Secondo il Microsoft Digital Defense Report 2024, i clienti Microsoft subiscono ogni giorno oltre 600 milioni di attacchi da parte di criminali informatici e Stati nazionali. Se non vengono individuati, questi attacchi possono causare costose interruzioni dell'attività, incidenti ransomware e furti di dati di alto valore. La domanda è: i team di sicurezza possono affidarsi esclusivamente alle soluzioni di sicurezza native per garantire la sicurezza? Purtroppo, la risposta è no. Vectra AI osservato un aumento di 6 volte dei compromessi convalidati nella prima metà di quest'anno tra le organizzazioni che hanno implementato la licenza di sicurezza premium di Microsoft (E5). In tutti i casi, Vectra AI in grado di rilevare e bloccare gli attacchi.
Il motivo è che, sebbene Microsoft sia efficace nel prevenire un gran numero di attacchi, i suoi strumenti nativi non riescono a fornire la copertura e la chiarezza necessarie per fermare gli autori delle minacce che hanno aggirato le difese di prima linea. La postura nativa di Microsoft, la raccolta dei log e le regole semplici non sono sufficienti per individuare e fermare gli aggressori moderni. Le funzionalità complete di rilevamento e risposta alle minacce Vectra AIsono state appositamente progettate per colmare queste lacune nella sicurezza nativa di Microsoft, individuando le minacce negli ambienti Microsoft prima che possano causare danni.
Il problema della superficie di minaccia Microsoft
Gli attacchi moderni contro l'infrastruttura Microsoft non sono più limitati a un'unica superficie di attacco. Si estendono a reti, endpoint, identità (sia umane che non umane), SaaS, cloud e, più recentemente, Gen AI.
L'esempio seguente rappresenta lo stato attuale degli attacchi cloud moderni, che si diffondono nei luoghi in cui risiedono i dati di maggior valore.
In questi casi in cui la postura e la prevenzione falliscono, le funzionalità di rilevamento basate sull'intelligenza artificiale, correlate tra reti locali, Active Directory, Microsoft Entra ID, Microsoft 365, Azure IaaS, Azure PaaS e gli endpoint, sono fondamentali per bloccare le minacce.
Le organizzazioni aziendali risolvono il problema della superficie di minaccia Microsoft con la Vectra AI
"Microsoft è una componente fondamentale del nostro ecosistema IT, ma quando si tratta di sicurezza, dobbiamo andare oltre le misure di base", afferma il CISO di una società di servizi finanziari Fortune 500. "Con Vectra AI, otteniamo il segnale di minaccia integrato e aggregato di cui abbiamo bisogno per difendere efficacemente il nostro ambiente Microsoft, inoltre centralizza l'analisi e la correlazione di tali segnali, consentendoci di risparmiare tempo e fatica". (Leggi il caso di studio completo qui)
Vectra AI le lacune fornendo una copertura completa per affrontare il problema della superficie di attacco Microsoft, chiarezza basata sull'intelligenza artificiale per eliminare la latenza di rilevamento e funzionalità di controllo che forniscono al team di sicurezza le risposte necessarie per indagare rapidamente e bloccare con sicurezza gli account compromessi in pochi minuti anziché in ore.
Copertura per ridurre l'esposizione
Il rilevamento, l'analisi e la risposta alle minacce di rete in tempo reale, senza agenti e on-premise di Vectrarileva le minacce lungo tutta la catena di attacco, fornendo una copertura est-ovest per la ricognizione e il movimento laterale, nonché una copertura nord-sud per il comando e il controllo e l'esfiltrazione. Il rilevamento basato sull'intelligenza artificiale non si basa su firme, garantendo una copertura altrettanto efficace per i framework di attacco noti come Cobalt Strike, nonché per i framework sconosciuti e personalizzati utilizzati dalla prossima generazione di aggressori. Fornisce visibilità non solo su ciò che è diverso, ma si concentra anche sui comportamenti degli aggressori, garantendo che le attività innocue non facciano perdere tempo ai team di sicurezza. Questa copertura incentrata sulla rete consente il rilevamento tempestivo degli aggressori che hanno aggirato l'EDR e altri strumenti preventivi, offrendo una protezione resiliente per qualsiasi dispositivo, compresi i dispositivi IoT e OT dove l'EDR non può essere implementato.
