Utilizzo dell'IA per rilevare e bloccare i movimenti laterali nel Cloud

Il movimento laterale è una tattica utilizzata dagli avversari per espandere il proprio accesso muovendosi all'interno di un ambiente per raggiungere i propri obiettivi o bersagli (ad esempio, sottrarre dati sensibili, appropriarsi di carichi di lavoro). Per anni, il movimento laterale è stato utilizzato per colpire le reti locali basate su protocolli e servizi di rete come Active Directory, SMB e NTLM, ma con il passaggio di un numero sempre maggiore di organizzazioni al cloud gli aggressori hanno seguito questa tendenza.

Dopo aver compromesso il sistema, gli aggressori perseguono numerose vie per muoversi lateralmente nel cloud. Ad esempio, rubano le credenziali da una macchina virtuale compromessa per passare ad altri servizi oppure sfruttano permessi elevati per distribuire risorse in regioni geografiche inutilizzate e non monitorate. Esistono molti esempi di questi metodi che si manifestano in attacchi reali.

La prevalenza di ambienti ibridi connessi aggrava ulteriormente questa sfida. Gli avversari nel cloud ibrido cloud tecniche innovative quali l'uso improprio degli account, le credenziali compromesse e le vulnerabilità per sfruttare le relazioni di fiducia e muoversi lateralmente tra le superfici connesse. Vectra Cloud and Response (CDR) per AWS è alimentato dalla tecnologia brevettata Attack Signal IntelligenceTM che adotta un approccio incentrato sulle entità per rilevare i movimenti laterali cloud ibrido, evidenziando le minacce più urgenti che i team SOC devono affrontare.

Sfide principali nel rilevare i movimenti laterali nel cloud

Lacune nella cloud ibrido: i team SOC devono avere visibilità sull'intera cloud ibrido, che comprende reti di data center, identità, SaaS e cloud pubblici come AWS, senza dipendere esclusivamente da un'unica fonte, come i firewall, per rilevare le minacce nel traffico in entrata e in uscita.

Approfondimento tecnico nel rilevamento delle minacce: i team SOC necessitano di funzionalità avanzate di analisi comportamentale su varie superfici connesse senza dover investire in strumenti disgiunti di diversi fornitori che non si integrano tra loro o che semplicemente lasciano lacune che gli hacker più esperti possono sfruttare per muoversi lateralmente tra le superfici.

Maggiori sfide operative: un numero maggiore di strumenti comporta un aumento dei costi generali in termini di attrezzature, tempo e manodopera per le operazioni di sicurezza. I team SOC devono proteggere cloud loro cloud ibrido senza spendere troppo in risorse e tempo per correlare manualmente i dati provenienti da varie fonti. Ciò influisce negativamente su metriche SOC fondamentali quali il tempo medio di indagine (MTTI) e il tempo medio di risposta (MTTR).

Principali vantaggi dell'IA per rilevare i movimenti laterali nel cloud

Perché scegliere una soluzione moderna appositamente progettata per cloud , l'analisi e la risposta alle minacce cloud (CDR)?

• Maggiore visibilità negli ambienti ibridi: un unico pannello di controllo con entità prioritarie provenienti da tutte le superfici connesse, incluse reti di data center, SaaS, identità e cloud pubblici come AWS.
• Rilevamenti basati sull'intelligenza artificiale: un portafoglio di rilevamenti avanzati che mettono in luce comportamenti sofisticati degli aggressori lungo tutta la cloud e forniscono una protezione approfondita contro credenziali compromesse, abuso dei servizi, escalation dei privilegi ed esfiltrazione dei dati.
• Prevenzione dei movimenti laterali: fornisce un monitoraggio centralizzato dei comportamenti degli aggressori che tentano movimenti laterali attraverso le superfici connesse, fornendo al contempo una traccia di controllo in un'interfaccia utente centralizzata. Ciò riduce notevolmente l'onere per i team SOC di correlare manualmente i dati provenienti da fonti tradizionalmente disgiunte.

