Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Bollettino dei cyberattacchi: Gli attaccanti non entrano, ma accedono: Il punto cieco dell'MFA >

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo

Nuove funzionalità di rilevamento e risposta estesi (XDR) sono state recentemente aggiunte alla piattaforma Vectra AI .

14 marzo 2024
Mark Wojtasiak
Vicepresidente della ricerca e della strategia di prodotto
Nuove funzionalità di rilevamento e risposta estesi (XDR) sono state recentemente aggiunte alla piattaforma Vectra AI .

Sei mesi fa abbiamo lanciato la Vectra AI Platform con la promessa di fornire ai nostri clienti il segnale integrato che alimenta la loro XDR. A sei mesi dal lancio della nostra piattaforma di rilevamento e risposta estesa (XDR), abbiamo fatto progressi straordinari con l'aiuto dei nostri clienti, che continuano a spingerci a offrire modi innovativi per aiutarli...

  • Costruire la resilienza alla continua evoluzione e all'emergente sofisticazione degli attacchi ibridi.
  • Modernizzare le operazioni di sicurezza con AI e ML senza dover ricominciare completamente da capo.  
  • Muoversi alla velocità e alla scala degli attaccanti e fermarli prima nella loro progressione.  

Il cuore della nostra piattaforma XDR: Copertura, chiarezza e controllo

La copertura consiste nell'integrare il segnale di attacco sull'intera superficie di attacco ibrida sfruttando sia i rilevamenti nativi guidati dall'intelligenza artificiale per lereti di data center e cloud (NDR), sia quelli relativi all'identità (ITDR), al cloud pubblico e al SaaS (CDR). Nel 2024, aggiungeremo rilevamenti di terze parti per endpoint (EDR), e-mail, informazioni sulle minacce e firme (Suricata).  

La chiarezza viene dalla nostra intelligenza artificiale Attack Signal IntelligenceTM. L Attack Signal Intelligence sfrutta un motore di prioritizzazione AI cloud per rispondere a due semplici domande: è reale e mi interessa? La combinazione di Profilo dell'attacco (è reale) e Importanza dell'entità (mi interessa) dà come risultato quello che noi chiamiamo punteggio di Urgenza dell'attacco. Più alto è il punteggio di urgenza, maggiore è la criticità che l'analista SOC deve seguire.  

L'obiettivo di Control è quello di consentire agli analisti della sicurezza di indagare e rispondere a un attacco il più presto e rapidamente possibile. Si tratta di fornire agli analisti tutto il contesto necessario su un attacco ibrido in un'unica console e di consentire loro azioni di risposta flessibili che possono essere eseguite manualmente o automaticamente in qualsiasi fase della progressione dell'attacco.

Rimanendo fedeli ai nostri clienti e ai pilastri della nostra piattaforma, negli ultimi sei mesi i nostri team di prodotto e di progettazione sono stati impegnati a portare sul mercato miglioramenti della piattaforma e nuove funzionalità. Eccone un assaggio:

Annunci importanti:

  • Vectra AI lancia il primo servizio MXDR aperto 24 ore su 24, 7 giorni su 7, costruito per difendere dagli attacchi ibridi. Con Vectra MXDR, le aziende possono consolidare ogni aspetto del rilevamento e della risposta alle minacce estese in un unico servizio unificato, eliminando la necessità di ricorrere a più fornitori. Le integrazioni con le principali piattaforme EDR del settore, tra cui CrowdStrike, SentinelOne e Microsoft Defender, consentono agli analisti MXDR di Vectra AIdi monitorare lo stato di salute di un intero sistema di sicurezza e di intervenire direttamente indipendentemente da dove viene generato il segnale. Per saperne di più.
  • Vectra AI e Gigamon annunciano una nuova partnership OEM per offrire un rilevamento e una risposta estesi e intelligenti (XDR) in ambienti cloud ibridi. Vectra AI combina la potenza della sua AI Attack Signal Intelligence con le capacità di osservabilità profonda della Gigamon GigaVUE Cloud Suite per rilevare e rispondere efficacemente a minacce mai viste prima, utilizzando informazioni e approfondimenti derivati dalla rete cloud . Per saperne di più.

Copertura di rilevamento e chiarezza del segnale

La nostra convinzione di fondo: costruire e integrare una copertura di rilevamento completa su tutte le superfici di attacco ibride per fornire il segnale di attacco ibrido più accurato in velocità e su scala. Di seguito è riportata una carrellata di nuove coperture di rilevamento aggiunte e migliorate negli ultimi sei mesi, che rafforzano ulteriormente il nostro segnale XDR.  

