Non si può fare affidamento sul PCAP di ieri per le minacce di oggi.
Secondo The State of Threat Detection 2023, il 97% degli analisti di sicurezza teme di perdere un evento di sicurezza rilevante1. Poiché ogni giorno vengono condotte nuove minacce evasive, il rilevamento e la risposta alle minacce sono una priorità assoluta per i team di cybersecurity che proteggono gli ambienti cloud ibridi. Infatti, quasi due terzi degli analisti affermano che la dimensione della superficie di attacco è aumentata negli ultimi tre anni.
Le aziende che sfruttano le soluzioni di Packet Capture (PCAP) si affidano principalmente a una soluzione di monitoraggio dei permettitori di rete che occupa più spazio del necessario e non è in grado di affrontare gli attacchi ibridi che si verificano in tempo reale e che riguardano il data center, l'identità, l'infrastruttura SaaS e il cloud pubblico.
In un mondo ibrido in evoluzione come quello di cloud , che comprende infrastrutture on-premises e cloud , il PCAP non è sufficiente. I punti di forza di PCAP si basano principalmente sul monitoraggio della rete per gli ambienti on-premises, lasciando enormi lacune e vulnerabilità che i malintenzionati possono sfruttare.
Le sfide del PCAP
1. Inefficienza operativa
La costante manutenzione e gestione degli enormi volumi di archiviazione che impattano sulle prestazioni e rallentano i team SOC. Inoltre, le soluzioni PCAP utilizzano solo un sottoinsieme molto limitato di metadati.
2. Vedere attraverso la crittografia
Il 97% del traffico Internet è criptato. Per ottenere un valore reale dal PCAP è necessaria la decodifica completa del traffico nord e sud, che richiede diverse risorse e tempo.
3. Il moderno rilevamento delle minacce
Mancanza di rilevamento guidato dall'intelligenza artificiale: i modelli di rilevamento delle minacce si basano principalmente su attacchi noti e non sono in grado di rilevare con precisione i moderni attacchi live-off-the-land. Il PCAP è implementato principalmente come sistema di monitoraggio e risposta della rete e non funziona in tempo reale.
4. Sfide investigative
Le soluzioni PCAP non consentono di indagare sulle attuali minacce cloud ibrido e si basano su modelli reattivi. Non consentono indagini istantanee o avanzate per gli attuali attacchi cloud ibrido.
5. Vincoli di costo
L'archiviazione di petabyte di dati PCAP è estremamente costosa e spesso non è un buon uso delle risorse. Le soluzioni PCAP offrono l'analisi malware , ma non in modo più efficace di altre soluzioni di cybersecurity come l'Endpoint Detection and Response (EDR), tra le altre.
6. Limitazioni all'integrazione
I sistemi PCAP non si integrano bene con altre soluzioni come i SIEM, costringendo i team SOC a passare continuamente da una soluzione all'altra che non comunicano tra loro, contribuendo alla dispersione degli strumenti e al burnout degli analisti.
7. Problemi di privacy
Raccogliendo tutti i dati sensibili di un'organizzazione, le soluzioni PCAP possono contribuire alla violazione della privacy, dovendo eseguire metodi di crittografia sui dati per fornire informazioni forensi al SOC.
Criteri chiave da considerare
Pensare come un attaccante ibrido
I team SOC devono indossare il cappello da attaccante e valutare dove gli attaccanti ibridi hanno preso o prenderebbero di mira e si infiltrano. Oggi i team SOC si affidano a diverse tecnologie di rilevamento e risposta, come le soluzioni IDS e PCAP, che si concentrano principalmente sul perimetro della rete, rendendo il rilevamento delle minacce una sfida complessa. Esistono troppe soluzioni siloed che inviano troppi segnali di rilevamento delle minacce agli analisti SOC. I team di sicurezza devono spostare l'attenzione da superfici di attacco specifiche e iniziare a pensare come gli aggressori che vedono un'unica gigantesca superficie di attacco. Più il segnale di attacco è silo e separato, più aumenta la latenza nel rilevamento di attacchi ibridi che mirano all'esecuzione di malware o a una violazione dei dati.
