Perché le piattaforme Endpoint (EPP) da sole non bastano a fermare gli attacchi moderni

Il divario di sicurezza del PPE

Le soluzioni EPP sono fondamentali per bloccare malware ransomware noti sui dispositivi gestiti, ma non sono state progettate per individuare il comportamento degli aggressori una volta che questi riescono a eludere endpoint . Per rilevare tecniche fileless, l'uso improprio delle credenziali e i movimenti laterali attraverso i livelli cloud di rete, è necessario un sistema di rilevamento basato sull'intelligenza artificiale che integri i controlli basati su firme delle soluzioni EPP.

Come gli hacker eludono l'EPP

1. Tecniche senza file e "Living-off-the-Land" (LotL) 

Gli hacker sfruttano strumenti affidabili come PowerShell o PsExec senza distribuire malware dall'EPP.

2. Credenziali compromesse e minacce interne 

EPP protegge gli endpoint, ma non rileva il furto di credenziali né le violazioni degli account.

3. Movimento laterale al di fuori dei dispositivi gestiti 

Una volta entrati, gli aggressori si muovono attraverso i livelli non gestiti, cloud e di identità, dove l'EPP non ha alcuna visibilità.

Le conseguenze concrete delle lacune nella visibilità dell'EPP

Nello Scattered Spider " descritto di seguito, l'EPP blocca malware noto malware non rileva le tecniche fileless e quelle basate sulle credenziali. L'analisi di rete, cloud e identità Vectra AIsegnalerebbe ogni fase mentre gli aggressori si muovono all'interno di ambienti ibridi.

L'EPP blocca Malware— Vectra AI il futuro

L'EPP è fondamentale per bloccare malware endpoint, ma non monitora ciò che accade quando gli aggressori passano a tecniche fileless o a movimenti basati sulle credenziali. Per rilevare l'uso improprio delle identità, i movimenti laterali e le minacce cloud, è necessaria una visibilità continua basata sull'intelligenza artificiale su tutto l'ambiente.

EPP utilizza un sistema di rilevamento basato sulle firme e sul comportamento per le minacce note, ma:

• E se l'attacco utilizzasse strumenti legittimi? L'EPP non rileva gli attacchi " living-off-the-land " e quelli senza file.
• E se l'autore dell'attacco utilizzasse credenziali rubate? L'EPP non è in grado di rilevare i movimenti laterali basati sull'identità.
• E se l'attacco si estendesse al cloud al SaaS? L'EPP rileva solo gli endpoint gestiti, non gli ambienti ibridi.

Come Vectra AI questa lacuna

L'EPP blocca le minacce note a livello di endpoint, mentre Vectra AI l'intero ciclo di vita dell'attacco, individuando comportamenti dannosi nel traffico di rete, cloud e nei sistemi di gestione delle identità con un elevato grado di affidabilità e bassi tassi di falsi positivi. 

• Rileva attacchi senza file e LotL: l'intelligenza artificiale identifica i comportamenti degli aggressori che non si basano su malware.
• Previene l'uso improprio delle credenziali e le minacce interne: rileva i movimenti laterali e l'escalation dei privilegi negli ambienti ibridi.
• Funziona in sinergia con EPP: integra EPP fornendo un rilevamento in tempo reale che va oltre endpoint.

Con Vectra AI, puoi bloccare gli aggressori che aggirano endpoint , prima che riescano a intensificare il loro attacco.

In che modo Vectra AI l'EPP

EPP protegge gli endpoint, mentre Vectra AI rileva le minacce attive al di fuori dei dispositivi gestiti. Ecco un confronto tra le due soluzioni:

Vectra AI sostituisce l'EPP, ma lo potenzia individuando le minacce che malware sola malware non riesce a rilevare.