Qualche settimana fa, in un recente blog, io e un mio collega abbiamo discusso di come la teoria del carico cognitivo si applichi alla sicurezza informatica. Il punto chiave di quella discussione è che Vectra AI a progettare la propria interfaccia utente e il proprio flusso di lavoro in modo da ridurre al minimo il carico cognitivo e ottimizzare l'elaborazione delle informazioni. Esempi di come abbiamo applicato questo principio alla Vectra AI sono disponibili nella nostra pagina Hunt o nel modulo Respond.
Recentemente abbiamo lanciato una nuova funzionalità sulla Vectra AI che non solo tiene conto della teoria del carico cognitivo, ma ottimizza, semplifica e accelera anche le indagini su attacchi e minacce per i moderni analisti della sicurezza. Gli Attack Graphs di Vectra sono parte integrante della protezione delle reti moderne e rappresentano la risposta Vectra AIalla complessità degli attacchi moderni.
Introduzione ai grafici di attacco
Attack Graphs Vectra AIè una funzionalità della Vectra AI che visualizza i rilevamenti associati a una o più entità prioritarie che si estendono su tutta la rete moderna, mappati su una linea temporale.
I grafici degli attacchi di Vectra raccolgono i comportamenti sospetti che rappresentano attività dannose su più superfici di attacco (ovvero più entità) e li concentrano in una visualizzazione che fornisce un quadro completo degli attacchi moderni. Ciò consente agli analisti di rispondere a domande fondamentali per indagare sulle minacce:
- Da dove è venuto questo attacco?
- Qual è l'impatto di tutto questo?
- Qual è stata la sequenza degli eventi?
I grafici degli attacchi di Vectra rispondono a queste tre domande raccogliendo i rilevamenti e le informazioni raccolte dalla Vectra AI , cloud e dalle tecnologie di identità Vectra AI e consolidandoli in una vista ad albero o hub. Le linee che collegano ciascun nodo, che rappresenta un dominio, un account, un server, un host o un elemento, dipingono il quadro di come un aggressore moderno utilizza ciascuna parte della rete moderna per condurre attività sospette in modo elusivo e profondo all'interno delle reti moderne.
La Vectra AI offre tre forme di visualizzazione: una vista ad albero, una vista cronologica e una vista simile a una rete che chiamiamo "grafico degli attacchi". Queste viste garantiscono che l'analisi della visualizzazione si adatti perfettamente al flusso di lavoro di qualsiasi analista.
Con Attack Graphs, i moderni team di sicurezza possono:
- Valutare l'ampiezza dell'attacco e il suo impatto sulla definizione delle priorità dell'IA.
- Visualizza la progressione degli attacchi attraverso reti, identità e cloud.
- Rintraccia le minacce fino al responsabile originale per una risposta più rapida.
- Raccogli tutte le informazioni critiche relative alla minaccia prioritaria in un unico e semplice pannello di controllo.
Raccogliere le informazioni di cui sopra in modo tempestivo, ottimizzando il carico cognitivo, è essenziale per indagare e rispondere in modo rapido ed efficace alle minacce moderne.
Accelerare le indagini con gli Attack Graphs di Vectra: un attacco multidominio
In questo esempio, abbiamo il nostro server "marketing-collab" con ogni avviso prioritario visualizzato in una vista ad albero del grafico degli attacchi. Ci concentriamo automaticamente sull'elemento prioritario in rosso, classificato come Alto secondo il punteggio di urgenza di Vectra.
La prima domanda che ci poniamo è: "Da dove provengono?" In questo caso, l'entità prioritaria è stata presa di mira con un tunnel HPS nascosto proveniente da un dominio esterno chiamato "minutemen.vault-tech.org". Questo ci permette di capire immediatamente che potrebbe trattarsi del paziente zero o della fonte iniziale dell'attacco.
La domanda successiva che vogliamo porre è: "cos'altro è successo?". Per indagare su questo, seguiamo i rami della vista ad albero per approfondire l'attacco. Possiamo vedere che l'autore dell'attacco ha condotto un RPC Recon, Kerberoasting Weak Cipher, una query LDAP sospetta fino a un controller di dominio "10.232.100.32" e un'esecuzione remota sospetta. Questa esecuzione remota tentava un movimento laterale verso un altro account "jump-station5", che è stato classificato come Medio nel Vectra Urgency Score.
Il passo successivo della nostra indagine consiste nell'esaminare i rilevamenti da una prospettiva diversa. Possiamo selezionare la "visualizzazione grafica dell'attacco", che ci offre una visione più moderna dell'attacco.
Questa visualizzazione ci offre maggiore chiarezza, in particolare grazie alla possibilità di spostare gli elementi e vedere più elementi che si influenzano a vicenda.
Qui possiamo vedere che ci sono più rilevamenti che prendono di mira quel controller di dominio o quell'account "jump-station5", inclusi RPC Recon o LDAP Query. La parte successiva dell'indagine consiste nel comprendere la progressione dell'attacco nel tempo. Vogliamo rispondere alla domanda "qual è stata la sequenza degli eventi che si sono verificati?" o "come si è sviluppato questo attacco?". È possibile rispondere rapidamente a queste domande premendo il pulsante di riproduzione sul grafico dell'attacco: il diagramma mostrerà chiaramente dove e quando si è verificato ciascun rilevamento e con quale rapidità l'attacco si è sviluppato nel nostro ambiente.
Gli Attack Graphs di Vectra mostrano le informazioni critiche per indagini approfondite in un'unica semplice visualizzazione, semplificando il processo per gli analisti della sicurezza descrivendo esattamente ciò che accade in un ambiente e riducendo del 50% il tempo dedicato all'analisi degli avvisi (Fonte: 2025 IDC Business Value of Vectra AI ). In questo esempio, siamo stati in grado di comprendere appieno la portata dell'attacco in pochi minuti e di capire immediatamente l'impatto sulla prioritizzazione delle minacce. Gli Attack Graphs di Vectra forniscono chiarezza sul tipo di risposta che un analista potrebbe dover eseguire.
Per ulteriori informazioni sui grafici degli attacchi di Vectra, guarda il nostro podcast.
Per vedere i grafici degli attacchi di Vectra in azione, prenota una demo con noi.