rilevamento degli attacchi AI/ML. Incredibile! Parlate con un acquirente o un utente e questo è l'aspetto più importante. Vectra AI ha 35 brevetti in questo settore, il maggior numero di brevetti citati nelle contromisure di MITRE D3FEND , più di Crowdstrike, Microsoft e di tutti gli altri fornitori di questa Wave messi insieme.
Il nostro consiglio: Red Team Vectra AI.
Non fidatevi della nostra parola e non fidatevi di quella di Forrester. Il vero banco di prova dell'efficacia del rilevamento delle minacce moderne è il Red Team dei fornitori, e questo "forte performer" di Forrester NAV affronterà qualsiasi "leader" per dimostrare la nostra tesi.
Per sapere perché 4 clienti su 5 scelgono Vectra AI rispetto ai concorrenti (compresi quelli citati in The Forrester Wave), visitate vectra.ai/products/ndr.