Non puoi affidarti al PCAP di ieri per le minacce di oggi.
Secondo il rapporto The State of Threat Detection 2023, il 97% degli analisti di sicurezza teme di non riuscire a individuare un evento di sicurezza rilevante1. Poiché ogni giorno vengono sferrati nuovi attacchi evasivi, il rilevamento delle minacce e la risposta agli stessi rappresentano una priorità assoluta per i team di sicurezza informatica che proteggono cloud ibridi. Infatti, quasi due terzi degli analisti afferma che la superficie di attacco è aumentata negli ultimi tre anni.
Le aziende che utilizzano soluzioni di acquisizione dei pacchetti (PCAP) si affidano principalmente a una soluzione di monitoraggio dei permessi di rete che occupa più spazio del necessario e non è in grado di affrontare gli attacchi ibridi in tempo reale che interessano il data center, l'identità, il SaaS e cloud pubblica.
In un cloud ibrido in continua evoluzione, che comprende sia cloud locali che cloud , il PCAP non è sufficiente. I punti di forza del PCAP si basano principalmente sul monitoraggio della rete per gli ambienti locali, lasciando enormi lacune e vulnerabilità che i malintenzionati possono sfruttare.
Sfide PCAP
1. Inefficienza operativa
Mantenere e gestire costantemente gli enormi volumi di archiviazione che influiscono sulle prestazioni e rallentano i team SOC. Inoltre, le soluzioni PCAP utilizzano solo un sottoinsieme molto limitato di metadati.
2. Vedere attraverso la crittografia
Il 97% del traffico Internet è crittografato. Per ottenere un valore reale dal PCAP è necessaria la decrittografia completa del traffico nord-sud, che richiede varie risorse e tempo.
3. Rilevamento delle minacce moderne
Mancanza di rilevamento basato sull'intelligenza artificiale: i modelli di rilevamento delle minacce si basano principalmente su attacchi noti e non sono in grado di rilevare con precisione i moderni attacchi live-off-the-land. PCAP è implementato principalmente come sistema di monitoraggio e risposta di rete e non funziona in tempo reale.
4. Le sfide dell'indagine
Le soluzioni PCAP non consentono di indagare cloud odierne cloud ibrido e si basano su modelli reattivi. Non consentono indagini immediate o avanzate sugli cloud odierni cloud ibrido.
5. Vincoli di costo
L'archiviazione di petabyte di dati PCAP è estremamente costosa e spesso non rappresenta un buon uso delle risorse. Le soluzioni PCAP offrono malware , ma non in modo più efficace rispetto ad altre soluzioni di sicurezza informatica come Endpoint and Response (EDR), tra le altre.
6. Restrizioni all'integrazione
I sistemi PCAP non si integrano bene con altre soluzioni come i SIEM, costringendo i team SOC a passare continuamente da una soluzione all'altra senza alcuna comunicazione tra loro, contribuendo alla proliferazione degli strumenti e al burnout degli analisti.
7. Questioni relative alla privacy
Raccogliendo tutti i dati sensibili di un'organizzazione, le soluzioni PCAP possono contribuire a violazioni della privacy dovendo eseguire metodi di crittografia sui dati al fine di fornire analisi forensi al SOC.
Criteri chiave da considerare
Pensare come un aggressore ibrido
I team SOC devono mettersi nei panni degli aggressori e valutare dove gli aggressori ibridi hanno o potrebbero colpire e infiltrarsi. Oggi, i team SOC si affidano a varie tecnologie di rilevamento e risposta, come soluzioni IDS e PCAP, che si concentrano principalmente sul perimetro della rete, rendendo il rilevamento delle minacce una sfida complessa. Esistono troppe soluzioni isolate che inviano troppi segnali di rilevamento delle minacce agli analisti SOC. I team di sicurezza devono spostare la loro attenzione dalle superfici di attacco specifiche e iniziare a pensare come gli aggressori che vedono un'unica gigantesca superficie di attacco. Più il segnale di attacco è isolato e separato, maggiore è la latenza nel rilevare attacchi ibridi che mirano a eseguire malware a violare i dati.