  • Nuova copertura di rilevamento - Kerberoasting: Risposta mirata al Cifrario Debole: Oltre ai due rilevamenti Kerberoasting esistenti per Weak Cipher Downgrade e SPN Sweep, Vectra AI ha introdotto un nuovo rilevamento Kerberoasting per quando un attaccante tenta di eseguire un attacco Kerberoasting silenzioso con un singolo tentativo di Weak Cipher contro un servizio ad alto privilegio. Inoltre, abbiamo aggiunto la possibilità di configurare regole di triage per questo rilevamento.
  • Nuova copertura di rilevamento - Info: Single Weak Cipher Response:è simile al nuovo rilevamento Kerberoasting Targeted Weak Cipher Response, ma è progettato per rilevare quando l'obiettivo di Kerberoasting non è privilegiato e quindi si dovrebbe prendere in considerazione una revisione aggiuntiva da parte di un analista, poiché potrebbe trattarsi di un'attività benigna a seconda dell'ambiente. Inoltre, abbiamo aggiunto la possibilità di configurare regole di triage per questo rilevamento.
  • Nuova copertura del rilevamento per i database relazionali (RDS) di AWS: con questo miglioramento, Vectra AI aggiunge una copertura per l'abuso dei database relazionali in AWS che ospitano informazioni sensibili. Il rilevamento AWS Suspect Public RDS Change è il primo di una serie di rilevamenti relativi a RDS e copre i metodi che un aggressore può utilizzare per esfiltrare i backup (snapshot) dei database RDS. Il rilevamento tempestivo di questo comportamento può frenare l'esfiltrazione e influire sulle fasi di un attacco cloud AWS.
  • Nuova copertura di rilevamento per identificare il mirroring del traffico AWS dannoso: Vectra AI ha aggiunto una copertura per individuare i comportamenti dannosi legati alla creazione di un mirroring del traffico per intercettare informazioni sensibili come le credenziali. Il nuovo rilevamento AWS Suspect Traffic Mirror Creation copre i metodi che un aggressore può utilizzare per creare un'istanza EC2 come bersaglio per il traffico in mirroring. L'individuazione dei comportamenti relativi al mirroring del traffico all'interno di VPC in cui il traffico è solitamente non crittografato consente ai SecOps di impedire agli avversari di procedere verso il loro obiettivo di impatto.
  • Nuova copertura per le Amazon Machine Images (AMI): con questo miglioramento, Vectra AI aggiunge una copertura per bloccare l'esfiltrazione dannosa delle Amazon Machine Images (AMI). Queste immagini sono modelli che contengono informazioni preziose e possono essere utilizzate per avviare istanze EC2 per estrarre dati sensibili. Il nuovo rilevamento AWS Suspect Public AMI Change copre i metodi che un aggressore può utilizzare per esfiltrare queste AMI. Il rilevamento tempestivo di questo comportamento può frenare l'esfiltrazione e influire sulle fasi di un attacco cloud AWS.
  • Nuova copertura di rilevamento per le organizzazioni AWS: AWS Organizations è un servizio di conformità che consente di creare guardrail e di gestire centralmente tutti gli account membri di un'organizzazione. Una tattica comune sfruttata dagli aggressori è quella di rimuovere un account compromesso dall'organizzazione associata per aggirare i guardrail di conformità. Il nuovo rilevamento di AWS Suspect Organization Exit evidenzia questo comportamento, consentendo ai SecOps di sventare i tentativi di aggirare le difese.
  • Triage migliorato per gruppo di account: Per aiutare i nostri clienti a gestire efficacemente il loro carico di lavoro di rilevamento, abbiamo aggiunto il supporto per il Triage per gruppo di account alla nostra funzionalità di Triage guidata dall'intelligenza artificiale. Ora i clienti possono specificare gruppi di account e assegnare automaticamente il triage a qualsiasi membro di tali gruppi, semplificando così l'esperienza degli analisti. Ad esempio, creando un gruppo di account per gli amministratori IT e specificando i comportamenti previsti per gli amministratori, è possibile gestire facilmente l'aggiunta di nuovi amministratori IT attraverso questi gruppi di account.
  • Copertura del rilevamento migliorata - M365: I rilevamenti M365 Disabilitazione degli strumenti di sicurezza e M365 Operazioni di Exchange rischiose sono stati migliorati per coprire una più ampia gamma di attività degli aggressori. Questi miglioramenti includono tecniche quali il rilevamento di downgrade delle licenze, l'accesso a PowerShell, le regole di inoltro delle e-mail e l'impersonificazione di utenti.
  • Copertura di rilevamento migliorata per le tecniche di escalation dei privilegi: È stata aggiunta la copertura dei nuovi metodi di escalation dei privilegi. In particolare, le tecniche coperte dal rilevamento AWS Suspect Privilege Escalation sono state ampliate per includere i metodi utilizzati dagli avversari per aumentare le autorizzazioni non solo utilizzando le policy, ma anche i servizi AWS come le istanze EC2. Questi miglioramenti consentono di rilevare i metodi trovati in strumenti di attacco come CloudGoat.
  • Copertura di rilevamento migliorata per le tecniche di evasione della difesa della registrazione: È stata ampliata la copertura dei metodi di attacco che comportano la compromissione della registrazione. Il rilevamento di AWS CloudTrail Logging Disabled è stato migliorato per identificare gli avversari che utilizzano Event Selectors o regole S3 Lifecycle per compromettere la registrazione. Si tratta di una tecnica utilizzata da strumenti di attacco popolari come Stratus red team, che consente agli aggressori di evitare il rilevamento mentre si spostano verso gli stati di impatto.
  • Copertura di rilevamento migliorata per l'Admin Persistence: È stata ampliata la copertura per gli aggressori che aggiungono persistenza amministrativa ai tenant di Microsoft Azure AD. In particolare, Microsoft Azure AD Admin Account Creation, Azure AD Newly Created Admin Account e Azure AD Redundant Access sono stati migliorati per segnalare la creazione di account con o la concessione di ulteriori tipi di autorizzazioni di amministrazione.
  • Copertura di rilevamento migliorata per Microsoft Azure AD: il tempo di rilevamento è stato ulteriormente ridotto per gli avvisi Microsoft Azure AD in tempo reale relativi all'accesso iniziale all'account Microsoft Azure AD da parte di un aggressore. In particolare, i miglioramenti dell'algoritmo per i rilevamenti di Azure AD Suspicious Sign-on, Azure AD Suspicious Sign-on MFA Failed e Azure AD compromised Access hanno consentito una segnalazione più rapida delle minacce senza impattare sulla copertura.

