Vectra CDR per AWS con Amazon GuardDuty

Sfide principali

• Qualità degli avvisi: Gli strumenti nativi si basano su avvisi fondamentali che sfruttano le informazioni sulle minacce e semplici anomalie di base. I team di sicurezza hanno bisogno di una soluzione che faccia emergere i comportamenti avanzati degli aggressori con alta fedeltà e basso rumore.
• Mancanza di capacità investigative avanzate: Le indagini sulle minacce emerse dagli strumenti nativi spesso richiedono la navigazione tra numerosi servizi per confermare la veridicità degli avvisi. Ad esempio, Amazon GuardDuty attribuisce tutti gli avvisi all'ultimo set di credenziali temporanee (ruolo assunto) utilizzato per compiere l'azione. Per indagare su questi avvisi, gli analisti devono risalire manualmente all'attore originale attraverso catene di credenziali temporanee. In caso di incidente realmente positivo, i team di sicurezza non possono spendere risorse e tempo preziosi per correlare manualmente gli incidenti con le minacce prima di decidere la giusta linea d'azione.
• Ambito di applicazione siloed: Gli strumenti nativi hanno delle limitazioni e spesso operano all'interno della superficie isolata che intendono proteggere. Amazon GuardDuty non opera a livello interregionale, il che porta a metadati di sicurezza frammentati. Gli aggressori non si attengono a queste limitazioni e utilizzano qualsiasi mezzo necessario per raggiungere i loro obiettivi. Con le attuali implementazioni di cloud ibrido che comprendono data center, applicazioni SaaS e ambienti multicloud, gli strumenti nativi non hanno visibilità sulle porzioni critiche dell'infrastruttura di un'organizzazione.
• Aumento della complessità operativa: La rapida crescita dei servizi di sicurezza AWS ha comportato rischi di supervisione e complessità nella gestione dello stack di sicurezza di un team di sicurezza. Inoltre, la disparità di prezzi tra questi servizi può essere difficile da gestire e spesso porta a fatture inaspettatamente elevate.