Muoversi alla velocità di un attaccante ibrido
Gli aggressori ibridi che vogliono aggirare le tue soluzioni PCAP legacy si concentrano sui metadati che potresti non analizzare in quel caso specifico. Gli aggressori cercano anche di spostarsi a nord, sud, est e ovest nel tuo ambiente con tentativi di movimento laterale. Quando un aggressore è entrato nel tuo ambiente, la correlazione e il contesto di tutti i suoi movimenti sono fondamentali per valutare la progressione dell'attacco all'interno cloud tuo cloud ibrido. Analizzare l'enorme quantità di metadati e poi affidarsi alla crittografia prima di poter realmente indagare su un incidente rallenta enormemente il processo di indagine e risposta. Muoversi alla velocità degli aggressori richiede di eliminare il più possibile la latenza nelle prime fasi del processo di rilevamento e poi scalare su quella base con triage, prioritizzazione, indagine e risposta. La latenza di rilevamento è ciò che dà agli aggressori il vantaggio di muoversi rapidamente lungo la catena di attacco.
Le chiavi del successo
Per stare al passo con gli attacchi ibridi in continua evoluzione, i team SOC possono concentrarsi sulla classificazione degli attacchi in tempo reale, concentrandosi su tre aree chiave:
Copertura della superficie di attacco
Telemetria degli attacchi integrata e consolidata su tutta la superficie di attacco ibrida, che offre una visibilità completa su identità, cloud pubblico, SaaS e reti di data center. Oltre al rilevamento unificato basato su firme, al rilevamento basato sul comportamento guidato dall'intelligenza artificiale e alle informazioni sulle minacce nel cloud ibrido, cloud una copertura completa di tutti i metodi di attacco ibridi.
Chiarezza del segnale di attacco
Segnale di attacco integrato e in tempo reale basato sull'intelligenza artificiale. Sfrutta l'intelligenza artificiale per automatizzare il rilevamento delle minacce, la classificazione e la prioritizzazione in tempo reale nel tuo cloud ibrido. Spostate l'attenzione dal rilevamento delle minacce incentrato sugli eventi al segnale di attacco incentrato sulle entità. Il segnale di attacco incentrato sulle entità fornisce avvisi altamente affidabili sugli host e sugli account sotto attacco in un dato momento. In questo modo, si riduce drasticamente il burnout degli analisti e si contribuisce a migliorare la produttività complessiva. Il passaggio a un approccio incentrato sulle entità riduce la latenza nella definizione delle priorità degli attacchi ibridi.
Controllo integrato
Fornite agli analisti SOC funzionalità di indagine e risposta integrate, automatizzate e co-gestite che si muovono alla velocità e alla scala degli aggressori ibridi. Eliminate il più possibile la latenza delle indagini e delle risposte dal flusso di lavoro dei vostri analisti, mettendo a loro disposizione tutto il contesto e i controlli 24 ore su 24, 7 giorni su 7. Inoltre, sfruttate i servizi co-gestiti per aggiungere rinforzi al vostro team SOC quando le risorse di talento sono scarse e le competenze sono insufficienti. Integrando e consolidando tutto il contesto degli attacchi ibridi, i controlli e le risorse co-gestite, è possibile ridurre la latenza delle indagini e delle risposte agli attacchi ibridi.
Quando si tratta di ritirare il PCAP per il segnale di attacco ibrido integrato e ridurre la latenza di rilevamento, indagine e risposta agli attacchi ibridi, Vectra AI aiutarti. Vectra AI offre il segnale integrato che alimenta il rilevamento e la risposta estesi (XDR) fornendo una copertura della superficie di attacco su cloud pubblico, identità, SaaS e reti di data center. Il sistema brevettato Attack Signal IntelligenceTM assegna la priorità alle entità sotto attacco, insieme a una risposta integrata automatizzata e co-gestita che impedisce agli attacchi di diventare violazioni.
Apprezzato da esperti e aziende in tutto il mondo
