La crittografia è ovunque. Molti fornitori vi faranno credere che per rilevare gli attacchi nei protocolli crittografati come HTTPS, è necessario eseguire complicate implementazioni di decodifica SSL ad alta intensità di prestazioni. Tuttavia, la Vectra AI Platform è in grado di rilevare in modo affidabile C2, esfiltrazione e altre fasi dell'attacco senza bisogno di decrittazione. Sfruttando l'intelligenza artificiale/apprendimento automatico (AI/ML) leader del settore, la Vectra AI Platform è in grado di identificare i comportamenti che gli aggressori eseguono, anche se la comunicazione è crittografata. A differenza di altre soluzioni che devono corrispondere a modelli specifici che gli attacchi possono modificare arbitrariamente, la piattaforma Vectra AI è alimentata da Attack Signal Intelligence™, che fornisce rilevamenti basati sull'AI che identificano i comportamenti sottostanti che devono essere eseguiti per controllare un endpoint o esfiltrare i dati, fornendo un rilevamento robusto anche in ambienti crittografati.
Sfide chiave da considerare
La decodifica è limitata alle minacce note: Una volta decriptato, il traffico viene spesso ispezionato con schemi noti che gli aggressori possono facilmente modificare per sconfiggere le capacità di rilevamento tradizionali.
La decodifica crea complessità operativa: La decrittazione è complessa dal punto di vista operativo, richiede molte risorse e crea problemi operativi per l'implementazione e la compatibilità.
La decrittografia non può essere eseguita su tutto: spesso la decrittografia non è supportata su alcuni tipi di apparecchiature di rete come IoT e OT. Le politiche aziendali possono impedire la decrittografia SSL su alcuni tipi di siti web e gli aggressori possono ingannare i motori di categorizzazione degli URL per aggirare l'ispezione SSL.
Perché la necessità di una soluzione moderna di rilevamento, investigazione e risposta alle minacce (TDIR) costruita ad hoc:
- Offre risultati comprovati sfruttando modelli basati sul feedback di centinaia o addirittura migliaia di organizzazioni per combattere le minacce note e sconosciute.
- Fornisce una visione olistica in un'unica interfaccia utente pronta all'uso.
- Una moderna soluzione TDIR per cloud ibrido fornisce il segnale integrato fondamentale per l'XDR in tutti i domini, tra cui la rete del data center, l'identità, il cloud pubblico e il SaaS.
Criteri chiave da considerare
Superare le sfide di decrittazione non deve essere eccessivamente complicato o creare più lavoro per i team di sicurezza. Considerate quanto segue:
Concentrarsi sui comportamenti di attacco: Sfruttare la tecnologia che identifica i comportamenti degli aggressori piuttosto che gli schemi specifici. Poiché i comportamenti possono essere rilevati all'interno del traffico crittografato, tutti gli attacchi possono essere rilevati passivamente senza requisiti onerosi.
Raccogliere metadati di rete: Identificare le transazioni sulla rete come i certificati SSL, le negoziazioni e le operazioni. Questi dati possono essere utili per completare i rilevamenti e alimentare i casi d'uso di threat hunting e discovery.
Rilevamento SaaS: Sfruttare la tecnologia di rilevamento SaaS per identificare i comportamenti all'interno delle piattaforme SaaS più diffuse, come M365 e Azure AD.
Le chiavi del successo
Copertura: Ridurre la latenza degli attacchi al cloud ibrido unificando e consolidando la telemetria degli attacchi sull'intera superficie di attacco cloud ibrido, comprese le reti di identità, cloud pubblico, SaaS e data center.
Chiarezza: Segnale di attacco AI integrato e in tempo reale per automatizzare il rilevamento, il triage e la prioritizzazione delle minacce nei vostri domini di cloud ibrido. Passaggio dal rilevamento delle minacce incentrato sugli eventi al segnale di attacco incentrato sulle entità. Il segnale di attacco incentrato sull'entità fornisce avvisi di maggiore fedeltà su host e account sotto attacco, eliminando la necessità di eseguire il triage di centinaia, se non migliaia, di eventi di minaccia al giorno. Sfruttando una soluzione TDIR come Vectra AI Platform, il team SOC è in grado di differenziare realmente i veri positivi benigni da quelli dannosi, risparmiando innumerevoli risorse e tempo e riducendo il burnout degli analisti.
Controllo: Armare gli analisti SOC eliminando la maggior parte della complessità dell'implementazione in anticipo per evitare ulteriori indagini e latenze di risposta nei flussi di lavoro degli analisti e mettere a portata di mano tutto il contesto e i controlli di cui hanno bisogno. Inoltre, sfruttate i servizi cogestiti per aggiungere ulteriori rinforzi ai team SOC quando le risorse di talento sono scarse o l'accesso alle competenze necessarie per la caccia alle minacce è limitato.
Se siete stanchi di affidarvi a metodologie di decodifica tradizionali che sono troppo complicate e rallentano il vostro team SOC, Vectra AI può aiutarvi. La piattaforma Vectra AI fornisce il segnale di attacco ibrido più affidabile che non dipende dalla capacità di implementare tecniche di decodifica del traffico complesse e costose. La piattaforma Vectra AI offre il segnale integrato più affidabile che alimenta il rilevamento e la risposta estesa (XDR), fornendo una copertura della superficie di attacco ibrida su cloud pubblico, identità, SaaS e reti di dati attraverso l'Attack Signal Intelligence in tempo reale che dà priorità alle entità sotto attacco e la risposta integrata, automatizzata e cogestita che impedisce agli attacchi di diventare violazioni senza il fastidio della decodifica.
Fiducia da parte di esperti e aziende di tutto il mondo
