Il movimento laterale è una tattica utilizzata dagli aggressori per ampliare il proprio raggio d'azione spostandosi all'interno di un ambiente al fine di raggiungere i propri obiettivi o bersagli (ad esempio, sottrarre dati sensibili o assumere il controllo di carichi di lavoro). Per anni, il movimento laterale è stato impiegato per colpire le reti on-premise sfruttando protocolli e servizi di rete quali Active Directory, SMB e NTLM; tuttavia cloud con il crescente passaggio delle organizzazioni al cloud gli aggressori hanno seguito questa tendenza.
Una volta ottenuta l'accesso, gli aggressori sfruttano numerose vie per muoversi lateralmente nel cloud. Ad esempio, rubano le credenziali da una macchina virtuale compromessa per passare ad altri servizi, oppure sfruttano privilegi elevati per distribuire risorse in regioni geografiche inutilizzate e non monitorate. Esistono molti casi in cui questi metodi si sono concretizzati in attacchi reali.
La diffusione degli ambienti ibridi interconnessi aggrava ulteriormente questa sfida. Gli aggressori nel cloud ibrido cloud tecniche innovative quali l'uso improprio degli account, credenziali compromesse e vulnerabilità per approfittare delle relazioni di fiducia e muoversi lateralmente tra le superfici interconnesse. Vectra Cloud and Response (CDR) per AWS si avvale della tecnologia brevettata Attack Signal Intelligence™, che adotta un approccio incentrato sulle entità per rilevare i movimenti laterali cloud ibrido, mettendo in evidenza le minacce più urgenti che i team SOC devono affrontare.
Le principali difficoltà nell'individuare i movimenti laterali nel cloud
Lacune nella cloud ibrido: i team SOC devono poter disporre di una visione completa dell'intera cloud ibrida, che comprenda le reti dei data center, la gestione delle identità, i servizi SaaS e i cloud pubblici come AWS, senza affidarsi esclusivamente a una singola fonte, come i firewall, per rilevare le minacce nel traffico in entrata e in uscita.
Approfondimento tecnico nel rilevamento delle minacce: i team SOC necessitano di funzionalità avanzate di analisi comportamentale su diverse superfici connesse, senza dover investire in strumenti disgiunti di diversi fornitori che non si integrano tra loro o che lasciano semplicemente delle lacune che gli aggressori più sofisticati possono sfruttare per muoversi lateralmente tra le varie superfici.
Maggiori difficoltà operative: l'aumento del numero di strumenti comporta un incremento dei costi generali in termini di attrezzature, tempo e risorse umane per il reparto SecOps. I team SOC devono proteggere cloud proprie cloud ibride senza incorrere in spese eccessive in termini di risorse e tempo per correlare manualmente i dati provenienti da varie fonti. Ciò incide negativamente su metriche chiave del SOC quali il tempo medio di indagine (MTTI) e il tempo medio di risposta (MTTR).
Principali vantaggi dell'intelligenza artificiale per il rilevamento dei movimenti laterali nel cloud
Perché scegliere una soluzione moderna e appositamente progettata per cloud , l'analisi e la risposta cloud (CDR)?
- Maggiore visibilità negli ambienti ibridi: un unico pannello di controllo che mostra le entità classificate per priorità provenienti da tutte le piattaforme collegate, tra cui reti di data center, SaaS, soluzioni di gestione delle identità e cloud pubblici come AWS.
- Rilevamenti basati sull'intelligenza artificiale: una suite di funzionalità di rilevamento avanzate che individuano comportamenti sofisticati degli aggressori lungo l'intera cloud e garantiscono una protezione completa contro la compromissione delle credenziali, l'uso improprio dei servizi, l'escalation dei privilegi e l'esfiltrazione dei dati.
- Prevenzione dei movimenti laterali: offre un monitoraggio centralizzato dei comportamenti degli aggressori che tentano di spostarsi lateralmente attraverso le superfici collegate, fornendo al contempo una traccia di controllo in un'interfaccia utente centralizzata. Ciò riduce notevolmente il carico di lavoro dei team SOC, che non devono più correlare manualmente i dati provenienti da fonti tradizionalmente disgiunte.