Muoversi alla velocità di un attaccante ibrido
Gli aggressori ibridi che vogliono aggirare le soluzioni PCAP legacy si concentrano sui metadati che potrebbero non essere analizzati in quella specifica istanza. Gli aggressori cercano anche di spostarsi a nord, sud, est e ovest del vostro ambiente nei tentativi di movimento laterale. Quando un attaccante è penetrato nel vostro ambiente, la correlazione e il contesto di tutti i suoi movimenti sono fondamentali per valutare la progressione dell'attacco all'interno del vostro cloud ibrido. Analizzare la grande quantità di metadati e poi affidarsi alla crittografia prima di poter indagare realmente su un incidente, rallenta enormemente il processo di indagine e risposta. Per muoversi alla velocità degli aggressori è necessario eliminare la maggior parte della latenza nelle prime fasi del processo di rilevamento e poi scalare il tutto con il triage, la prioritizzazione, l'indagine e la risposta. La latenza di rilevamento è ciò che dà agli aggressori il vantaggio di muoversi velocemente lungo la kill chain dell'attacco.
Le chiavi del successo
Per tenere il passo con l'evoluzione degli attacchi ibridi, i team SOC possono concentrarsi sulla definizione delle priorità degli attacchi in tempo reale, concentrandosi su tre aree chiave:
Copertura della superficie di attacco
Telemetria degli attacchi integrata e consolidata su tutta la superficie di attacco ibrida, che fornisce una visibilità completa su identità, cloud pubblico, SaaS e reti di data center. Oltre al rilevamento unificato basato sulle firme, al rilevamento basato sul comportamento guidato dall'intelligenza artificiale e all'intelligence sulle minacce nel cloud ibrido per una copertura completa di tutti i metodi di attacco ibridi.
Chiarezza del segnale di attacco
Segnale di attacco AI integrato e in tempo reale. Sfruttate l'intelligenza artificiale per automatizzare il rilevamento, il triage e la prioritizzazione delle minacce nel vostro ambiente cloud ibrido in tempo reale. Passate dal rilevamento delle minacce incentrato sugli eventi al segnale di attacco incentrato sulle entità. Il segnale di attacco incentrato sull'entità fornisce avvisi ad alta fedeltà su host e account sotto attacco in qualsiasi momento. In questo modo si riduce drasticamente il burnout degli analisti e si contribuisce a migliorare la produttività complessiva. Il passaggio a un approccio incentrato sulle entità riduce la latenza di prioritizzazione degli attacchi ibridi.
Controllo integrato
Armate gli analisti SOC con funzionalità di indagine e risposta integrate, automatizzate e cogestite che si muovono alla velocità e alla scala degli aggressori ibridi. Eliminate la latenza di indagine e risposta dal flusso di lavoro dei vostri analisti, mettendo tutto il contesto e i controlli a portata di mano 24 ore al giorno, 7 giorni su 7. Inoltre, sfruttate i servizi cogestiti per aggiungere rinforzi al vostro team SOC quando le risorse di talento scarseggiano e le competenze sono insufficienti. Integrando e consolidando tutti i contesti, i controlli e le risorse cogestite degli attacchi ibridi, è possibile ridurre la latenza delle indagini e della risposta agli attacchi ibridi.
Quando si tratta di ritirare il PCAP per un segnale di attacco ibrido integrato e di ridurre la latenza di rilevamento, indagine e risposta degli attacchi ibridi, Vectra AI può aiutare. La piattaforma Vectra AI fornisce il segnale integrato che alimenta il rilevamento e la risposta estesi (XDR), fornendo una copertura della superficie di attacco attraverso le reti di cloud pubblico, identità, SaaS e data center. L'Attack Signal IntelligenceTM brevettata assegna priorità alle entità sotto attacco, insieme a una risposta integrata automatizzata e cogestita che impedisce agli attacchi di diventare violazioni.
Fiducia da parte di esperti e aziende di tutto il mondo
