La crittografia è ovunque. Molti fornitori vorrebbero farvi credere che, per rilevare gli attacchi nei protocolli crittografati come HTTPS, sia necessario implementare complesse soluzioni di decrittografia SSL che incidono sulle prestazioni. Tuttavia, la Vectra AI è in grado di rilevare in modo affidabile C2, l'esfiltrazione e altre fasi dell'attacco senza la necessità di decrittografia. Sfruttando l'intelligenza artificiale e l'apprendimento automatico (AI/ML) leader del settore, la Vectra AI è in grado di identificare i comportamenti degli aggressori, anche se la comunicazione è crittografata. A differenza di altre soluzioni che devono trovare corrispondenze con modelli specifici che gli attacchi possono cambiare arbitrariamente, la Vectra AI è alimentata da Attack Signal Intelligence™, che offre rilevamenti basati sull'intelligenza artificiale in grado di identificare i comportamenti sottostanti necessari per controllare un endpoint esfiltrare dati, garantendo un rilevamento solido anche in ambienti crittografati.
Principali sfide da considerare
La decrittografia è limitata alle minacce note: una volta decrittografato, il traffico viene spesso analizzato alla luce di modelli noti che gli autori degli attacchi possono facilmente modificare per eludere i sistemi di rilevamento tradizionali.
La decrittografia comporta una certa complessità operativa: è un’operazione complessa da eseguire, richiede notevoli risorse e comporta problemi operativi in termini di implementazione e compatibilità.
La decrittografia non è applicabile a tutti i casi: spesso non è supportata su determinati tipi di apparecchiature di rete, come quelle IoT e OT. Le politiche aziendali potrebbero impedire la decrittografia SSL su determinati tipi di siti web, e gli hacker possono ingannare i motori di classificazione degli URL per aggirare l'ispezione SSL.
Perché è necessaria una soluzione specifica per il rilevamento, l'analisi e la risposta alle minacce moderne (TDIR):
- Garantisce risultati comprovati sfruttando modelli basati sul feedback di centinaia o addirittura migliaia di organizzazioni per contrastare minacce note e sconosciute.
- Offre una visione d'insieme in un'unica interfaccia utente pronta all'uso fin dal primo momento.
- Una moderna soluzione cloud ibrido fornisce il segnale integrato fondamentale per l'XDR in tutti i domini, tra cui la rete del data center, l'identità, cloud pubblico cloud il SaaS.
Criteri fondamentali da tenere in considerazione
Superare le sfide legate alla decrittografia non deve necessariamente essere troppo complicato né comportare un carico di lavoro aggiuntivo per i team di sicurezza. Si consideri quanto segue:
Concentrarsi sui comportamenti degli aggressori: sfruttare la tecnologia in grado di identificare i comportamenti degli aggressori piuttosto che schemi specifici. Poiché tali comportamenti possono essere rilevati all'interno del traffico crittografato, tutti gli attacchi possono essere individuati in modo passivo senza requisiti onerosi.
Raccogliere metadati di rete: identificare le transazioni sulla rete, quali certificati SSL, negoziazioni e operazioni. Questi dati possono essere utili per integrare i processi di rilevamento e potenziare le attività di ricerca delle minacce e di individuazione.
Rilevamento SaaS: sfrutta la tecnologia di rilevamento SaaS per identificare comportamenti anomali all'interno delle piattaforme SaaS più diffuse, come M365 e Azure AD.
Le chiavi del successo
Ambito di applicazione: ridurre la latenza cloud ibrido unificando e consolidando i dati di telemetria relativi agli attacchi su tutta la superficie cloud ibrido, comprese le identità, cloud pubblico, i servizi SaaS e le reti dei data center.
Chiarezza: segnali di attacco integrati e in tempo reale basati sull'intelligenza artificiale per automatizzare il rilevamento, la classificazione e la prioritizzazione delle minacce in tutti cloud ibrido. Passate dal rilevamento delle minacce incentrato sugli eventi a un segnale di attacco incentrato sulle entità. Il segnale di attacco incentrato sulle entità fornisce avvisi più precisi sugli host e sugli account sotto attacco, eliminando la necessità di classificare centinaia, se non migliaia, di eventi di minaccia al giorno. Sfruttando una soluzione TDIR come la Vectra AI , il vostro team SOC può distinguere realmente tra falsi positivi benigni e quelli dannosi, risparmiando innumerevoli risorse e tempo, riducendo al contempo il sovraccarico degli analisti.
Controllo: fornire agli analisti del SOC gli strumenti necessari eliminando fin dall'inizio la complessità dell'implementazione, in modo da evitare ulteriori ritardi nelle attività di indagine e risposta all'interno dei loro flussi di lavoro e mettere a loro disposizione tutto il contesto e i controlli di cui hanno bisogno. Inoltre, avvalersi di servizi in co-gestione per potenziare i team del SOC quando le risorse umane sono scarse o hanno un accesso limitato alle competenze necessarie per la ricerca delle minacce.
Se siete stanchi di affidarvi a metodologie di decrittografia obsolete, eccessivamente complicate e che rallentano il vostro team SOC, Vectra AI esservi d'aiuto. La Vectra AI fornisce il segnale di attacco ibrido più affidabile, che non dipende dalla capacità di implementare tecniche di decrittografia del traffico complesse e costose. Vectra AI offre il segnale integrato più affidabile a supporto dell'Extended Detection and Response (XDR), fornendo una copertura ibrida della superficie di attacco su cloud pubblico, identità, SaaS e reti di dati attraverso Attack Signal Intelligence in tempo reale Attack Signal Intelligence assegna priorità alle entità sotto attacco e una risposta integrata, automatizzata e co-gestita che impedisce agli attacchi di trasformarsi in violazioni senza il fastidio della decrittografia.
