Le soluzioni di rilevamento e risposta di rete (NDR) non sono tutte uguali. Noi di Vectra vediamo spesso Darktrace partecipare alle valutazioni proof-of-concept (POC) insieme alla nostra piattaforma di intelligenza artificiale, e ne siamo entusiasti.
Da un lato, la sana competizione è ciò che ci spinge a dare il meglio e a non abbassare mai la guardia. Ma il vero motivo è che vinciamo. Soprattutto se il cliente ricorre a un red team per simulare attacchi reali. Questo perché i nostri modelli di IA sono stati sviluppati da ricercatori di sicurezza e data scientist che hanno collaborato per creare algoritmi di machine learning supervisionati e non supervisionati. A differenza di Darktrace, che utilizza anomalie discrete, Vectra utilizza diversi modelli comportamentali di IA, scegliendo il migliore per la potenziale minaccia. È quando Vectra fornisce un'analisi arricchita e prioritizzata che i clienti possono ottenere il vantaggio di un carico di lavoro ridotto e di indagini non inutili.
Darktrace ha qualche difficoltà ad apprendere
Vectra AI inizia a rilevare le minacce fin dal primo giorno, mentre Darktrace richiede due settimane di configurazione iniziale prima che i clienti possano anche solo visualizzare la soluzione.
Considerando che agli hacker bastano pochi minuti per portare a termine un attacco iniziale, il vantaggio offerto da Vectra in termini di time-to-value è evidente. Con Darktrace sussiste il rischio concreto che un comportamento malevolo effettivo venga interpretato come un evento innocuo. Le organizzazioni che utilizzano Darktrace devono fare i conti con falsi positivi e falsi negativi.
Manipolazione dei risultati tramite una VPN
E che dire della connessione VPN che Darktrace utilizza per le sue prove POC? Darktrace richiede l'attivazione di una funzione VPN Call-Home permanente durante una prova POC. Se un cliente rifiuta questa connessione, la qualità dei rilevamenti di Darktrace diminuisce drasticamente.
E dall'altra parte di quella connessione VPN c'è una persona che lavora dietro le quinte per ottimizzare i risultati del vostro POC. Purtroppo, quella persona non è inclusa nell'acquisto della vostra soluzione Darktrace, quindi una volta acquistata, sarete lasciati a voi stessi.
Preparatevi a una valanga di avvisi di anomalie
Quando vengono messi a confronto con attacchi sferrati da esseri umani reali anziché con quelli predefiniti, i modelli algoritmici Vectra AI superano di gran lunga i semplici sistemi di rilevamento basati su firme di Darktrace. Infatti, la nostra piattaforma di intelligenza artificiale copre oltre l'85% del MITRE ATT&CK . Questa capacità di rilevamento completa diventa subito evidente ai nostri clienti durante il POC.
Al contrario, Cognito riduce il carico di lavoro delle operazioni di sicurezza di 34 volte. Classifica automaticamente gli avvisi in incidenti, assegna la priorità ai dispositivi host che presentano il rischio maggiore ed estrae metadati arricchiti con informazioni di sicurezza dal traffico di rete per le indagini e le analisi forensi. Al contrario, gli avvisi di Darktrace devono essere classificati manualmente e singolarmente, il che aumenta il carico di lavoro delle operazioni di sicurezza. Ciò crea un onere indesiderato per i team di sicurezza, già oberati di lavoro, alla ricerca di una soluzione NDR.
Darktrace non va d'accordo con gli altri
Infine, la maggior parte dei responsabili della sicurezza sa bene che non è opportuno aggiungere tecnologie isolate che non si integrano pienamente con le altre soluzioni del proprio stack di sicurezza. Darktrace ritiene di aver risolto i problemi di integrazione inviando i syslog ai SIEM e crede di poter soddisfare pienamente le esigenze di risposta agli incidenti. Tuttavia, si basa principalmente sull'invio di reset di rete o sull'integrazione con i propri prodotti (leggi: sostituisce l'investimento in EDR, NAC, ecc.) e applica liste attive ai firewall, aumentando il vostro mal di testa gestionale.
Vectra AI: un sistema NDR che funziona davvero
Vectra AI , invece, si integra facilmente con l'infrastruttura di sicurezza aziendale tramite API per bloccare nuove categorie di minacce. Il nostro ecosistema di partner tecnologici annovera alcuni dei leader nei settori endpoint e della risposta endpoint , dei firewall di nuova generazione, dei sistemi SIEM, dell'orchestrazione della sicurezza e del controllo degli accessi di rete. Offriamo inoltre integrazioni avanzate con AWS e Azure per i clienti che stanno passando al cloud.
Vectra AI rappresenta Vectra AI un ottimo punto di partenza per le indagini sugli incidenti e la ricerca retrospettiva delle minacce, grazie all'invio di metadati di rete arricchiti con informazioni di sicurezza – contenenti approfondimenti e contesti specifici in materia – al vostro data lake o al vostro sistema SIEM. La nostra piattaforma offre i seguenti vantaggi rispetto a Darktrace:
- Rileva attacchi reali sulla base di algoritmi di apprendimento automatico supervisionato e non supervisionato, dai cloud agli utenti e ai dispositivi IoT.
- Rileva le minacce fin dal primo giorno senza richiedere un periodo di apprendimento iniziale.
- Riduce il carico di lavoro del SOC di 34 volte. Vectra AI gli avvisi di sicurezza in incidenti prioritari, mappa automaticamente gli obiettivi dell'autore dell'attacco al framework Mitre e mette in correlazione cloud di utenti, host, servizi e cloud per garantire una risposta rapida e definitiva.
- Le vere prestazioni di una piattaforma si integrano con le altre soluzioni del vostro sistema di sicurezza.
