Le aziende continuano a spostare applicazioni, workload e dati in ambienti cloud. Oggi più che mai il rilevamento, l’indagine e la risposta agli attacchi informatici sono diventati sempre più isolati e complessi. Secondo il rapporto 2023 State of Threat Detection di Vectra AI, il 90% degli analisti SOC non è sicuro di riuscire a tenere il passo con il crescente volume e l’ampia varietà di minacce, e il 71% teme che la propria organizzazione sia già stata compromessa senza che il team ne sia ancora a conoscenza. Inoltre, il 75% degli analisti SOC afferma di non avere la visibilità necessaria per difendere adeguatamente l’organizzazione.
Inoltre, la crescita degli ambienti ibridi ha posto nuove sfide significative per i team SOC aziendali. Sebbene gli obiettivi dei cyber criminali rimangano gli stessi, gli attacchi nel cloud si manifestano in modo diverso rispetto a quanto avviene nei tradizionali data center. Nel cloud le minacce si concentrano principalmente sulle credenziali, sfruttano kill-chain superficiali e si muovono più rapidamente rispetto a quelle osservate on-premise. La stessa natura dinamica del cloud consente un’innovazione più rapida; tuttavia, gli attaccanti sfruttano anche questo vantaggio per infiltrarsi e compromettere gli ambienti. Tenendo conto di queste differenze fondamentali nel modo in cui si manifestano gli attacchi, i team di security devono pensare in modo diverso per difendere efficacemente le superfici di attacco ibride che sono chiamati a proteggere.
Per rispondere a tale situazione, Vectra AI ha apportato alcuni miglioramenti all’offerta di Cloud Detection and Response (CDR) per AWS tra cui:
Progressi nel rilevamento di attacchi ibridi sofisticati
- Rilevamenti guidati dall’AI – I modelli di rilevamento basati sull’AI appositamente creati eliminano la necessità di scrivere regole di rilevamento personalizzate. L’offerta CDR per AWS riunisce il meglio della ricerca sulla sicurezza e della data science di Vectra per far emergere i comportamenti di attaccanti sofisticati e multilivello su un’area AWS.
- Contesto in tempo reale per le minacce basate sul cloud – Rilevamenti in tempo reale riducono la latenza di rilevamento delle minacce sul cloud, fornendo agli analisti SOC visibilità in tempo reale sulle attività di minaccia nell’ambiente AWS.
- Visibilità completa sull’intero cloud ibrido – Rilevamento guidato dall’Intelligenza Artificiale basato sia su AWS log sia sul traffico di rete e su qualsiasi altra risorsa AWS correlata, per distinguere accuratamente tra comportamenti dannosi e attività AWS di routine attraverso diverse forme di metadati cloud.
- Ampia copertura AWS in pochi minuti – Copertura dell’intera infrastruttura AWS (IaaS, PaaS, SaaS) tra le diverse regioni e tra i diversi account, per identificare attività di attacco precedentemente sconosciute e fornire in pochi minuti una visione completa del rischio di sicurezza su AWS.
Progressi nell’Attack Signal Intelligence guidata dall’AI per attacchi ibridi
- Il Machine Learning comprende quale account AWS fa cosa: apprende le credenziali e le autorizzazioni AWS per sapere quali account sono più “utili” agli attaccanti, così da individuare gli attacchi basati sull’identità.
- Prioritizzazione guidata dall’AI per dare priorità alle minacce più critiche e spostare l’attenzione dai singoli eventi di minaccia su AWS alle entità AWS (host e account) sotto attacco, riducendo il tempo e le risorse necessarie per correlare, assegnare un punteggio e classificare multipli rilevamenti di minacce che simultaneamente man mano che si verificano.
- Completa gli investimenti cloud-native esistenti: Vectra CDR per AWS integra gli investimenti in strumenti nativi come Amazon Guard Duty (che si basa principalmente su anomalie e firme) e strumenti di postura preventiva per individuare la vera fonte e fornire la massima chiarezza del segnale.
Progressi nelle indagini e nella risposta ad attacchi ibridi
- Indagini integrate – Funzionalità efficaci per supportare indagini semplici e avanzate basate su query di tutte le entità prioritarie.
- Visibilità end-to-end dello sviluppo ibrido – Segnale d’attacco integrato che porta in superficie la progressione delle minacce provenienti da tutti gli ambienti cloud, identità e rete in un unico display.
- Capacità di risposta nativa – Le funzionalità di AWS Lockdown forniscono agli analisti SOC e agli addetti alla risposta agli incidenti di sicurezza gli strumenti per isolare e rimediare agli asset compromessi.
Progressi negli strumenti per attacchi ibridi, formazione e supporto
- Toolkit avanzati open source – Imparare a pensare come un attaccante ibrido con un set di strumenti open-source: DeRF, MAAD-AF e Havoc sono strumenti open-source sviluppati dai ricercatori di Vectra Security per aiutare i team SOC a pensare come un attaccante e a diventare esperti nei metodi di attacco più sofisticati.
- Ampia formazione su AWS: I workshop di Vectra CDR for AWS BlueTeam offrono ai team SOC una formazione pratica e personalizzata per affinare le capacità di contrastare le minacce avanzate del cloud.
- Managed SOC experience: Vectra managed detection and response (MDR) per AWS rafforza il SOC dei clienti con analisti a disposizione in tutto il mondo 24 ore su 24, 7 giorni su 7, addestrati a difendere le organizzazioni dalle minacce dirette ad ambienti ibridi.
“L’attuale approccio al rilevamento e alla risposta alle minacce è fondamentalmente inadeguato, dal momento che sempre più organizzazioni passano ad ambienti ibridi e i team di sicurezza continuano ad affrontare la crescente complessità del cloud, l’affaticamento dovuto agli alert continui e il burnout degli analisti – ha dichiarato Hitesh Sheth, presidente e CEO di Vectra AI –. Come pionieri nel rilevamento e nella risposta alle minacce informatiche guidati dall’AI, la nostra piattaforma best-in-class fornisce il segnale integrato più accurato in tutta la superficie oggi interessata dall’azienda ibrida, per rendere l’XDR una realtà rapida e scalabile”.