Perché i firewall da soli non bastano a fermare gli attacchi moderni

Il buco nella sicurezza del firewall

I firewall sono essenziali per applicare le politiche di traffico, ma gli aggressori utilizzano tunnel crittografati, app SaaS legittime e credenziali rubate per eludere tali controlli. Per vedere cosa succede una volta concesso l'accesso, è necessario un sistema di rilevamento basato sull'intelligenza artificiale che integri l'applicazione dei controlli perimetrali del firewall.

Come gli hacker aggirano i firewall

1. Traffico crittografato e affidabile 

Gli aggressori utilizzano tunnel crittografati o applicazioni SaaS legittime per aggirare l'ispezione approfondita dei pacchetti.

2. Credenziali compromesse 

I firewall consentono l'accesso agli utenti autenticati, anche se le loro credenziali sono state rubate.

3. Movimenti laterali e attacchi cloud 

I firewall controllano il traffico in entrata e in uscita, ma non riescono a rilevare i movimenti degli aggressori all'interno degli ambienti ibridi.

Le conseguenze reali delle lacune nella visibilità dei firewall

Nello Scattered Spider riportato di seguito, i firewall applicano regole perimetrali, ma le comunicazioni crittografate, le credenziali valide e le chiamate SaaS basate su API sembrano tutte legittime. L'analisi in tempo reale Vectra AIsegnalerebbe ogni fase mentre gli aggressori si muovono attraverso ambienti ibridi.

I firewall controllano il traffico: Vectra AI ciò che viene dopo

I firewall controllano chi e cosa può attraversare il tuo perimetro, ma non monitorano cosa succede dopo che l'accesso è stato concesso. Per individuare l'uso improprio delle credenziali, i movimenti laterali e le tattiche cloud, hai bisogno di un monitoraggio continuo e basato sull'intelligenza artificiale dei comportamenti a livello di rete, cloud e identità.

I firewall filtrano, controllano e bloccano il traffico, ma:

• Cosa succede se un hacker usa credenziali rubate? I firewall permettono un'autenticazione affidabile, anche se compromessa.
• Cosa succede se l'attacco si sposta attraverso cloud il SaaS? Gli NGFW si concentrano sul traffico di rete, ma non hanno una visibilità approfondita sulle minacce SaaS, IaaS e basate sull'identità.
• Cosa succede se gli aggressori utilizzano comunicazioni crittografate? I firewall hanno difficoltà a ispezionare il traffico crittografato senza introdurre colli di bottiglia nelle prestazioni.

Come Vectra AI il divario

I firewall proteggono i confini della rete, ma non rilevano gli aggressori una volta che questi sono penetrati all'interno. La Vectra AI identifica le minacce in tempo reale a livello di rete, cloud e identità, colmando le lacune di rilevamento lasciate dai firewall.

• Rileva gli attacchi furtivi: utilizza l'intelligenza artificiale per smascherare i comportamenti degli aggressori che si mimetizzano nel traffico normale.
• Monitora le minacce cloud SaaS: offre visibilità oltre i controlli di rete, rilevando gli attacchi in ambienti ibridi.
• Funziona con NGFW e XDR: integra la sicurezza del firewall con il rilevamento basato sull'intelligenza artificiale e una risposta più rapida alle minacce.

Con Vectra AI, puoi bloccare le minacce che sfuggono ai firewall prima che si trasformino in violazioni.

Come Vectra AI NGFW

I firewall si concentrano sul controllo del traffico, mentre Vectra AI rileva le minacce attive oltre le difese perimetrali. Ecco un confronto tra i due:

Vectra AI sostituisce i firewall, ma li potenzia rilevando le minacce che i controlli del traffico non riescono a individuare.