Automatizza il contenimento degli attacchi ibridi con 360 Response

Automatizza il contenimento degli attacchi ibridi con 360 Response >

Vectra AI, una delle aziende leader nel Magic Quadrant 2025 di Gartner per il rilevamento e la risposta di rete (NDR)
Icona hamburger nella riga superiore
Icona hamburger linea centrale
Icona hamburger in basso

Scopri il nuovo motore Attack Signal Intelligence™ di Vectra per cloud

6 febbraio 2023
Aakash Gupta
Responsabile di prodotto, Rilevamento e risposta per Cloud pubblico
Scopri il nuovo motore Attack Signal Intelligence™ di Vectra per cloud

Sfruttando la tecnologia di Vectra basata sull'intelligenza artificiale per la sicurezza Attack Signal IntelligenceTM (ASI) di Vectra per cloud, i team SecOps possono monitorare e individuare continuamente minacce sofisticate nei loro cloud SaaS e cloud in tempo reale. Vectra ASI invia avvisi entro pochi minuti dalle azioni degli aggressori, fornendo il contesto necessario per caratterizzare le intenzioni e comprendere l'impatto complessivo sull'azienda, consentendo una ricerca delle minacce, indagini e risposte più rapide e accurate.  

Chi ha familiarità con Vectra NDR (rilevamento e risposta di rete) conosce bene le sue capacità leader nel settore di rilevamento e risposta alle minacce contro gli aggressori negli ambienti di rete. Con l'introduzione del motore Vectra ASI per cloud, le capacità di rilevamento in tempo reale di Vectra NDR sono ora estese a Vectra CDR (cloud e rispostacloud ) per evidenziare i comportamenti dannosi quasi in tempo reale. Questo potenzia i team SecOps fornendo una visibilità senza pari sulle azioni che si svolgono nel loro cloud . Ma perché abbiamo creato un nuovo motore di rilevamento delle minacce per il cloud perché sono necessarie entrambe le soluzioni di sicurezza NDR e CDR?  

Gli attacchi nel cloud diversi da quelli nel data center

Esiste una complessa relazione molti-a-molti tra infrastruttura, dati e connettività nel cloud, con l'identità come elemento di collegamento. Insieme alla velocità con cui si muovono le moderne pipeline CI/CD, ciò presenta una superficie di attacco molto ampia che è impossibile prevenire. Sebbene gli obiettivi finali di un aggressore nel cloud negli ambienti tradizionali on-prem rimangano gli stessi, cloud differiscono nei seguenti modi:

  • Attenzione alle credenziali: alla base della maggior parte cloud vi sono credenziali compromesse. Che si tratti di phishing o di credenziali accidentalmente inserite nei repository di codice, gli aggressori trovano modi innovativi per rubare credenziali riservate e accedere agli account.  
  • Catena di attacco superficiale: questa è una conseguenza dell'enorme numero di servizi offerti dai cloud . La varietà di opzioni disponibili in termini di elaborazione, archiviazione, data lake, servizi serverless, carichi di lavoro containerizzati e applicazioni in numerose regioni comporta una significativa riduzione del divario tra l'infiltrazione e le risorse di alto valore.
  • Velocità di progressione: a differenza degli ambienti on-premise, gli attacchi nel cloud più rapidamente. Ciò è dovuto principalmente alla natura effimera delle credenziali temporanee nel cloud. Quando un aggressore trova un modo per entrare, deve agire rapidamente per assicurarsi un accesso persistente.  

I difensori devono pensare in modo diverso

Oltre alle differenze fondamentali nel modo in cui si svolgono gli attacchi, anche le caratteristiche degli strumenti a disposizione dei team di sicurezza per fermare efficacemente gli attacchi sono molto diverse. A differenza degli ambienti dei data center che si basano sui dati dei pacchetti di rete, cloud sfruttano la registrazione dei log per garantire la verificabilità. L'analisi di questi log per il rilevamento delle minacce incloud è difficile per i seguenti motivi:

