Secondo il Microsoft Digital Defense Report 2024, i clienti Microsoft devono affrontare ogni giorno oltre 600 milioni di attacchi da parte di criminali informatici e Stati nazionali. Se non individuati, questi attacchi potrebbero portare a costose interruzioni dell'attività, incidenti ransomware e furto di dati di alto valore. La domanda è: i team di sicurezza possono affidarsi esclusivamente alle soluzioni di sicurezza native per rimanere al sicuro? Purtroppo la risposta è no. Vectra AI ha osservato un aumento di 6 volte delle compromissioni convalidate nella prima metà di quest'anno tra le organizzazioni con licenza di sicurezza premium di Microsoft (E5). In tutti i casi, Vectra AI è stata in grado di rilevare e bloccare gli attacchi.
Il motivo è che, sebbene Microsoft sia in grado di aiutare a prevenire un gran numero di attacchi, i suoi strumenti nativi non riescono a fornire la copertura e la chiarezza necessarie per fermare gli attori delle minacce che hanno aggirato le difese di prima linea. La postura nativa di Microsoft, la raccolta dei registri e le semplici regole non sono sufficienti per individuare e bloccare gli aggressori moderni. Le funzionalità complete di rilevamento delle minacce e di risposta di Vectra AIsono state create appositamente per colmare queste lacune nella sicurezza nativa di Microsoft, individuando le minacce negli ambienti Microsoft prima che vengano causati danni.
Il problema della superficie di minaccia di Microsoft
Gli attacchi moderni contro l'infrastruttura Microsoft non sono più limitati a un'unica superficie di attacco. Si estendono a reti, endpoint, identità (umane e non), SaaS, cloud e, più recentemente, Gen AI.
L'esempio seguente rappresenta lo stato attuale dei moderni attaccanti cloud, che si diffondono nei luoghi in cui risiedono i dati di maggior valore.
In questi casi in cui la postura e la prevenzione falliscono, le capacità di rilevamento basate sull'intelligenza artificiale - correlate tra le reti on-premise, Active Directory, Microsoft Entra ID, Microsoft 365, Azure IaaS, Azure PaaS e gli endpoint - sono fondamentali per bloccare le minacce.
Le organizzazioni aziendali risolvono il problema della superficie delle minacce di Microsoft con la piattaforma Vectra AI
"Prima di implementare Vectra AI, avevamo una visibilità limitata sui comportamenti dannosi all'interno del traffico di rete o di Microsoft 365", afferma Kevin Orritt, responsabile della sicurezza ICT presso la Greater Manchester Mental Health NHS Foundation Trust. "Siamo impressionati da ciò che possiamo vedere ora".
Vectra AI colma le lacune fornendo una copertura completa per affrontare il problema della superficie di attacco di Microsoft, una chiarezza guidata dall'intelligenza artificiale per eliminare la latenza di rilevamento e funzionalità di controllo che forniscono al team di sicurezza le risposte necessarie per indagare rapidamente e bloccare con sicurezza gli account compromessi in pochi minuti anziché in ore.
Copertura per ridurre l'esposizione
Il rilevamento, l'investigazione e la risposta alle minacce di rete in tempo reale e senza agenti di Vectrarilevano le minacce lungo tutta la catena di distruzione, fornendo una copertura est-ovest per la ricognizione e il movimento laterale e una copertura nord-sud per il comando e il controllo e l'esfiltrazione. Il rilevamento guidato dall'intelligenza artificiale non si basa sulle firme, garantendo una copertura altrettanto efficace per i framework di attacco noti come Cobalt Strike, nonché per quelli sconosciuti e personalizzati utilizzati dagli aggressori di nuova generazione. Fornisce visibilità non solo su ciò che è diverso, ma si concentra invece sui comportamenti degli aggressori, assicurando che le attività benigne non facciano perdere tempo ai team di sicurezza. Questa copertura incentrata sulla rete consente di rilevare tempestivamente gli aggressori che hanno eluso l'EDR e altri strumenti di prevenzione, offrendo una protezione resiliente per qualsiasi dispositivo, compresi i dispositivi IoT e OT in cui non è possibile implementare l'EDR.
Vectra rileva le tecniche di attacco ibride che non sono state prese in considerazione da Microsoft, come gli attacchi alle credenziali che sfruttano tecniche zero-day e l'abuso di credenziali di privilegio per il movimento laterale. La tecnologia brevettata di analisi dell'accesso ai privilegi di Vectra individua i privilegi effettivi di un'identità rispetto a un punteggio ideale di fiducia zero, garantendo che nel momento in cui una credenziale si discosta dai privilegi effettivi, scatti un allarme. La copertura si estende a tutta la kill chain dell'identità dell'aggressore, con avvisi per gli aggressori che puntano alle credenziali attraverso tecniche come Kerberoasting, forza bruta e abuso di protocolli espliciti di RDP, SSH, NTLM, LDAP, DCERPC, SMB e altro ancora.
Vectra rileva quando gli aggressori accedono per la prima volta a una credenziale Microsoft Entra ID, ma fornisce anche una copertura completa delle azioni successive degli aggressori, come l'identificazione dell'abuso di privilegi cloud , le registrazioni di nuovi dispositivi e la creazione di accessi backdoor. L'intelligenza artificiale giusta viene utilizzata in tutta la copertura di Vectra per fornire una visibilità senza precedenti. Le baseline di lunga durata che tracciano più di 20 attributi dell'autenticazione di ciascun utente vengono esaminate simultaneamente per individuare quali credenziali sono sotto controllo. L'intelligenza artificiale basata sul comportamento di Vectra ha dimostrato di fornire una copertura zero-day per Entra ID, concentrandosi sui privilegi degli utenti e sulle operazioni eseguite. Tutta questa copertura è unificata all'interno della piattaforma Vectra, che collega le identità di rete e cloud per fornire una visibilità integrata in tutta l'azienda Microsoft.