Indagine e controllo della risposta

  • Miglioramento dell'integrazione SIEM/SOAR per le firme Vectra Match Suricata: Quando l'opzione "Includi dettagli avanzati" è configurata per gli avvisi Vectra Match , ora includiamo ulteriori informazioni proprietarie di Vectra AI negli avvisi Vectra Match inviati a SIEM/SOAR. Questi campi includono preziosi campi HostID e informazioni sul sensore che sono inclusi nei tradizionali rilevamenti e metadati Vectra AI e sono utili per condurre più facilmente i flussi di lavoro di indagine. Se si desidera disattivare questo arricchimento, è possibile farlo disabilitando l'opzione "Included Enhanced Detail" nella configurazione Syslog della rispettiva destinazione.
  • Indagini istantanee migliorate per gli attacchi ibridi: Questo miglioramento offre una visione più completa e granulare degli attacchi ibridi aggiungendo metadati per le chiamate RPC, l'accesso SMB e le attività dei servizi per gli account di rete. Nelle situazioni in cui lo stesso attore possiede sia account Microsoft Azure AD che Microsoft 365, colleghiamo questi account e forniamo metadati per le attività nei vari domini.
  • Estensione della conservazione dei metadati per le indagini avanzate: Con questo miglioramento, gli utenti hanno la possibilità di selezionare periodi di ricerca fino a 14 o 30 giorni, a seconda del loro piano di abbonamento. È importante notare che questo periodo di conservazione dei metadati esteso si applica uniformemente a tutte le fonti di dati abilitate su un tenant, tra cui Rete, Azure AD e M365 e altri. L'estensione del periodo di ricerca dei metadati è esclusiva di Advanced Investigation e non si applica a Instant Investigation.
  • Aggiunto il supporto multi-Ad: Abbiamo aggiunto il supporto per l'integrazione con più di un server Active Directory per l'arricchimento del contesto di host e account e per il blocco dell'account Active Directory. I dettagli dell'host e dell'account ora visualizzano il contesto di più AD e il blocco di un account lo disabilita in tutti gli AD.
  • Aggiunte opzioni di configurazione personalizzata di Active Directory: Nei casi in cui l'attributo UserAccountControl di Active Directory non è disponibile per eseguire il blocco dell'account, gli amministratori di Vectra AI hanno ora la possibilità di utilizzare l'attributo AccountExpires per bloccare gli account di rete. È inoltre possibile utilizzare l'attributo Info per inviare un contesto aggiuntivo, come il numero dell'incidente, alla Active Directory quando si esegue un blocco Active Directory su un account.

Per ulteriori informazioni sulla piattaforma Vectra AI , consultate queste risorse:

Pagina web della piattaforma Vectra AI

Tour della piattaforma Vectra AI

DOMANDE FREQUENTI