Perché l'EDR da solo non è in grado di fermare gli attacchi moderni

Il divario di sicurezza EDR

L'EDR è essenziale per individuare endpoint in tempo reale, ma gli aggressori aggirano sempre più spesso questi controlli, muovendosi lateralmente attraverso reti, cloud e sistemi di identità dove gli agenti EDR non sono presenti. Per ottenere una visibilità completa e fermare gli attacchi prima che si diffondano, è necessario un sistema di rilevamento basato sull'intelligenza artificiale che integri l'EDR.  

Come gli aggressori eludono l'EDR

1. Attacchi Living-off-the-land (LotL) 

Gli autori delle minacce utilizzano strumenti integrati come RDP e PsExec per mimetizzarsi nelle normali operazioni, evitando gli avvisi EDR.

2. Credenziali compromesse 

Le credenziali rubate o deboli consentono agli aggressori di muoversi all'interno di ambienti ibridi senza attivare i sistemi di rilevamento endpoint.

3. Minacce non gestite e cloud 

L'EDR protegge solo i dispositivi gestiti, lasciando vulnerabili cloud , le applicazioni SaaS e i dispositivi IoT.

Esempio reale di un attacco che aggira l'EDR

In questo Volt Typhoon , gli agenti EDR vedono solo endpoint , mentre i movimenti laterali attraverso i sistemi cloud di identità rimangono invisibili. L'analisi della rete e delle identità Vectra AIsegnalerebbe ogni fase mentre gli aggressori attraversano gli ambienti ibridi.

EDR protegge gli endpoint,Vectra AI ciò che verrà dopo

L'EDR è fondamentale per endpoint , ma non monitora ciò che accade una volta che gli aggressori hanno preso il controllo di tali host. Per individuare l'uso improprio delle credenziali, i movimenti laterali e le tecniche cloud, è necessario un rilevamento continuo delle minacce a livello di rete, cloud e identità.

Le soluzioni EDR si basano su agenti installati sugli endpoint, il che significa che rilevano le minacce solo dove sono stati distribuiti gli agenti. Tuttavia:

• Cosa succede se l'autore dell'attacco si sposta su un sistema senza agente? I dispositivi non gestiti, le risorse IoT e i sistemi legacy rimangono privi di protezione.
• Cosa succede se l'autore dell'attacco non utilizza malware? Gli attacchi senza file e l'uso improprio delle credenziali non attivano gli avvisi EDR tradizionali.
• Cosa succede se l'attacco si diffonde oltre gli endpoint? Il movimento laterale attraverso l'infrastruttura di rete e cloud spesso passa inosservato.

Come Vectra AI il divario

L'EDR rileva endpoint , ma Vectra AI l'intero ciclo di vita dell'attacco, individuando comportamenti dannosi nel traffico di rete, cloud e nei sistemi di identità con un elevato grado di affidabilità e bassi tassi di falsi positivi. Ecco come:

• Guarda oltre gli endpoint: rileva le minacce nel traffico di rete, cloud e nelle applicazioni SaaS, senza fare affidamento sugli endpoint .
• Rivelare gli attacchi basati sull'identità: identifica l'abuso delle credenziali, l'escalation dei privilegi e i movimenti laterali che aggirano l'EDR.
• Migliora EDR e XDR: funziona insieme agli strumenti di sicurezza esistenti per fornire visibilità completa e rilevamento degli attacchi basato sull'intelligenza artificiale.

Con Vectra AI, puoi individuare e bloccare le minacce prima che si aggravino. Indipendentemente da dove si nascondano gli aggressori.

Come Vectra AI l'EDR

Mentre EDR si concentra sulle endpoint , Vectra AI la protezione all'intera superficie di attacco. Ecco un confronto tra i due:

Vectra AI sostituisce l'EDR, ma rafforza il tuo stack di sicurezza rilevando gli attacchi che l'EDR non riesce a individuare.