Non puoi fare affidamento sul PCAP di ieri per le minacce di oggi.
Secondo il rapporto "The State of Threat Detection 2023", il 97% degli analisti di sicurezza teme di non riuscire a individuare un evento di sicurezza rilevante¹. Poiché ogni giorno vengono sferrate nuove minacce sempre più elusive, il rilevamento e la risposta alle minacce rappresentano una priorità assoluta per i team di sicurezza informatica incaricati di proteggere cloud ibridi. Infatti, quasi due terzi degli analisti afferma che la superficie di attacco è aumentata negli ultimi tre anni.
Le aziende che utilizzano soluzioni di acquisizione dei pacchetti (PCAP) si affidano principalmente a una soluzione di monitoraggio perimetrale della rete che occupa più spazio del necessario e non è in grado di contrastare gli attacchi ibridi in tempo reale che coinvolgono il data center, l'identità, il SaaS e cloud pubblica.
In un cloud ibrido in continua evoluzione, che comprende sia cloud on-premise che cloud , il PCAP non è più sufficiente. I punti di forza del PCAP risiedono principalmente nel monitoraggio della rete per gli ambienti on-premise, lasciando enormi lacune e vulnerabilità che i malintenzionati possono sfruttare.
Sfide del PCAP
1. Inefficienza operativa
La gestione e la manutenzione costanti degli enormi volumi di dati archiviati incidono sulle prestazioni e rallentano il lavoro dei team SOC. Inoltre, le soluzioni PCAP utilizzano solo un sottoinsieme molto limitato di metadati.
2. Capire come funziona la crittografia
Il 97% del traffico Internet è crittografato. Per ricavare informazioni realmente utili dai file PCAP è necessario decrittografare completamente il traffico in entrata e in uscita, operazione che richiede tempo e risorse.
3. Rilevamento delle minacce moderne
Mancanza di un sistema di rilevamento basato sull'intelligenza artificiale: i modelli di rilevamento delle minacce si basano principalmente su attacchi noti e non sono in grado di individuare con precisione i moderni attacchi "live-off-the-land". Il PCAP è implementato principalmente come sistema di monitoraggio e risposta di rete e non funziona in tempo reale.
4. Le difficoltà investigative
Le soluzioni PCAP non consentono di indagare sulle cloud attuali cloud ibrido e si basano su modelli reattivi. Non consentono inoltre un'analisi immediata o avanzata cloud odierni cloud ibrido.
5. Vincoli di costo
L'archiviazione di petabyte di dati PCAP è estremamente costosa e spesso non rappresenta un uso ottimale delle risorse. Le soluzioni PCAP consentono malware , ma non in modo più efficace rispetto ad altre soluzioni di sicurezza informatica, come ad esempio Endpoint and Response (EDR), solo per citarne alcune.
6. Limitazioni all'integrazione
I sistemi PCAP non si integrano bene con altre soluzioni, come i SIEM, costringendo i team dei SOC a passare continuamente da una soluzione all'altra che non comunicano tra loro, contribuendo così alla proliferazione degli strumenti e all'esaurimento degli analisti.
7. Questioni relative alla privacy
Raccogliendo tutti i dati sensibili di un'organizzazione, le soluzioni PCAP possono contribuire a violazioni della privacy, poiché devono applicare metodi di crittografia ai dati per fornire analisi forensi al SOC.
Criteri fondamentali da tenere in considerazione
Pensare come un aggressore ibrido
I team SOC devono mettersi nei panni degli aggressori e valutare dove gli autori di attacchi ibridi hanno preso o potrebbero prendere di mira e infiltrarsi. Oggi, i team SOC si affidano a varie tecnologie di rilevamento e risposta, come gli IDS e le soluzioni PCAP, che si concentrano principalmente sul perimetro di rete, rendendo il rilevamento delle minacce una sfida complessa. Esistono troppe soluzioni isolate che inviano un numero eccessivo di segnali di rilevamento delle minacce agli analisti SOC. I team di sicurezza devono spostare la loro attenzione da specifiche superfici di attacco e iniziare a pensare come gli aggressori, che vedono un'unica gigantesca superficie di attacco. Più i segnali di attacco sono isolati e separati, maggiore è la latenza nel rilevare attacchi ibridi che mirano a eseguire malware a portare a termine una violazione dei dati.
