L'utilizzo dell'intelligenza artificiale per rilevare e arrestare i movimenti laterali nella Cloud

Il movimento laterale è una tattica utilizzata dagli avversari per espandere il proprio accesso muovendosi attraverso un ambiente per raggiungere i propri obiettivi o bersagli (ad esempio, esfiltrare dati sensibili, requisire carichi di lavoro). Per anni, il movimento laterale è stato utilizzato per colpire reti on-premises basate su protocolli e servizi di rete come Active Directory, SMB e NTLM, ma con il passaggio di un numero sempre maggiore di organizzazioni al cloud , gli aggressori l'hanno seguito.

Dopo la compromissione, gli aggressori perseguono numerose strade per il movimento laterale nel cloud. Ad esempio, rubando le credenziali da una macchina virtuale compromessa per passare ad altri servizi o sfruttando autorizzazioni elevate per distribuire risorse in aree geografiche non utilizzate e non monitorate. Esistono molti casi in cui questi metodi si manifestano in attacchi reali.

La prevalenza di ambienti ibridi connessi aggrava questa sfida. Gli avversari nel cloud ibrido sfruttano nuove tecniche come l'abuso di account, le credenziali compromesse e le vulnerabilità per sfruttare le relazioni di fiducia e spostarsi lateralmente tra le superfici connesse. Vectra Cloud Detection and Response (CDR) per AWS si avvale di Attack Signal IntelligenceTM brevettata che adotta un approccio incentrato sulle entità per rilevare gli spostamenti laterali nelle implementazioni di cloud ibrido, facendo emergere le minacce più urgenti che i team SOC devono affrontare.

Sfide principali nel rilevamento dei movimenti laterali nel cloud

Lacune nella visibilità cloud ibrido: I team SOC devono avere visibilità sull'intera implementazione cloud ibrido, che comprende reti di data center, identità, SaaS e cloud pubblici come AWS, senza dipendere esclusivamente da una singola fonte, come i firewall, per rilevare le minacce nel traffico in entrata e in uscita.

Profondità tecnica nel rilevamento delle minacce: I team SOC hanno bisogno di capacità analitiche comportamentali avanzate su diverse superfici connesse, senza dover investire in strumenti disgiunti di diversi fornitori che non si integrano o semplicemente lasciano delle lacune che gli aggressori sofisticati possono sfruttare per spostarsi lateralmente tra le superfici.

Maggiori sfide operative: Un maggior numero di strumenti comporta un aumento del costo degli strumenti, del tempo e della manodopera per i SecOps. I team SOC devono proteggere le loro implementazioni di cloud ibrido senza spendere eccessivamente in risorse e tempo per corelazionare manualmente i dati provenienti da varie fonti. Questo ha un impatto negativo sulle metriche chiave del SOC, come il tempo medio di investigazione (MTTI) e il tempo medio di risposta (MTTR).

I principali vantaggi dell'intelligenza artificiale per rilevare i movimenti laterali nel cloud

Perché scegliere una soluzione moderna di rilevamento, investigazione e risposta (CDR) cloud ?

• Maggiore visibilità negli ambienti ibridi: Un unico pannello di vetro con entità prioritarie da tutte le superfici connesse, comprese le reti dei data center, SaaS, identità e cloud pubblici come AWS.
• Rilevamenti guidati dall'intelligenza artificiale: Un portafoglio di rilevamenti avanzati che evidenziano i comportamenti sofisticati degli aggressori lungo la kill-chain cloud e forniscono una protezione profonda contro le credenziali compromesse, l'abuso dei servizi, l'escalation dei privilegi e l'esfiltrazione dei dati.
• Prevenzione dei movimenti laterali: Fornisce un monitoraggio centralizzato dei comportamenti degli aggressori che tentano di spostarsi lateralmente sulle superfici connesse, fornendo al contempo un audit trail in un'interfaccia utente centralizzata. Questo riduce notevolmente l'onere per i team SOC di corelazionare manualmente i dati provenienti da fonti tradizionalmente disgiunte.