  • Fonti di log multiple: nel cloud sono presenti numerose fonti di log, ciascuna delle quali cloud informazioni di interesse diverse. Alcuni esempi sono i log del piano di controllo, i log del piano dati, i log di audit del carico di lavoro e i log di rete. Dal punto di vista della sicurezza, è necessario che questi log siano interconnessi per poter rilevare efficacemente il comportamento degli aggressori.
  • Schemi di log incoerenti: ogni provider utilizza il proprio formato per la pubblicazione dei log. Inoltre, in alcuni casi lo stesso cloud può modificare uno schema di log basandosi esclusivamente sulla destinazione dei log! Questo processo incoerente può rendere l'analisi dei log un compito arduo per i team di sicurezza.
  • Consegna imprevedibile: la diversità dei log tra i servizi e cloud diversi cloud comporta un elemento di incertezza nella consegna. Le azioni correlate possono comparire in diversi file di log separati da intervalli di tempo arbitrari. Questo ritardo aggiunge incoerenza e rende difficile tracciare i soggetti che agiscono contro le risorse.  

Ciò rende le azioni di auditing nel cloud diverse dagli ambienti dei data center, dove vengono rispettati i protocolli standard e i pacchetti vengono ricevuti in tempo reale.  

La soluzione: Vectra Cloud and Response con Attack Signal Intelligence  

Con il suo nuovo motore ASI per il cloud, Vectra ha ripensato la propria piattaforma tecnologica per individuare minacce sofisticate in dati molto diversi, ma rivelarle con la stessa velocità e precisione di Vectra NDR. Inoltre, la funzionalità integrata di prioritizzazione basata sull'intelligenza artificiale automatizza la prioritizzazione degli avvisi ad ogni rilevamento, in modo che i team di sicurezza sappiano quali minacce sono più urgenti. Le minacce vengono automaticamente analizzate, valutate e classificate, in modo che i team di sicurezza sappiano dove è necessario concentrare i propri sforzi. L'immagine sottostante mostra come Attack Signal Intelligence in grado di dare priorità e fermare un attacco mirato all'ambiente AWS di un'azienda manifatturiera.  

Anatomia di un attacco informatico nel Cloud AWS
Anatomia di unCloud AWS

Per dare priorità e bloccare gli attacchi in tutti cloud , Vectra CDR presenta le seguenti caratteristiche distintive:

  • Rilevamenti più rapidi: Vectra CDR è dotato di strumenti per l'analisi in tempo reale dei log, su scala aziendale. In combinazione con arricchimenti come la metodologia di attribuzione basata sull'intelligenza artificiale di Vectra, Vectra CDR è in grado di esaminare i log e correlare milioni di eventi provenienti da centinaia di utenti e servizi. I rilevamenti altamente affidabili vengono ora attivati pochi minuti dopo l'osservazione di un comportamento dannoso, il che può fare la differenza tra fermare un attacco in corso e analizzarlo a posteriori.    
  • Contesto ricco: l'analisi dei log alla ricerca di sequenze semplici produce migliaia di avvisi anche per implementazioni di piccole dimensioni, sovraccaricando le risorse del team SOC. È qui che il contesto ambientale può fare la differenza. Grazie al nuovo motore ASI, Vectra CDR è in grado di monitorare le interazioni dei singoli utenti con i diversi ruoli e servizi in un ambiente. Questa persistenza dello stato consente casi d'uso quali anomalie dei privilegi specifici dell'ambiente.  
  • Copertura per vettori di minaccia avanzati: Vectra è in grado di identificare metodi di attacco più sofisticati nel cloud. Una di queste tecniche consiste nel condurre attività dannose in più sessioni separate nel tempo. Ciò li protegge dai meccanismi di rilevamento convenzionali. Mettendo insieme le informazioni acquisite nel tempo, nelle sessioni e nelle entità, Vectra CDR traccia un quadro accurato anche delle progressioni di attacchi sofisticati.

Fornito come SaaS, Vectra CDR offre ulteriori vantaggi in termini di scalabilità, prestazioni e affidabilità, che svolgono un ruolo fondamentale nell'aiutare i team SOC a raggiungere i propri obiettivi MTTD/MTTR mentre affrontanocloud multicloud ecloud

Cosa succederà adesso?  

Prova Attack Signal Intelligence la potenza di Vectra CDR basato su Attack Signal Intelligence con la nostra versione di prova gratuita.

Domande frequenti