Muovendosi alla velocità di un attaccante ibrido
Gli autori di attacchi ibridi che intendono aggirare le vostre soluzioni PCAP tradizionali puntano sui metadati che potreste non analizzare in quel preciso momento. Gli autori degli attacchi cercano inoltre di spostarsi in tutte le direzioni all'interno del vostro ambiente, tentando movimenti laterali. Quando un autore di attacchi è penetrato nel vostro ambiente, la correlazione e il contesto relativi a tutti i suoi movimenti sono fondamentali per valutare l'evoluzione dell'attacco all'interno cloud vostro cloud ibrido. Analizzare la vasta quantità di metadati e poi affidarsi alla crittografia prima di poter indagare realmente su un incidente rallenta enormemente il processo di indagine e risposta. Muoversi alla velocità dell'autore dell'attacco richiede l'eliminazione della maggior parte della latenza nelle prime fasi del processo di rilevamento e poi il potenziamento di ciò con triage, definizione delle priorità, indagine e risposta. La latenza di rilevamento è ciò che offre agli autori degli attacchi un vantaggio per muoversi rapidamente lungo la catena di attacco.
Le chiavi del successo
Per stare al passo con gli attacchi ibridi in continua evoluzione di oggi, i team SOC possono concentrarsi sulla classificazione degli attacchi in base alla priorità in tempo reale, prestando particolare attenzione a tre aree chiave:
Copertura della superficie di attacco
Telemetria degli attacchi integrata e consolidata sull'intera superficie di attacco ibrida, che garantisce una visibilità completa su identità, cloud pubblico, SaaS e reti dei data center. Oltre al rilevamento unificato basato su firme, al rilevamento basato sul comportamento guidato dall'intelligenza artificiale e alle informazioni sulle minacce nell'intero cloud ibrido, cloud una copertura completa di tutti i metodi di attacco ibridi.
Chiarezza del segnale di attacco
Segnali di attacco integrati e in tempo reale basati sull'intelligenza artificiale. Sfrutta l'intelligenza artificiale per automatizzare in tempo reale il rilevamento, la classificazione e la prioritizzazione delle minacce nel tuo cloud ibrido. Spostate l'attenzione dal rilevamento delle minacce incentrato sugli eventi a un segnale di attacco incentrato sulle entità. Il segnale di attacco incentrato sulle entità fornisce avvisi ad alta precisione su host e account sotto attacco in qualsiasi momento. In questo modo, si riduce drasticamente il sovraccarico degli analisti e si contribuisce a migliorare la produttività complessiva. Il passaggio a un approccio incentrato sulle entità riduce la latenza nella prioritizzazione degli attacchi ibridi.
Controllo integrato
Fornite agli analisti del SOC funzionalità di indagine e risposta integrate, automatizzate e in co-gestione, in grado di muoversi alla velocità e su una scala pari a quelle degli autori di attacchi ibridi. Eliminate il più possibile i tempi di latenza nelle attività di indagine e risposta dal flusso di lavoro dei vostri analisti, mettendo a loro disposizione 24 ore su 24, 7 giorni su 7, tutto il contesto e i controlli necessari. Inoltre, sfruttate i servizi in co-gestione per rafforzare il vostro team SOC quando le risorse di talento scarseggiano e mancano le competenze necessarie. Integrando e consolidando tutto il contesto degli attacchi ibridi, i controlli e le risorse in co-gestione, potrete ridurre la latenza nelle indagini e nella risposta agli attacchi ibridi.
Se desiderate sostituire il vostro PCAP con una soluzione integrata per i segnali di attacchi ibridi e ridurre i tempi di rilevamento, analisi e risposta agli attacchi ibridi, Vectra AI esservi d'aiuto. Vectra AI offre il segnale integrato che alimenta il rilevamento e la risposta estesi (XDR), fornendo una copertura della superficie di attacco su cloud pubblico, identità, SaaS e reti di data center. La tecnologia brevettata Attack Signal Intelligence™ assegna la priorità alle entità sotto attacco, insieme a una risposta integrata, automatizzata e co-gestita che impedisce agli attacchi di trasformarsi in violazioni.