Vectra rileva tecniche di attacco ibride che sfuggono a Microsoft, come gli attacchi alle credenziali che sfruttano zero-day e l'abuso o le credenziali privilegiate per il movimento laterale. La tecnologia brevettata di analisi dell'accesso privilegiato di Vectra individua il privilegio effettivo di un'identità rispetto a un punteggio zero-trust ideale, garantendo che nel momento in cui una credenziale si discosta dal privilegio effettivo, venga attivato un allarme. La copertura si estende all'intera catena di uccisione dell'identità dell'aggressore, con avvisi per gli aggressori che prendono di mira le credenziali attraverso tecniche come Kerberoasting, forza bruta e abuso esplicito di protocolli RDP, SSH, NTLM, LDAP, DCERPC, SMB e altri.
Vectra rileva quando gli aggressori accedono per la prima volta a una credenziale Microsoft Entra ID, ma fornisce anche una copertura completa delle azioni successive degli aggressori, come l'identificazione di abusi cloud , nuove registrazioni di dispositivi e la creazione di accessi backdoor. L'intelligenza artificiale giusta viene utilizzata in tutta la copertura di Vectra per fornire una visibilità senza pari. Le linee di base di lunga durata che tracciano oltre 20 attributi dell'autenticazione di ciascun utente vengono esaminate simultaneamente per individuare quali credenziali sono sotto controllo. L'intelligenza artificiale basata sul comportamento di Vectra ha dimostrato di fornire zero-day per Entra ID concentrandosi sui privilegi degli utenti e sulle operazioni eseguite. Tutta questa copertura è unificata all'interno della piattaforma Vectra, che collega cloud di rete e cloud per fornire una visibilità integrata in tutta l'azienda Microsoft.
Vectra rileva gli attacchi living-off-the-land in Microsoft 365, monitorando l'intera superficie di attacco M365, inclusi Teams, Exchange, OneDrive, eDiscovery, Power Automate e SharePoint, consentendo il monitoraggio completo delle minacce ai dati aziendali critici.
Vectra rileva gli aggressori che accelerano il loro attacco sfruttando la Gen AI di Microsoft per velocizzare l'individuazione dei dati mirati che consentono loro di avanzare ulteriormente nell'ambiente o rubare informazioni di alto valore.
La copertura di Vectra per il rilevamento e la risposta alle minacce di rete si estende senza soluzione di continuità agli ambienti IaaS, sfruttando i pacchetti per fornire funzionalità di rilevamento delle minacce senza compromessi. Consente una visibilità ibrida completa, collegando i punti tra le minacce che si muovono senza soluzione di continuità tra cloud on-premise e cloud .
Vectra rileva gli attacchi contro Azure PaaS utilizzando credenziali sia umane che non umane, fornendo una visibilità ibrida su tutte le risorse critiche e sull'infrastruttura Azure. Ciò include il monitoraggio delle politiche Azure, Azure App Service, gli account di automazione Azure e altro ancora.
Endpoint
Il servizio MXDR di Vectra combina i segnali provenienti dagli EDR, tra cui Defender for Endpoint, con tutte le funzionalità di Vectra per fornire una copertura completa delle minacce che prendono di mira gli endpoint,cloud ibridi ecloud . Offre un monitoraggio 24 ore su 24, 7 giorni su 7, da parte di analisti esperti che indagano, rispondono e risolvono le minacce, garantendo la completa sicurezza aziendale.
