Aprovechando la Inteligencia de Señales de Ataque basada en IA de seguridad de Vectra Attack Signal IntelligenceTM (ASI) de Vectra para cloud, los equipos de operaciones de seguridad pueden supervisar y descubrir continuamente amenazas sofisticadas en sus entornos SaaS y cloud en tiempo real. Vectra ASI emite alertas en cuestión de minutos de las acciones de los atacantes, proporcionando el contexto necesario para caracterizar la intención y comprender el impacto global en el negocio, lo que permite una caza de amenazas, investigación y respuesta más rápidas y precisas.
Aquellos familiarizados con Vectra NDR (detección y respuesta en red), están al tanto de sus capacidades de detección de amenazas y respuesta líderes en la industria contra atacantes en entornos de red. Con la introducción del motor Vectra ASI para cloud, las capacidades de detección en tiempo real de Vectra NDR se extienden ahora a Vectra CDRcloud ) para resaltar los comportamientos maliciosos casi en tiempo real. Esto permite a los equipos de operaciones de seguridad disponer de una visibilidad inigualable de las acciones que tienen lugar en su entorno de cloud . Pero, ¿por qué hemos creado un nuevo motor de detección de amenazas para la cloud y por qué se necesita tanto una solución de seguridad NDR como CDR?
Los ataques en cloud son diferentes a los del centro de datos
Existe una intrincada relación de muchos a muchos entre infraestructura, datos y conectividad en la cloud, con la identidad como pegamento. Esto, unido a la velocidad a la que se mueven los modernos procesos CI/CD, presenta una superficie de ataque muy amplia contra la que es imposible prevenir los ataques. Aunque los objetivos finales de un atacante en cloud y en los entornos tradicionales on-prem siguen siendo los mismos, los ataques cloud difieren en los siguientes aspectos:
- Centrarse en las credenciales: En el corazón de la mayoría de los exploits de cloud se encuentran las credenciales comprometidas. Ya sea a través de campañas de phishing o de credenciales introducidas accidentalmente en repositorios de código, los agresores encuentran nuevas formas de robar credenciales confidenciales y acceder a cuentas.
- Cadena de muerte superficial: Esto es consecuencia del gran número de servicios ofrecidos por los proveedores de cloud . Los distintos tipos de computación, almacenamiento, lagos de datos, servicios sin servidor, cargas de trabajo en contenedores y aplicaciones en numerosas regiones reducen significativamente la distancia entre la infiltración y los activos de alto valor.
- Velocidad de progresión: Al contrario que en los entornos on-prem, los ataques en la cloud progresan más rápidamente. Esto se debe principalmente a la naturaleza efímera de las credenciales temporales en la cloud. Cuando un atacante encuentra una forma de entrar, debe actuar con rapidez para garantizar un acceso persistente.
Los defensores deben pensar de otra manera
Además de las diferencias fundamentales en la forma en que se desarrollan los ataques, las características de los artefactos de que disponen los equipos de seguridad para detenerlos con eficacia también son muy distintas. A diferencia de los entornos de centros de datos que se basan en los datos de paquetes de red, los proveedores de cloud aprovechan los registros para la auditabilidad. El análisis de estos registros para la detección de amenazas en entornos cloud supone un reto por las siguientes razones:
- Múltiples fuentes de registro: Existen numerosas fuentes de registro en la cloud con diferente información de interés en cada una. Algunos ejemplos son los registros del plano de control, los registros del plano de datos, los registros de auditoría de la carga de trabajo y los registros de red. Desde el punto de vista de la seguridad, es necesario entrelazarlos para detectar eficazmente el comportamiento de los atacantes.
- Esquemas de registro incoherentes: Cada proveedor utiliza su propio formato a la hora de publicar los registros. Además, hay casos en los que el mismo proveedor de cloud puede alterar un esquema de registro basándose únicamente en el destino de los registros. Este proceso incoherente puede hacer que el análisis de los registros resulte abrumador para los equipos de seguridad.
- Entrega impredecible: La diversidad de registros entre servicios y múltiples entornos cloud implica un elemento de incertidumbre en la entrega. Las acciones relacionadas pueden aparecer en diferentes archivos de registro separados por intervalos de tiempo arbitrarios. Este retraso añade incoherencia y dificulta el seguimiento de los responsables que actúan contra los recursos.
Esto hace que las acciones de auditoría en la cloud sean fundamentalmente diferentes de los entornos de centros de datos en los que se respetan los protocolos estándar y los paquetes se reciben en tiempo real.
La solución - Detección y respuesta Cloud de Vectra con Attack Signal Intelligence
Con su nuevo motor ASI para la cloud, Vectra ha reimaginado su plataforma tecnológica para buscar amenazas sofisticadas en datos muy diferentes, pero sacarlas a la superficie con la misma velocidad y precisión que Vectra NDR. Además, la capacidad incorporada de priorización impulsada por IA automatiza la priorización de alertas con cada detección para que los equipos de seguridad sepan qué amenazas son las más urgentes. Las amenazas se analizan, puntúan y clasifican automáticamente para que los equipos de seguridad sepan dónde se necesitan más sus esfuerzos. La siguiente imagen muestra cómo Attack Signal Intelligence fue capaz de priorizar y detener un ataque dirigido a un entorno AWS de una empresa de fabricación.
Para priorizar y detener los ataques en todos los entornos de cloud , Vectra CDR tiene las siguientes características definitorias:
- Detecciones más rápidas: Vectra CDR viene equipado con herramientas para el análisis de registros en tiempo real, a escala empresarial. Junto con enriquecimientos como la metodología de atribución basada en IA de Vectra, Vectra CDR puede examinar los registros y correlacionar millones de eventos de cientos de usuarios y servicios. Las detecciones de alta fiabilidad se activan ahora apenas unos minutos después de que se observe un comportamiento malicioso, lo que puede marcar la diferencia entre detener un ataque en curso o analizarlo post mortem.
- Contexto enriquecido: La consulta de los registros en busca de secuencias simples arroja miles de alertas, incluso para pequeñas implantaciones, que ahogan los recursos de un equipo SOC. Aquí es donde el contexto ambiental puede marcar una diferencia significativa. Utilizando el nuevo motor ASI, Vectra CDR puede realizar un seguimiento de cómo los usuarios individuales interactúan con diferentes roles y servicios en un entorno. Esta persistencia en el estado permite casos de uso como las anomalías de privilegios específicas del entorno.
- Cobertura para vectores de amenazas avanzadas: Vectra puede identificar métodos de ataque más sofisticados en la cloud. Una de estas técnicas consiste en llevar a cabo actividades maliciosas en varias sesiones separadas en el tiempo. Esto les protege de los mecanismos de detección convencionales. Vectra CDR reúne información sobre el tiempo, las sesiones y las entidades, lo que permite obtener una imagen precisa incluso de los ataques más sofisticados.
Suministrado como SaaS, Vectra CDR proporciona las ventajas añadidas de escalabilidad, rendimiento y fiabilidad que desempeñan un papel clave a la hora de ayudar a los equipos SOC a cumplir sus objetivos MTTD / MTTR a medida que asumen huellas de nubes múltiples e cloud .
¿Y ahora qué?
Experimente la potencia de Vectra CDR powered by Attack Signal Intelligence de primera mano con nuestra prueba gratuita.