Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Boletín de ciberataques: Defensa contra el ransomware Codefinger en AWS S3 >

Vectra AI Japón、ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior

Nuevas funciones de detección y respuesta ampliadas (XDR) añadidas recientemente a la plataforma Vectra AI

14 de marzo de 2024
Mark Wojtasiak
VP de Investigación y Estrategia de Producto
Nuevas funciones de detección y respuesta ampliadas (XDR) añadidas recientemente a la plataforma Vectra AI

Hace seis meses, lanzamos la plataformaVectra AI con la promesa de ofrecer a nuestros clientes la señal integrada que impulsa su XDR. Tras seis meses de andadura en nuestra plataforma de detección y respuesta ampliada (XDR), hemos realizado algunos progresos asombrosos con la ayuda de nuestros clientes, que siguen...

  • Aumentar la resistencia frente a la sofisticación emergente y en constante evolución de los ataques híbridos.
  • Modernizar sus operaciones de seguridad con IA y ML sin necesidad de volver a empezar por completo.  
  • Muévase a la velocidad y escala de los atacantes y deténgalos antes en su progresión.  

Núcleo de nuestra plataforma XDR: Cobertura, claridad y control

La cobertura consiste en integrar la señal de ataque en toda la superficie de ataque híbrida aprovechando las detecciones nativas basadas en IA pararedes de centros de datos y cloud (NDR), identidad (ITDR), cloud pública y SaaS (CDR). En 2024, añadiremos detecciones de terceros para endpoints (EDR), correo electrónico, información sobre amenazas y firmas (Suricata).  

La claridad viene de nuestra Attack Signal IntelligenceTM. Attack Signal Intelligence aprovecha un motor de priorización de IA cloud para responder a dos sencillas preguntas: ¿es real y me importa? La combinación del perfil del ataque (si es real) y la importancia de la entidad (si me importa) da como resultado lo que llamamos puntuación de urgencia del ataque. Cuanto más alta es la puntuación de urgencia, más crítico es para el analista del SOC hacer un seguimiento.  

Control consiste en permitir a los analistas de seguridad investigar y responder a un ataque lo antes y lo más rápidamente posible. Se trata de proporcionar a los analistas todo el contexto que necesitan sobre un ataque híbrido en una sola consola y habilitarlos con acciones de respuesta flexibles que pueden ejecutarse manual o automáticamente en cualquier fase de la progresión del ataque.

Fieles a nuestros clientes y a los pilares de nuestra plataforma, nuestros equipos de producto e ingeniería han estado muy ocupados introduciendo mejoras y nuevas funciones en la plataforma durante los últimos seis meses. He aquí un vistazo:

Anuncios importantes:

  • Vectra AI lanza el primer servicio MXDR abierto, 24x7 y global del sector , diseñado para la defensa frente a ataques híbridos. Con Vectra MXDR, las empresas pueden consolidar todos los aspectos de la detección y respuesta a amenazas extendidas en un servicio unificado, eliminando la necesidad de múltiples proveedores. Las integraciones con las plataformas EDR líderes del sector, incluidas CrowdStrike, SentinelOne y Microsoft Defender, permiten a los analistas MXDR de Vectra AIsupervisar el estado de todo un sistema de seguridad y tomar medidas directas, independientemente de dónde se genere la señal. Más información.
  • Vectra AI y Gigamon anuncian una nueva asociación OEM para ofrecer detección y respuesta ampliadas (XDR) inteligentes en entornos de cloud híbrida. Vectra AI combina la potencia de su Attack Signal Intelligence basada en IA con las capacidades de observación profunda de Gigamon GigaVUE Cloud Suite para detectar y responder eficazmente a amenazas nunca antes vistas utilizando inteligencia y conocimientos derivados de la red cloud . Más información.

Cobertura de detección y claridad de la señal

Nuestra principal creencia: crear e integrar una cobertura de detección completa en todas las superficies de ataque híbridas para ofrecer la señal de ataque híbrido más precisa a velocidad y escala. A continuación se muestra un resumen de la nueva cobertura de detección añadida y mejorada en los últimos seis meses, que refuerza aún más nuestra señal XDR.  