Criteri chiave da considerare per selezionare la soluzione AI giusta

Superare cloud non deve essere necessariamente complicato né comportare un aumento del carico di lavoro per i team SOC. Considerate quanto segue:

1. Copertura per cloud ibrido: i moderni attacchi ibridi si estendono su più superfici connesse che comprendono cloud pubblico, reti di data center, identità e SaaS. È necessaria una soluzione di rilevamento, indagine e risposta alle minacce che metta in evidenza le minacce provenienti da tutte queste superfici.
2. Concentrati sulla chiarezza dei segnali: sfrutta la tecnologia AI che non solo identifica in tempo reale i comportamenti sofisticati degli aggressori, ma assegna anche una priorità ai risultati, in modo che il tuo team SOC possa distinguere ciò che è importante da ciò che è urgente.
3. Riduzione dei costi generali del SOC: l'utilizzo di più strumenti e la formazione del personale SOC possono comportare costi elevati per la sicurezza di un'azienda, mentre la soluzione ideale dovrebbe consentire indagini semplici e semplificare i flussi di lavoro per le minacce su tutte le superfici di attacco.

Le chiavi del successo

• Ampia copertura su implementazioni ibride: una soluzione CDR, come Vectra CDR per AWS, si integra perfettamente nella Vectra AI , individuando e dando priorità alle minacce non solo provenienti dal cloud, ma anche dalle superfici connesse in un unico piano di vetro.
• Chiarezza del segnale in tempo reale grazie alla tecnologia Attack Signal Intelligence™: sfruttando Attack Signal Intelligence Vectra AI, leader del settore, Attack Signal Intelligence alimentare modelli di rilevamento AI appositamente progettati e identificare minacce sofisticate in tempo reale. Vectra CDR per AWS utilizza l'AI per l'attribuzione della fonte reale, in modo che gli analisti SOC non debbano correlare le azioni tra credenziali temporanee per identificare l'autore originale. Ciò consente di risparmiare ore di tempo nelle indagini.
• Potenti flussi di lavoro per consentire indagini e rimedi: Vectra CDR per AWS include potenti funzionalità per indagare sulle minacce, tra cui informazioni aggregate chiave sulle entità prioritarie e la possibilità di interrogare i log grezzi, consentendo agli analisti di dedicare più tempo alla ricerca attiva delle minacce. La soluzione consente inoltre di porre rimedio alle minacce tramite l'applicazione automatizzata o l'integrazione con i flussi di lavoro esistenti utilizzati dall'azienda.

Oggi, le implementazioni sono ibride e consistono in superfici connesse quali data center locali, provider di identità, offerte SaaS e cloud pubblici. Gli hacker più sofisticati mirano a compromettere una superficie esposta per poi spostarsi lateralmente verso le superfici connesse al fine di raggiungere i propri obiettivi. Questi attacchi si manifestano in varie forme, quali furto di credenziali, compromissione di host nelle reti locali o minacce basate sull'identità che alla fine si concentrano sulle risorse chiave negli cloud pubblici. I moderni team SOC hanno la missione di eliminare le violazioni dei dati, l'interruzione dei servizi e il danno alla reputazione di un'organizzazione causati da attacchi mirati a queste cloud ibride.

Una volta nel cloud, identificare questi comportamenti può essere difficile e più a lungo un aggressore riesce a muoversi senza essere rilevato nell'ambiente ibrido connesso, maggiore è il danno potenziale. Con Vectra CDR per AWS, i team SOC hanno un'ampia visibilità delle minacce su tutte le superfici connesse in un unico pannello di controllo, con un'attenzione particolare all'identificazione delle tecniche avanzate di movimento laterale negli cloud . Vectra AI i comportamenti degli utenti e dei servizi nel cloud la sua Attack Signal Intelligence™ per dare priorità alle minacce e mitigare il rischio di impatto sull'impronta di un'organizzazione.