I moderni cyber-attaccanti, dotati di sofisticati strumenti di hacking o della giusta password rubata, possono facilmente eludere la sicurezza perimetrale per spiare e rubare all'interno della rete, passando in gran parte inosservati.

Questa lacuna lascia i team di sicurezza alla ricerca manuale di avvisi ed eventi di sicurezza. L'impossibilità di determinare quali avvisi rappresentino il rischio più elevato per l'organizzazione complica ulteriormente il compito.

In pratica, ciò significa che spesso le violazioni vengono scoperte e segnalate da terzi dopo che si è verificato il furto o il danno. Ciò può comportare una debilitante indagine post-violazione che può costare anche milioni di dollari, per non parlare della pubblicità negativa indesiderata e del danno al marchio.

La piattaforma di rilevamento e risposta alle minacce Vectra integra perfettamente la caccia alle minacce basata sull'intelligenza artificiale e la risposta agli incidenti di Google SecOps SIEM Backstory, una piattaforma di telemetria della sicurezza globale, per un maggiore contesto durante le indagini e le ricerche e una maggiore intelligence operativa.

Insieme, Vectra e Google SecOps SIEM offrono una soluzione pratica al problema più persistente che i team di cybersecurity di oggi si trovano ad affrontare: individuare e bloccare i cyberattacchi attivi.

Caratteristiche principali dell'integrazione di Google SecOps SIEM con Vectra AI:

Indagini e risposte più rapide

La piattaforma Cognito assegna un punteggio e classifica gli host di rete in base al rischio. Per consentire indagini e risposte più rapide, tutti i comportamenti dannosi vengono automaticamente associati all'host fisico della rete, anche se l'indirizzo IP cambia. L'integrazione delle piattaforme Cognito e Backstory fornisce una dashboard interattiva per mostrare rapidamente il numero di host classificati come critici, ad alto, medio e basso rischio. Questi punteggi aiutano i team di sicurezza a dare priorità agli eventi, eliminando la necessità di eseguire manualmente il triage di ogni evento e migliorando notevolmente i tempi di risposta.

Visibilità completa e informazioni avanzate sulle minacce

Analizzando tutto il traffico aziendale cloud e on-premises, la piattaforma Cognito rivela le minacce in tutte le fasi di un cyberattacco attivo. Cognito fornisce questa straordinaria gamma di informazioni sulle minacce e telemetria di sicurezza all'archivio di dati macchina della nicchia SIEM di Google SecOps, compresi i rilevamenti di malware e strumenti di attacco sconosciuti, le minacce che si nascondono nelle applicazioni comuni e nel traffico crittografato e le minacce in corso in ogni fase della kill chain dell'attacco. Questa visibilità consente ai team di sicurezza di distinguere immediatamente i comportamenti opportunistici delle botnet dalle minacce mirate più gravi, consentendo un'azione rapida prima che le risorse vengano rubate o danneggiate.

Correlazione in tempo reale, contesto aggiuntivo e archivi ricercabili

L'approccio di Vectra al rilevamento consente ai team di sicurezza di individuare minacce che non sono state rilevate da altre soluzioni di sicurezza. L'integrazione di Cognito con Google SecOps SIEM Backstory collega e correla facilmente i risultati di Vectra con altre soluzioni di terze parti, fornendo un contesto aggiuntivo al team di sicurezza. Google SecOps SIEM acquisisce, indicizza e correla le rilevazioni delle minacce di Cognito in tempo reale, rendendole disponibili in un repository ricercabile in modo che i team di sicurezza possano generare grafici, report, avvisi, dashboard e visualizzazioni.

I vantaggi principali includono:

• Ridurre e fermare rapidamente i cyberattacchi prima che il danno sia fatto
• Ottenere un maggiore contesto in ogni attacco dando priorità agli host infetti che presentano il rischio più elevato e correlando le minacce con la telemetria della sicurezza.
• Ricerca e analisi dei rilevamenti di minacce più semplice

Google SecOps SIEM e Vectra AI Integration: un modello superiore di rilevamento delle minacce

La piattaforma Cognito utilizza modelli di intelligenza artificiale supervisionati e non supervisionati per rilevare i cyberattacchi in tutte le fasi della kill chain dell'attacco, dal comando e controllo, alla ricognizione interna, al movimento laterale e all'esfiltrazione dei dati, senza dipendere da firme o liste di reputazione. Cognito rileva queste minacce analizzando il comportamento sottostante degli attaccanti dal punto di vista oggettivo della rete. Tutti i rilevamenti delle minacce sono correlati agli host coinvolti nell'attacco, mentre i punteggi di rischio e di certezza di Cognito danno priorità agli host che presentano il rischio più elevato. Ciò consente ai team di sicurezza di rilevare minacce nuove e sconosciute, nonché di scoprire attacchi che non si basano su malware, come insider malintenzionati o account utente compromessi. L'integrazione consente di inserire i rilevamenti arricchiti di metadati di Cognito direttamente nella dashboard di Google SecOps SIEM Backstory. Ora le organizzazioni possono incorporare i rilevamenti di alto valore di Cognito nei loro flussi di lavoro esistenti e automatizzare la correlazione nella telemetria di sicurezza di Backstory, fornendo un contesto più ampio alle minacce e agli attacchi.