  • Nueva cobertura de detección - Kerberoasting: Respuesta de cifrado débil dirigida: Además de las dos detecciones de Kerberoasting existentes para Weak Cipher Downgrade y SPN Sweep, Vectra AI ha introducido una nueva detección de Kerberoasting para cuando un atacante intenta realizar un ataque silencioso Kerberoasting con un único intento de Weak Cipher contra un servicio de alto privilegio. Además, hemos añadido la posibilidad de configurar reglas de triaje para esta detección.
  • Nueva cobertura de detección - Info: Single Weak Cipher Response:Esta detección es similar a la nueva detección Kerberoasting Targeted Weak Cipher Response, pero está diseñada para detectar cuando el objetivo Kerberoasting no tiene privilegios y, por lo tanto, se debe considerar una revisión adicional por parte de un analista, ya que puede ser una actividad benigna según el entorno. Además, hemos añadido la posibilidad de configurar reglas de triaje para esta detección.
  • Nueva cobertura de detección para bases de datos rela cionales (RDS) de AWS: Con esta mejora, Vectra AI añade cobertura en torno al abuso de bases de datos relacionales en AWS que albergan información confidencial. La detección de cambios públicos sospechosos en RDS de AWS es la primera de una serie de detecciones relacionadas con RDS y cubre los métodos que un atacante puede utilizar para filtrar copias de seguridad (instantáneas) de bases de datos RDS. La pronta detección de este comportamiento puede frenar la exfiltración y afectar a las fases de un ataque a cloud de AWS.
  • Nueva cobertura de detección para identificar la duplicación maliciosa del tráfico de AWS: Vectra AI ha añadido cobertura para sacar a la superficie comportamientos maliciosos de creación de una réplica de tráfico para interceptar información confidencial como credenciales. La nueva detección de creación de reflejo de tráfico sospechoso de AWS cubre los métodos que un atacante puede aprovechar para crear una instancia EC2 como objetivo para el reflejo de tráfico. Sacar a la luz los comportamientos relacionados con la duplicación de tráfico en VPC, donde el tráfico no suele estar cifrado, permite a SecOps impedir que los adversarios avancen hacia su objetivo de impacto.
  • Nueva cobertura para imágenes de máquina de Amazon (AMI): Con esta mejora, Vectra AI añade cobertura para detener la filtración maliciosa de imágenes de máquina de Amazon (AMI). Estas imágenes son plantillas que contienen información valiosa y pueden utilizarse para lanzar instancias EC2 con el fin de extraer datos confidenciales. La nueva detección de cambio de AMI pública sospechosa de AWS cubre los métodos que un atacante puede utilizar para filtrar estas AMI. La detección oportuna de este comportamiento puede frenar la exfiltración y afectar a las fases de un ataque a cloud de AWS.
  • Nueva cobertura de detección para AWS Organizations: AWS Organizations es un servicio de conformidad que habilita barreras de protección y administración central para todas las cuentas miembro de una organización. Una táctica común utilizada por los atacantes consiste en eliminar una cuenta comprometida de su organización asociada para eludir estos controles de conformidad. La nueva detección de salida de organización sospechosa de AWS saca a la luz este comportamiento, lo que permite a SecOps frustrar los intentos de eludir las defensas.
  • Triaje por grupo de cuentas mejorado: Para ayudar a nuestros clientes a gestionar eficazmente su carga de trabajo de detección, hemos añadido soporte para Triage por grupo de cuentas a nuestra funcionalidad Triage basada en IA. Ahora, los clientes pueden especificar grupos de cuentas y clasificar automáticamente las detecciones contra cualquier miembro de esos grupos, agilizando así la experiencia del analista. Por ejemplo, al crear un grupo de cuentas para sus administradores de TI y especificar los comportamientos esperados de los administradores, puede gestionar fácilmente la adición de nuevos administradores de TI a través de estos grupos de cuentas.
  • Cobertura de detección mejorada - M365: La detección de M365 Desactivación de herramientas de seguridad y M365 Operaciones de Exchange peligrosas se ha mejorado para cubrir una mayor variedad de actividades de los atacantes. Estas mejoras incluyen técnicas como la detección de reducciones de licencias, acceso a PowerShell, reglas de reenvío de correo electrónico y suplantación de usuarios.
  • Cobertura de detección mejorada para técnicas de escalada de privilegios: Se ha añadido cobertura para nuevos métodos de escalada de privilegios. En concreto, las técnicas cubiertas por la detección de escalada de privilegios sospechosa de AWS se han ampliado para incluir métodos que los adversarios utilizan para escalar permisos no solo mediante políticas, sino también servicios de AWS como instancias EC2. Estas mejoras permiten la detección de métodos encontrados en herramientas de ataque como CloudGoat.
  • Cobertura de detección mejorada para técnicas de evasión de defensa de registro: Se ha ampliado la cobertura de los métodos de los atacantes que implican comprometer el registro. Se ha mejorado la detección de AWS CloudTrail Logging Disabled para identificar a los adversarios que utilizan selectores de eventos o reglas de ciclo de vida de S3 para perjudicar el registro. Se trata de una técnica utilizada por herramientas de ataque populares, como Stratus red team, que permite al atacante evitar la detección a medida que avanza hacia estados de impacto.
  • Cobertura de detección mejorada para la persistencia de administración: Se ha ampliado la cobertura para los atacantes que añaden persistencia de administración a los inquilinos de Microsoft Azure AD. En concreto, se han mejorado la creación de cuentas de administrador de Microsoft Azure AD, las cuentas de administrador recién creadas de Azure AD y el acceso redundante a Azure AD para alertar de las cuentas que se crean o a las que se conceden tipos adicionales de permisos de administrador.
  • Cobertura de detección mejorada para Microsoft Azure AD: El tiempo hasta la detección se ha reducido aún más para las alertas en tiempo real de Microsoft Azure AD relacionadas con el acceso inicial a la cuenta de Microsoft Azure AD por parte de un atacante. En concreto, las mejoras de algoritmos en las detecciones de inicio de sesión sospechoso de Azure AD, fallo de MFA en el inicio de sesión sospechoso de Azure AD y acceso comprometido de Azure AD han permitido una notificación más rápida de las amenazas sin afectar a la cobertura.

