Sono ormai lontani i tempi in cui l'implementazione di buone soluzioni preventive era sufficiente a mantenere l'organizzazione al sicuro dalle violazioni. Per le reti on-premise, le soluzioni IDS tradizionali, spesso incorporate nei firewall di nuova generazione (NGFW), sono diventate obsolete e hanno problemi a tenere il passo con il volume sempre crescente di traffico crittografato. Si basano sull'ispezione profonda dei pacchetti, cosa che sta diventando impossibile con i moderni standard di crittografia. Altri fornitori spesso aggiungono "AI" o "ML" alle loro soluzioni per cercare di mantenere la loro rilevanza, ma resta il fatto che è impossibile bloccare gli attacchi se non si riesce nemmeno a vederli.
Le organizzazioni moderne stanno inoltre adottando servizi cloud a un ritmo crescente. Questo, unito a una forza lavoro più mobile e distribuita, rende meno rilevante il concetto di monitoraggio del traffico in entrata e in uscita dalla rete, poiché spesso il traffico passa da postazioni remote direttamente al cloud. I nuovi approcci preventivi si sono quindi adeguati e sono spesso incentrati sull'imposizione di credenziali utente forti e sull'autenticazione a più fattori (MFA) per mantenere al sicuro gli account degli utenti. Tuttavia, gli aggressori si sono adattati e sono diventati abili nel compromettere le sessioni già autenticate, aggirando così l'MFA e le password. Di fatto, l'account takeover (ATO) è diventato il vettore di attacco più significativo per le applicazioni cloud . In questo contesto, non c'è da stupirsi che i professionisti della sicurezza si siano spostati dalla prevenzione delle compromissioni al rilevamento e alla riduzione del tempo in cui un aggressore ha accesso alle risorse aziendali.
I moderni centri operativi di sicurezza (SOC) sono oggi alla ricerca di strumenti in grado di fornire una visibilità completa sugli endpoint degli utenti, sulle reti cloud, ibride e on-premise, oltre a funzionalità di correlazione e forensi. In questa ricerca, la triade di visibilità SOC è emersa come standard de-facto. La triade di visibilità del SOC incoraggia tre tecnologie specializzate. Endpoint detection and response (EDR) per gli endpoint, network detection and response (NDR) per la rete e security information event management (SIEM) per l'analisi e la correlazione della sicurezza. Ma perché tutte queste tecnologie abbiano successo, è necessaria una solida integrazione reciproca, poiché il tempo degli analisti SOC è molto prezioso.
In qualità di piattaforma NDR leader del settore, abbiamo sempre avuto una forte attenzione per la creazione di partnership a vantaggio dei nostri clienti, ed è importante per noi creare profonde integrazioni tecniche con tutte le soluzioni più diffuse della triade SOC. Oggi abbiamo annunciato una partnership con Chronicle Backstory, che si aggiunge al nostro già ricco ecosistema di integrazione SIEM insieme a Splunk, ArcSight e QRadar. Per quanto riguarda l'EDR, oltre a CrowdStrike e Carbon Black, abbiamo aggiunto di recente alcuni nuovi partner: Cybereason e SentinelOne.
Grazie a queste partnership, le organizzazioni possono iniziare ad alimentare i rilevamenti di alto valore e i metadati di rete arricchiti di sicurezza utilizzando Vectra Stream nei flussi di lavoro esistenti e automatizzare la correlazione con i log di altri segnali di minaccia nella telemetria di sicurezza Chronicle. Insieme, Vectra e la triade di visibilità SOC offrono una soluzione pratica ai problemi più persistenti che i team di cybersecurity aziendali di oggi si trovano ad affrontare: individuare e bloccare i cyberattacchi attivi, ottenendo il massimo dal tempo e dalle risorse limitate.
Per saperne di più sulle nostre integrazioni tecnologiche e sulla triade di visibilità del SOC. Per ulteriori informazioni sui comportamenti delle minacce e sugli attacchi basati sui privilegi o per vedere la Cognito Platform in azione, visitate vectra.ai/demo.