Sfruttando l'intelligenza artificiale di sicurezza di Vectra. Attack Signal IntelligenceTM (ASI) per il cloud, i team SecOps possono monitorare e scoprire continuamente minacce sofisticate nei loro ambienti SaaS e cloud in tempo reale. Vectra ASI fornisce avvisi entro pochi minuti dalle azioni degli aggressori, fornendo il contesto necessario per caratterizzare l'intento e comprendere l'impatto complessivo sull'azienda, consentendo di individuare, indagare e rispondere alle minacce in modo più rapido e accurato.
Chi ha familiarità con Vectra NDR (network detection and response) conosce le sue capacità di rilevamento e risposta alle minacce leader del settore contro gli aggressori negli ambienti di rete. Con l'introduzione del motore Vectra ASI per il cloud, le capacità di rilevamento in tempo reale di Vectra NDR sono ora estese a Vectra CDRcloud rilevamento e rispostacloud ) per evidenziare i comportamenti dannosi in tempo quasi reale. Questo consente ai team SecOps di avere una visibilità senza pari sulle azioni che avvengono nell'ambiente cloud . Ma perché abbiamo creato un nuovo motore di rilevamento delle minacce per il cloud e perché avete bisogno di una soluzione di sicurezza NDR e CDR?
Gli attacchi nel cloud sono diversi da quelli nel data center
Nel cloud esiste una contorta relazione molti-a-molti tra infrastruttura, dati e connettività, con l'identità come collante. Insieme alla velocità con cui si muovono le moderne pipeline CI/CD, si presenta una superficie di attacco molto ampia, impossibile da prevenire. Sebbene gli obiettivi finali di un attaccante in ambienti cloud e tradizionali on-prem siano gli stessi, gli attacchi cloud si differenziano per i seguenti aspetti:
- Concentrarsi sulle credenziali: Al centro della maggior parte degli exploit cloud ci sono le credenziali compromesse. Che si tratti di campagne phishing o di credenziali accidentalmente inserite nei repository di codice, gli aggressori trovano nuovi modi per rubare credenziali riservate e accedere agli account.
- Catena di morte poco profonda: È una conseguenza dell'enorme numero di servizi offerti dai fornitori di cloud . La presenza di diversi tipi di calcolo, storage, data lake, servizi serverless, carichi di lavoro containerizzati e applicazioni in numerose regioni significa che il divario tra l'infiltrazione e gli asset di alto valore è notevolmente ridotto.
- Velocità di progressione: A differenza degli ambienti on-prem, gli attacchi nel cloud procedono più rapidamente. Ciò è dovuto principalmente alla natura effimera delle credenziali temporanee nel cloud. Quando un attaccante trova una via d'accesso, deve muoversi rapidamente per assicurarsi un accesso persistente.
I difensori devono pensare in modo diverso
Oltre alle differenze fondamentali nelle modalità di svolgimento degli attacchi, anche le caratteristiche degli artefatti a disposizione dei team di sicurezza per bloccare efficacemente gli attacchi sono molto diverse. A differenza degli ambienti datacenter che si basano sui dati dei pacchetti di rete, i provider cloud sfruttano i log per la verificabilità. L'analisi di questi registri per il rilevamento delle minacce in ambienti cloud è impegnativa per i seguenti motivi:
- Sorgenti di log multiple: Nel cloud sono presenti numerose fonti di log con diverse informazioni di interesse in ciascuna di esse. Ad esempio, i registri del piano di controllo, i registri del piano dati, i registri di verifica dei carichi di lavoro e i registri di rete. Dal punto di vista della sicurezza, devono essere interconnessi per rilevare efficacemente il comportamento degli aggressori.
- Schemi di log incoerenti: Ogni provider utilizza il proprio formato per la pubblicazione dei log. Inoltre, in alcuni casi lo stesso cloud provider può modificare uno schema di log solo in base alla destinazione dei log! Questo processo incoerente può rendere l'analisi dei registri eccessiva per i team di sicurezza.
- Consegna imprevedibile: La diversità dei registri tra servizi e ambienti cloud multipli comporta un elemento di incertezza nella consegna. Le azioni correlate possono comparire in diversi file di registro separati da intervalli di tempo arbitrari. Questo ritardo aggiunge incoerenza e rende difficile tracciare i mandanti che agiscono sulle risorse.
Queste caratteristiche rendono le azioni di auditing nel cloud fondamentalmente diverse dagli ambienti dei data center, dove vengono rispettati i protocolli standard e i pacchetti vengono ricevuti in tempo reale.
La soluzione: Vectra Cloud Detection and Response con Attack Signal Intelligence
Con il nuovo motore ASI per il cloud, Vectra ha ripensato la sua piattaforma tecnologica per cercare minacce sofisticate in dati molto diversi tra loro, ma con la stessa velocità e precisione di Vectra NDR. Inoltre, la funzionalità integrata di Prioritizzazione guidata dall'AI automatizza la prioritizzazione degli avvisi a ogni rilevamento, in modo che i team di sicurezza sappiano quali sono le minacce più urgenti. Le minacce vengono analizzate, valutate e classificate automaticamente, in modo che i team di sicurezza sappiano dove è necessario il loro impegno. L'immagine qui sotto mostra come Attack Signal Intelligence sia stata in grado di definire le priorità e bloccare un attacco mirato all'ambiente AWS di un'azienda manifatturiera.
Per dare priorità e bloccare gli attacchi negli ambienti cloud , Vectra CDR presenta le seguenti caratteristiche:
- Rilevamenti più rapidi: Vectra CDR è dotato di strumenti per l'analisi in tempo reale dei log, su scala aziendale. Insieme ad arricchimenti come la metodologia di attribuzione guidata dall'intelligenza artificiale di Vectra, Vectra CDR è in grado di esaminare i log e correlare milioni di eventi da centinaia di utenti e servizi. I rilevamenti ad alta affidabilità vengono ora effettuati pochi minuti dopo l'osservazione di un comportamento dannoso, il che può fare la differenza tra l'arresto di un attacco in corso e l'analisi post-mortem.
- Contesto ricco: L'interrogazione dei registri per semplici sequenze produce migliaia di avvisi anche per piccole implementazioni che affogano le risorse di un team SOC. È qui che il contesto ambientale può fare una differenza significativa. Grazie al nuovo motore ASI, Vectra CDR può tenere traccia di come i singoli utenti interagiscono con i diversi ruoli e servizi di un ambiente. Questa persistenza dello stato consente di individuare casi d'uso come le anomalie dei privilegi specifiche dell'ambiente.
- Copertura per i vettori di minacce avanzate: Vectra è in grado di identificare metodi di attacco più sofisticati nel cloud. Una di queste tecniche di attacco consiste nel condurre attività dannose attraverso più sessioni separate nel tempo. Questo li mette al riparo dai meccanismi di rilevamento convenzionali. Mettendo insieme le informazioni relative al tempo, alle sessioni e alle entità, il Vectra CDR traccia un quadro accurato dei progressi degli attacchi, anche quelli più sofisticati.
Fornito in modalità SaaS, Vectra CDR offre i vantaggi aggiuntivi della scalabilità, delle prestazioni e dell'affidabilità, che svolgono un ruolo fondamentale nell'aiutare i team SOC a raggiungere gli obiettivi di MTTD / MTTR quando affrontano progetti multicloud e cloud .
Cosa c'è dopo?
Provate in prima persona la potenza di Vectra CDR powered by Attack Signal Intelligence con la nostra prova gratuita.