Vectra rileva gli attacchi "living-off-the-land" in Microsoft 365, monitorando l'intera superficie di attacco di M365, compresi Teams, Exchange, OneDrive, eDiscovery, Power Automate e SharePoint, consentendo un monitoraggio completo delle minacce ai dati aziendali critici.
Vectra individua gli aggressori che accelerano il loro attacco sfruttando la Gen AI di Microsoft per accelerare la scoperta di dati mirati che consentono loro di avanzare ulteriormente nell'ambiente o di rubare informazioni di alto valore.
La copertura di Vectra per il rilevamento e la risposta alle minacce di rete si estende senza problemi agli ambienti IaaS, sfruttando i pacchetti per offrire capacità di rilevamento delle minacce senza compromessi. Consente una visibilità ibrida completa, collegando i punti tra le minacce che si muovono senza soluzione di continuità tra sistemi on-premise e cloud .
Vectra rileva gli attacchi contro Azure PaaS utilizzando credenziali umane e non umane, fornendo una visibilità ibrida su tutte le risorse critiche e sull'infrastruttura Azure. Ciò include il monitoraggio delle policy di Azure, di Azure App Service, degli account di automazione di Azure e altro ancora.
Endpoint
Il servizio MXDR di Vectra combina i segnali degli EDR, compreso Defender for Endpoint, con le funzionalità complete di Vectra per fornire una copertura completa delle minacce che colpiscono gli endpoint, gli ambienti ibridi e cloud . Offre un monitoraggio 24 ore su 24 e 7 giorni su 7 da parte di analisti esperti che indagano, rispondono e rimediano alle minacce, garantendo una sicurezza aziendale completa.
Chiarezza per eliminare la latenza nel rilevamento delle minacce
Priorità alle minacce basate sul rischio
L'AI di Vectra dà priorità alle minacce urgenti prima che il danno sia fatto, correlando i comportamenti osservati con l'host, le identità umane e le identità delle macchine. L'AI Prioritization eccelle nel focalizzare i team sulla storia completa che richiede la loro attenzione, massimizzando il loro tempo grazie alla considerazione dell'attività osservata, della classe di sistema, dei privilegi e delle impostazioni di priorità personalizzate.
Correlazione unificata degli attacchi in ambienti ibridi
Gli algoritmi di correlazione collegano i punti tra i comportamenti degli aggressori nei Data Center on-premise, in Active Directory, Microsoft Entra ID, Microsoft 365 e Azure, creando una narrazione unificata degli attacchi per indagini più rapide e precise. Ogni evento di attacco osservato viene attribuito a un account o a una macchina con il nome dell'attore, non a semplici IP e non a indecifrabili ID oggetto, massimizzando il contesto per i team e i loro tempi di risposta.
Eliminazione dei falsi positivi e dei segnali benigni
La nostra AI filtra i comportamenti benigni ed esalta solo gli eventi sospetti. Combina il filtraggio automatico con un filtro manuale opzionale per consentire ai team di sicurezza di concentrarsi sulle minacce reali senza il rischio di perdere un attacco.
Metadati migliorati per le indagini
L'arricchimento dei metadati va oltre ciò che può essere raccolto ed elaborato in qualsiasi SIEM. Ai metadati viene aggiunto un contesto aggiuntivo guidato dall'intelligenza artificiale che sblocca nuove funzionalità per i team di sicurezza con contesti come i punteggi di privilegio delle risorse, gli eventi beacon, JA3 e il vero nome dell'attore e altro ancora.
Controllo per fermare gli attacchi e massimizzare il talento
Monitoraggio attivo della postura
Vectra consente ai team di spostarsi a sinistra identificando le lacune nella sicurezza di reti, identità, servizi cloud e strumenti GenAI come Microsoft Copilot per M365. Monitoriamo attivamente oltre 20 flussi di dati potenziati dall'intelligenza artificiale e centinaia di attributi per scoprire come gli aggressori potrebbero aggirare il controllo nel vostro ambiente in un attacco futuro, con il contesto per ridurre la vostra superficie di attacco.
Indagini accelerate e caccia alle minacce intuitiva
Vectra fornisce istantaneamente le risposte alle domande più importanti degli analisti dai metadati di rete, cloud e identità in ogni caso, senza la necessità di scrivere una singola query. Quando è necessaria un'indagine più approfondita, i team hanno accesso a tutti i 20 flussi di dati con un contesto integrato, accelerando il percorso di identificazione delle minacce.
Capacità di risposta completa
Le integrazioni native di Vectra con EDR, AD ed Entra ID consentono agli analisti della sicurezza di intraprendere manualmente o automaticamente l'azione giusta al momento giusto per fermare un attaccante ovunque si trovi nell'ambiente.
Integrazione con Microsoft Sentinel
Vectra si integra nativamente con Microsoft Sentinel, migliorando i flussi di lavoro esistenti, eliminando la necessità di gestire analisi personalizzate e massimizzando il tempo dei team.
Scoprite le vostre lacune di sicurezza negli ambienti Microsoft
Per affrontare efficacemente il problema della superficie delle minacce di Microsoft, è necessario compiere il passo successivo per comprendere le attuali lacune di sicurezza. I team di sicurezza sono incoraggiati a condurre test di sicurezza su rete, identità e cloud. Cloud utilizzando strumenti che simulano i moderni comportamenti degli aggressori. Vectra AI è qui per aiutarvi a rilevare gli aggressori nel momento in cui si compromettono e a scovare quelli già presenti con una difesa completa guidata dall'AI.
Per saperne di più sulla Vectra AI Platform, consultate la pagina della piattaforma o programmate subito una demo.