Perché l'EDR da solo non basta a fermare gli attacchi moderni

La falla nella sicurezza dell'EDR

L'EDR è fondamentale per individuare endpoint in tempo reale, ma gli autori degli attacchi aggirano sempre più spesso tali controlli, spostandosi lateralmente all'interno delle reti, cloud e dei sistemi di gestione delle identità dove gli agenti EDR non sono presenti. Per ottenere una visibilità completa e bloccare gli attacchi prima che si diffondano, è necessario un sistema di rilevamento basato sull'intelligenza artificiale che integri l'EDR.  

Come gli hacker eludono l'EDR

1. Attacchi "Living-off-the-land" (LotL) 

Gli autori delle minacce utilizzano strumenti integrati come RDP e PsExec per mimetizzarsi tra le normali operazioni, evitando così di far scattare gli avvisi EDR.

2. Credenziali compromesse 

Le credenziali rubate o poco sicure consentono agli hacker di muoversi all'interno di ambienti ibridi senza far scattare i sistemi di rilevamento endpoint.

3. Minacce non gestite e cloud 

L'EDR protegge solo i dispositivi gestiti, lasciando vulnerabili cloud , le applicazioni SaaS e i dispositivi IoT.

Esempio concreto di un attacco che aggira l'EDR

In questo Volt Typhoon , gli agenti EDR rilevano solo endpoint , mentre i movimenti laterali attraverso i sistemi cloud di gestione delle identità rimangono invisibili. L'analisi di rete e delle identità Vectra AIsegnalerebbe ogni fase del percorso degli aggressori attraverso gli ambienti ibridi.

EDR protegge gli endpoint —Vectra AI ciò che verrà dopo

L'EDR è fondamentale per endpoint , ma non monitora ciò che accade una volta che gli aggressori si spostano da tali host. Per individuare l'uso improprio delle credenziali, i movimenti laterali e le tecniche cloud, è necessario un rilevamento continuo delle minacce a livello di rete, cloud e identità.

Le soluzioni EDR si basano su agenti installati sugli endpoint, il che significa che rilevano le minacce solo nei punti in cui tali agenti sono presenti. Tuttavia:

• E se l'autore dell'attacco si spostasse su un sistema privo di agente? I dispositivi non gestiti, le risorse IoT e i sistemi legacy rimangono privi di protezione.
• E se l'autore dell'attacco non utilizzasse malware? Gli attacchi senza file e l'uso improprio delle credenziali non attivano gli avvisi EDR tradizionali.
• E se l'attacco si estendesse oltre gli endpoint? Il movimento laterale all'interno dell'infrastruttura di rete e cloud spesso passa inosservato.

Come Vectra AI questa lacuna

L'EDR rileva endpoint , ma Vectra AI l'intero ciclo di vita dell'attacco, individuando comportamenti dannosi nel traffico di rete, cloud e nei sistemi di gestione delle identità con un elevato grado di affidabilità e bassi tassi di falsi positivi. Ecco come:

• Non limitarti agli endpoint: rileva le minacce nel traffico di rete, cloud e nelle applicazioni SaaS, senza ricorrere ad endpoint .
• Individuare gli attacchi basati sull'identità: rileva l'uso improprio delle credenziali, l'escalation dei privilegi e i movimenti laterali che eludono l'EDR.
• Ottimizzazione di EDR e XDR: opera in sinergia con gli strumenti di sicurezza esistenti per garantire una visibilità completa e il rilevamento degli attacchi basato sull'intelligenza artificiale.

Con Vectra AI, puoi individuare e bloccare le minacce prima che si aggravino. Ovunque si nascondano gli aggressori.

In che modo Vectra AI l'EDR

Mentre l'EDR si concentra sulle endpoint , Vectra AI la protezione all'intera superficie di attacco. Ecco un confronto tra le due soluzioni:

Vectra AI sostituisce l'EDR, ma rafforza il vostro sistema di sicurezza individuando gli attacchi che l'EDR non riesce a rilevare.