Qualche settimana fa, in un recente blog, il mio collega e io abbiamo discusso di come la Teoria del carico cognitivo si applichi alla cybersecurity. Il punto chiave di quella discussione è che Vectra AI mira a progettare l'interfaccia utente e il flusso di lavoro per ridurre al minimo il carico cognitivo e ottimizzare l'elaborazione delle informazioni. Esempi di come abbiamo agito in tal senso sulla piattaforma Vectra AI possono essere visti nella nostra pagina Hunt o nel modulo Respond.
Ora, abbiamo recentemente lanciato una nuova funzionalità sulla piattaforma Vectra AI che non solo si riferisce alla teoria del carico cognitivo, ma ottimizza, semplifica e accelera le indagini sugli attacchi e sulle minacce per l'analista di sicurezza moderno. L'Attack Graphs di Vectra è parte integrante della protezione della rete moderna ed è la risposta di Vectra AIalla complessità degli attacchi moderni.
Introduzione ai grafici degli attacchi
L'Attack Graphs di Vectra AIè una funzione della piattaforma Vectra AI che visualizza i rilevamenti associati a una o più entità prioritarie che si estendono all'intera rete moderna, mappati su una linea temporale.
Gli Attack Graphs di Vectra prendono in considerazione i comportamenti sospetti che rappresentano attività dannose su più superfici di attacco (cioè più entità) e li concentrano in una visualizzazione che racconta il quadro completo di un attacco moderno. Permette agli analisti di rispondere a domande fondamentali per indagare sulle minacce:
- Da dove viene questo attacco?
- Qual è l'impatto di tutto ciò?
- Qual è stato l'ordine degli eventi?
Gli Attack Graphs di Vectra rispondono a queste tre domande prendendo i rilevamenti e le informazioni raccolte dalle tecnologie di rete, cloud e identità di Vectra AI e consolidandole in una vista ad albero o hub. Le linee che collegano ogni nodo, che rappresenta un dominio, un account, un server, un host o un elemento, tracciano il quadro di come un moderno attaccante utilizza ogni parte della rete moderna per condurre attività sospette in modo elusivo e profondo all'interno delle reti moderne.
La Vectra AI Platform offre tre forme di visualizzazione: una vista ad albero, una vista a linea temporale e una vista simile a una rete che chiamiamo "grafico di attacco". Queste visualizzazioni garantiscono che l'analisi della visualizzazione si inserisca perfettamente nel flusso di lavoro di qualsiasi analista.
Con gli Attack Graphs, i moderni team di sicurezza possono:
- Valutare l'ampiezza dell'attacco e il suo impatto sulla prioritizzazione dell'IA.
- Visualizzare la progressione degli attacchi attraverso reti, identità e cloud.
- Rintracciare le minacce fino all'attore originale per una risposta più rapida.
- Raccogliere tutte le informazioni critiche sulla minaccia prioritaria in un unico e semplice riquadro.
Raccogliere le informazioni di cui sopra in modo tempestivo e ottimizzando il carico cognitivo è essenziale per indagare e rispondere in modo rapido ed efficace alle minacce moderne.
Accelerazione delle indagini con i grafici degli attacchi di Vectra - un attacco multidominio
In questo esempio, abbiamo il nostro server "marketing-collab" con ogni avviso prioritario visualizzato in una vista ad albero del grafico degli attacchi. Ci concentriamo automaticamente sull'elemento con priorità rossa, che viene classificato come alto in base al punteggio di urgenza di Vectra.
La prima domanda che ci poniamo è: "Da dove vengono?". In questo caso, l'entità prioritaria è stata bersagliata con un tunnel HPS nascosto da un dominio esterno chiamato "minutemen.vault-tech.org". In questo modo, sappiamo immediatamente che questo potrebbe essere il paziente zero o la fonte iniziale dell'attacco.
La domanda successiva che vogliamo porci è "cos'altro è successo?". Per indagare su questo aspetto, seguiamo i rami della vista ad albero per approfondire l'attacco. Possiamo vedere che l'attaccante ha condotto RPC Recon, Kerberoasting Targeted Weak Cipher, interrogazioni LDAP sospette fino a un controller di dominio "10.232.100.32" e un'esecuzione remota sospetta. Questa esecuzione remota stava tentando un movimento laterale verso un altro account "jump-station5", che è stato classificato come medio nel punteggio di urgenza di Vectra.
Il passo successivo della nostra indagine consiste nell'esaminare i rilevamenti da un'angolazione diversa. Possiamo selezionare la "vista del grafico dell'attacco" per ottenere una visione più moderna della rete dell'attacco.
Questa vista offre una maggiore chiarezza, in particolare con la possibilità di spostare gli elementi e di vedere più elementi che si puntano l'un l'altro.
In questo caso, possiamo notare che ci sono più rilevamenti che hanno come obiettivo il controller di dominio o l'account "jump-station5", tra cui RPC Recon o LDAP Query. La parte successiva dell'indagine consiste nel comprendere la progressione dell'attacco nel tempo. Vogliamo rispondere alla domanda "qual è stato l'ordine degli eventi che si sono verificati? " o "come si è sviluppato l'attacco?". È possibile rispondere rapidamente a questa domanda premendo il pulsante play sul grafico dell'attacco; il diagramma mostrerà chiaramente dove e quando si è verificato ogni rilevamento e la velocità con cui l'attacco è progredito nel nostro ambiente.
Gli Attack Graphs di Vectra mostrano le informazioni critiche per indagini approfondite in un'unica semplice visualizzazione, semplificando il processo per gli analisti della sicurezza grazie alla rappresentazione esatta di ciò che accade in un ambiente, riducendo del 50% il tempo dedicato alle indagini sugli avvisi (fonte: 2025 IDC Business Value of Vectra AI Report). In questo esempio, siamo stati in grado di comprendere appieno l'ampiezza dell'attacco in pochi minuti e di capire immediatamente l'impatto sulla prioritizzazione delle minacce. I grafici degli attacchi di Vectra forniscono chiarezza sul tipo di risposta che un analista potrebbe dover eseguire.
Per ulteriori informazioni sui grafici di attacco di Vectra, consultare il nostro podcast.
Per vedere i grafici di attacco di Vectra in azione, programmate una demo con noi.