Criteri chiave da considerare per selezionare la giusta soluzione di IA

Superare le sfide cloud non deve essere eccessivamente complicato o creare più lavoro per i team SOC. Considerate quanto segue:

1. Coperturaper l'impronta del cloud ibrido: I moderni attacchi ibridi si estendono su più superfici connesse che comprendono cloud pubblico, reti di data center, identità e SaaS. È necessario disporre di una soluzione per il rilevamento, l'indagine e la risposta alle minacce che faccia emergere le minacce da tutte queste superfici.
2. Concentratevi sulla chiarezza del segnale: Sfruttate la tecnologia AI che non solo identifica in tempo reale i comportamenti più sofisticati degli aggressori, ma che stabilisce anche un ordine di priorità dei risultati in modo che il team SOC possa distinguere le cose importanti da quelle urgenti.
3. Riduzione dei costi generali del SOC: L'utilizzo di più strumenti e la formazione del personale del SOC possono comportare costi elevati per la sicurezza di un'azienda, mentre la soluzione ideale dovrebbe consentire indagini semplici e semplificare i flussi di lavoro per le minacce su tutte le superfici di attacco.

Le chiavi del successo

• Ampia copertura in tutte le implementazioni ibride: Una soluzione CDR, come Vectra CDR per AWS, si integra perfettamente nella piattaforma Vectra AI , facendo emergere e dando priorità alle minacce non solo dal cloud, ma anche dalle superfici connesse in un unico piano di vetro.
• Chiarezza del segnale in tempo reale grazie all'Attack Signal Intelligence™: Sfruttare l'Attack Signal Intelligence di Vectra AI, leader del settore, per alimentare modelli di rilevamento AI appositamente creati e identificare minacce sofisticate in tempo reale. Vectra CDR per AWS utilizza l'intelligenza artificiale per la vera attribuzione della fonte, in modo che gli analisti SOC non debbano correlare le azioni attraverso credenziali temporanee per identificare l'attore originale. Ciò consente di risparmiare ore di tempo per le indagini.
• Potenti flussi di lavoro per consentire le indagini e la bonifica: Vectra CDR per AWS include potenti funzionalità per l'investigazione delle minacce, tra cui approfondimenti aggregati sulle entità prioritarie e la possibilità di interrogare i log grezzi, consentendo agli analisti di investire più cicli nella ricerca attiva delle minacce. La soluzione consente inoltre di porre rimedio alle minacce tramite l'applicazione automatica o l'integrazione con i flussi di lavoro esistenti dell'azienda.

Oggi le implementazioni sono ibride, composte da superfici connesse come data center on-premise, identity provider, offerte SaaS e cloud pubblici. Gli aggressori più sofisticati mirano a compromettere una superficie esposta e poi si spostano lateralmente verso le superfici connesse per raggiungere i loro obiettivi. Questi attacchi si manifestano in varie forme, come il furto di credenziali, la compromissione degli host nelle reti on-prem o le minacce basate sull'identità che alla fine si spostano verso le risorse chiave negli ambienti cloud pubblici. I moderni team SOC sono in missione per eliminare le violazioni dei dati, le interruzioni dei servizi e i danni alla reputazione di un'organizzazione derivanti da attacchi mirati a queste implementazioni di cloud ibrido.

Una volta nel cloud, l'identificazione di questi comportamenti può essere difficile e più a lungo un attaccante può muoversi senza essere individuato attraverso l'impronta ibrida connessa, maggiore è il danno potenziale. Con Vectra CDR per AWS, i team SOC hanno un'ampia visibilità sulle minacce attraverso le superfici connesse in un unico riquadro di vetro, con una particolare attenzione all'identificazione di tecniche avanzate di movimento laterale negli ambienti cloud . Vectra AI monitora i comportamenti degli utenti e dei servizi nel cloud sfruttando la sua Attack Signal Intelligence™ per dare priorità alle minacce e mitigare il rischio di impatto sull'impronta dell'organizzazione.