Criteri fondamentali da considerare nella scelta della soluzione di IA più adatta
Superare cloud non deve necessariamente essere troppo complicato né comportare un carico di lavoro aggiuntivo per i team SOC. Si consideri quanto segue:
- Copertura per cloud ibrida: gli attacchi moderni al cloud ibrido interessano diverse superfici di attacco interconnesse, tra cui cloud pubblico, le reti dei data center, le identità e i servizi SaaS. È necessaria una soluzione di rilevamento, analisi e risposta alle minacce in grado di individuare le minacce provenienti da tutte queste superfici
- Concentrati sulla chiarezza dei segnali: sfrutta la tecnologia AI che non solo identifica in tempo reale i comportamenti sofisticati degli aggressori, ma assegna anche una priorità ai risultati, consentendo al tuo team SOC di distinguere ciò che è importante da ciò che è urgente.
- Riduzione dei costi operativi del SOC: l'implementazione di diversi strumenti e la formazione del personale del SOC possono comportare costi elevati in termini di sicurezza per un'azienda, mentre la soluzione ideale dovrebbe consentire di condurre indagini in modo semplice e ottimizzare i flussi di lavoro relativi alle minacce su tutte le superfici di attacco.
Le chiavi del successo
- Ampia copertura delle implementazioni ibride: una soluzione CDR, come Vectra CDR per AWS, si integra perfettamente nella Vectra AI , individuando e classificando per priorità le minacce non solo provenienti dal cloud, ma anche dalle superfici connesse, il tutto in un unico pannello di controllo.
- Chiarezza dei segnali in tempo reale grazie alla tecnologia Attack Signal Intelligence™: sfruttando Attack Signal Intelligence Vectra AI, leader del settore, Attack Signal Intelligence alimentare modelli di rilevamento basati sull'intelligenza artificiale appositamente progettati e identificare minacce sofisticate in tempo reale. Vectra CDR per AWS utilizza l'intelligenza artificiale per attribuire con precisione la fonte delle minacce, così gli analisti del SOC non devono correlare le azioni tra credenziali temporanee per identificare l'autore originale. Ciò consente di risparmiare ore di tempo nelle indagini.
- Potenti flussi di lavoro per facilitare le indagini e la risoluzione dei problemi: Vectra CDR per AWS include funzionalità avanzate per l'analisi delle minacce, tra cui approfondimenti aggregati chiave sulle entità prioritarie e la possibilità di interrogare i log grezzi, consentendo agli analisti di dedicare più tempo alla ricerca attiva delle minacce. La soluzione consente inoltre la risoluzione dei problemi tramite l'applicazione automatizzata delle politiche o l'integrazione con i flussi di lavoro esistenti utilizzati dall'azienda.
Oggi le implementazioni sono di tipo ibrido e comprendono superfici connesse quali data center on-premise, provider di identità, offerte SaaS e cloud pubblici. Gli autori di attacchi sofisticati mirano a compromettere una superficie esposta per poi spostarsi lateralmente verso le superfici connesse al fine di raggiungere i propri obiettivi. Questi attacchi si manifestano in varie forme, quali il furto di credenziali, la compromissione di host nelle reti on-premise o minacce basate sull'identità che alla fine si estendono alle risorse chiave negli cloud pubblico. I moderni team SOC hanno la missione di eliminare le violazioni dei dati, l'interruzione dei servizi e il danno alla reputazione di un'organizzazione causati da attacchi mirati a queste cloud ibrido.
Una volta nel cloud, individuare questi comportamenti può risultare complesso e, più a lungo un aggressore riesce a muoversi inosservato all’interno dell’infrastruttura ibrida connessa, maggiore è il potenziale danno. Con Vectra CDR per AWS, i team SOC dispongono di un’ampia visibilità sulle minacce presenti su tutte le superfici connesse da un’unica interfaccia, con particolare attenzione all’identificazione delle tecniche avanzate di movimento laterale negli cloud . Vectra AI i comportamenti di utenti e servizi nel cloud la sua Attack Signal Intelligence™ per classificare le minacce in base alla priorità e mitigare il rischio di impatto sull'infrastruttura di un'organizzazione.
