Recentemente, il National Cyber Security Centre (NCSC) del Regno Unito e il Communications Security Establishment (CSE) del Canada hanno reso noti i dettagli relativi agli attori delle minacce avanzate (APT29) che hanno preso di mira le organizzazioni associate allo sviluppo della ricerca sul vaccino COVID-19. Sfortunatamente per gli strumenti di sicurezza tradizionali basati sul perimetro che si affidano solo all'identificazione di cattivi indicatori noti, questa campagna sfrutta pesantemente il furto e l'uso improprio di credenziali autorizzate per mantenere la persistenza e continuare la progressione dell'attacco.
Sebbene tali strumenti possano sfruttare le indicazioni di compromissione (IOC) attualmente conosciute, le IOC sono facilmente modificabili dagli avversari e, se utilizzate da sole, sono più adatte a indagare sulla presenza storica di questi attori delle minacce, piuttosto che come unici indicatori principali per i difensori delle reti per bloccare la progressione degli attacchi.
Fortunatamente, le organizzazioni che hanno implementato la piattaforma di Network Detection and Response (NDR) di Vectra Cognito sono in grado di resistere a questa campagna perché le loro difese di rete non dipendono solo dal rilevamento di IOC noti e cattivi, e hanno una copertura sia all'interno della rete sia nei servizi SaaS critici come Microsoft Office 365. Cognito impiega l'intelligenza artificiale e l'apprendimento automatico per rilevare i comportamenti che gli avversari devono adottare per portare avanti un attacco, piuttosto che gli strumenti che utilizzano o i CIO che creano, ad esempio attraverso un uso estensivo della Privileged Access Analytics (PAA) nativa della piattaforma. Il PAA rileva le attività post-exploitation che sfruttano le credenziali rubate e utilizzate in modo improprio, osservando e apprendendo il modo in cui i privilegi vengono utilizzati in tutta l'azienda, quindi segnalando quando tali privilegi sono stati utilizzati in modo improprio, consentendo persino di bloccare gli attacchi in tempo reale e orchestrati invocando Cognito Account Lockdown. Inoltre, l'accesso a metadati ampi e arricchiti, simili a quelli di Zeek, consente agli analisti della sicurezza di scoprire rapidamente le prove storiche di questi attori delle minacce, o di andare a caccia di minacce con nuovi CIO sviluppati come risultato delle loro attività operative.
Purtroppo, troppo spesso le organizzazioni sono alla mercé di IOC pubblicati che notificano loro a posteriori che qualcosa è andato storto; con Vectra, i difensori di rete riacquistano visibilità e controllo del loro ambiente, consentendo loro di ribaltare il copione anche su avversari avanzati e di fermarli prima che il danno sia stato fatto.