Investigación y control de la respuesta

  • Integración SIEM/SOAR mejorada para las firmas Vectra Match Suricata: Cuando se configura la opción "Incluir detalles mejorados" para las alertas Vectra Match , ahora incluimos información adicional propiedad de Vectra Vectra AI en las alertas Vectra Match enviadas a SIEM/SOAR. Estos campos incluyen valiosos campos HostID e información del sensor que se incluyen en las detecciones y metadatos tradicionales de Vectra AI y son útiles para realizar más fácilmente los flujos de trabajo de investigación. Si desea desactivar este enriquecimiento, puede hacerlo desactivando la opción "Included Enhanced Detail" en la configuración de Syslog para su destino respectivo.
  • Investigaciones instantáneas mejoradas para ataques híbridos: Esta mejora proporciona una visión más completa y granular de los ataques híbridos mediante la adición de metadatos para llamadas RPC, acceso SMB y actividades de servicios para cuentas de red. En situaciones en las que el mismo autor de la amenaza tiene cuentas de Microsoft Azure AD y Microsoft 365, vinculamos estas cuentas y proporcionamos metadatos para actividades en todos los dominios.
  • Retención ampliada de metadatos para investigaciones avanzadas: Con esta mejora, los usuarios tienen la flexibilidad de seleccionar períodos de búsqueda de hasta 14 o 30 días, dependiendo de su plan de suscripción. Es importante tener en cuenta que este periodo de retención de metadatos ampliado se aplica de manera uniforme a todas las fuentes de datos habilitadas en un inquilino, incluidas Network, Azure AD y M365, entre otras. El periodo de búsqueda de metadatos ampliado es exclusivo de Advanced Investigation y no se aplica a Instant Investigation.
  • Añadido soporte Multi-AD: Hemos añadido soporte para la integración con más de un servidor de Active Directory para el enriquecimiento del contexto de host y cuenta y el bloqueo de Active Directory de la cuenta. Los detalles de host y cuenta ahora muestran el contexto de múltiples AD y el bloqueo de una cuenta deshabilitará esa cuenta en los múltiples AD.
  • Se han añadido opciones de configuración personalizada de Active Directory: En los casos en los que el atributo UserAccountControl de Active Directory no esté disponible para realizar el Bloqueo de cuentas, los administradores de Vectra AI tienen ahora la opción de utilizar el atributo AccountExpires para bloquear cuentas de red. También tiene la opción de utilizar el atributo Info para enviar contexto adicional, como el número de incidencia a su Directorio Activo al realizar un Bloqueo de Directorio Activo en una cuenta.

Para obtener más información sobre la plataforma Vectra AI , consulte estos recursos:

Página webVectra AI plataforma Vectra AI

Visita a la plataforma Vectra AI

Preguntas frecuentes