Chiarezza per eliminare la latenza nel rilevamento delle minacce
Priorità delle minacce basata sul rischio
L'intelligenza artificiale di Vectra assegna priorità alle minacce urgenti prima che causino danni, mettendo in correlazione i comportamenti osservati con l'host, le identità umane e le identità delle macchine. La prioritizzazione basata sull'intelligenza artificiale eccelle nel concentrare l'attenzione dei team sulla storia completa che richiede la loro attenzione, massimizzando il loro tempo tenendo conto dell'attività osservata, della classe di sistema, dei privilegi e delle impostazioni di priorità personalizzate.
Correlazione unificata degli attacchi in ambienti ibridi
Gli algoritmi di correlazione collegano i punti tra i comportamenti degli aggressori nei data center locali, Active Directory, Microsoft Entra ID, Microsoft 365 e Azure, creando una narrazione unificata degli attacchi per indagini più rapide e precise. Ogni evento di aggressione osservato viene attribuito a un account o a una macchina con il nome dell'autore, non semplicemente a indirizzi IP e ID oggetto indecifrabili, massimizzando il contesto per i team e il loro tempo di risposta.
Eliminazione dei falsi positivi e dei segnali benigni
La nostra IA filtra i comportamenti benigni e segnala solo gli eventi sospetti. Combina il filtraggio automatico con un filtro manuale opzionale per consentire ai team di sicurezza di concentrarsi sulle minacce reali senza il rischio di perdere un attacco.
Metadati avanzati per le indagini
I metadati arricchiti vanno oltre ciò che può essere raccolto ed elaborato in qualsiasi SIEM. Ai metadati viene aggiunto un contesto aggiuntivo basato sull'intelligenza artificiale che sblocca nuove funzionalità per il team di sicurezza con informazioni quali punteggi di privilegio delle risorse, eventi beacon, JA3 e nome reale dell'autore e altro ancora.
Controllo per fermare gli attacchi e massimizzare il talento
Monitoraggio attivo della postura
Vectra consente ai team di passare alla fase iniziale identificando le lacune di sicurezza nelle reti, nelle identità, cloud e negli strumenti GenAI come Microsoft Copilot per M365. Monitoriamo attivamente oltre 20 flussi di dati potenziati dall'intelligenza artificiale e centinaia di attributi per scoprire in che modo gli aggressori potrebbero aggirare i controlli nel vostro ambiente in un attacco futuro, con l'obiettivo di ridurre la superficie di attacco.
Indagini accelerate e ricerca intuitiva delle minacce
Vectra fornisce immediatamente risposte alle domande più importanti degli analisti dai metadati provenienti dalla rete, cloud e dall'identità in ogni caso, senza la necessità di scrivere una sola query. Quando è necessaria un'indagine più approfondita, i team hanno accesso a tutti i 20 flussi di dati con contesto integrato, accelerando il percorso di identificazione delle minacce.
Capacità di risposta complete
Le integrazioni native di Vectra con EDR, AD ed Entra ID consentono agli analisti della sicurezza di intraprendere manualmente o automaticamente l'azione giusta al momento giusto per bloccare un aggressore ovunque si trovi nell'ambiente.
Integrazione con Microsoft Sentinel
Vectra si integra in modo nativo con Microsoft Sentinel, migliorando i flussi di lavoro esistenti, eliminando la necessità di gestire analisi personalizzate e ottimizzando il tempo dei team.
Scopri le lacune di sicurezza nei tuoi ambienti Microsoft
Per affrontare in modo efficace il problema della superficie di minaccia di Microsoft, è necessario compiere il passo successivo per comprendere le attuali lacune di sicurezza. I team di sicurezza sono incoraggiati a condurre test di sicurezza sulla propria rete, identità e Cloud utilizzando strumenti che simulano i comportamenti degli aggressori moderni. Vectra AI qui per aiutarti a rilevare gli aggressori nel momento in cui compromettono la sicurezza e a dare la caccia a quelli che sono già entrati con una difesa completa basata sull'intelligenza artificiale.
Per ulteriori informazioni sulla Vectra AI , consulta la nostra pagina dedicata alla piattaforma o prenota subito una demo.