Según el informe Microsoft Digital Defense Report 2024, los clientes de Microsoft se enfrentan diariamente a más de 600 millones de ataques de ciberdelincuentes y estados-nación. Si no se detectan, estos ataques pueden provocar costosas interrupciones de la actividad empresarial, incidentes de ransomware y el robo de datos de gran valor. La pregunta es: ¿pueden los equipos de seguridad confiar únicamente en las soluciones de seguridad nativas para mantenerse a salvo? Por desgracia, la respuesta es no. Vectra AI ha observado un aumento de 6 veces en los compromisos validados en la primera mitad de este año entre las organizaciones con la licencia de seguridad premium de Microsoft (E5) desplegada. En todos los casos, Vectra AI fue capaz de detectar y detener los ataques.
La razón es que, aunque Microsoft es bueno para ayudar a prevenir un gran número de ataques, sus herramientas nativas no proporcionan la cobertura y claridad necesarias para detener a los actores de amenazas que han eludido las defensas de primera línea. La postura nativa de Microsoft, la recopilación de registros y las reglas simples no son suficientes para encontrar y detener a los atacantes modernos. Las completas funciones de detección de amenazas y respuesta de Vectra AIAI se han diseñado específicamente para colmar estas lagunas en la seguridad nativa de Microsoft, detectando las amenazas en los entornos de Microsoft antes de que se produzca ningún daño.
El problema de la superficie de amenaza de Microsoft
Los ataques modernos contra la infraestructura de Microsoft ya no se limitan a una única superficie de ataque. Abarcan redes, puntos finales, identidades (tanto humanas como no humanas), SaaS, cloud y, más recientemente, Gen AI.
El siguiente ejemplo representa el estado actual de los atacantes modernos cloud, que se extienden a los lugares donde residen los datos de mayor valor.
En estos casos en los que la postura y la prevención fallan, las capacidades de detección basadas en IA -correlacionadas a través de redes locales, Active Directory, Microsoft Entra ID, Microsoft 365, Azure IaaS, Azure PaaS y los endpoints- son críticas para detener las amenazas.
Las organizaciones empresariales resuelven el problema de la superficie de amenazas de Microsoft con la plataforma Vectra AI
"Antes de desplegar Vectra AI, teníamos una visibilidad limitada de los comportamientos maliciosos dentro del tráfico de red o de Microsoft 365", afirma Kevin Orritt, responsable de seguridad TIC de Greater Manchester Mental Health NHS Foundation Trust. "Estamos impresionados por lo que ahora podemos ver".
Vectra AI colma las lagunas proporcionando una cobertura completa para abordar el problema de la superficie de ataque de Microsoft, claridad basada en la IA para eliminar la latencia de la detección y capacidades de control que dotan a su equipo de seguridad de las respuestas necesarias para investigar rápidamente y bloquear con confianza las cuentas comprometidas en cuestión de minutos en lugar de horas.
Cobertura para reducir la exposición
Ladetección, investigación y respuesta a amenazas de red en tiempo real, sin agentes e in situ de Vectra detecta amenazas en toda la cadena de muerte, proporcionando cobertura de este a oeste para el reconocimiento y el movimiento lateral, así como cobertura de norte a sur para el mando y control y la exfiltración. La detección basada en IA no se basa en firmas, lo que garantiza una cobertura igual de eficaz para marcos de ataque conocidos como Cobalt Strike, así como marcos desconocidos y personalizados utilizados por la próxima generación de atacantes. Proporciona visibilidad no sólo de lo que es diferente, sino que se centra en los comportamientos de los atacantes, garantizando que la actividad benigna no haga perder el tiempo a los equipos de seguridad. Esta cobertura centrada en la red permite detectar lo antes posible a los atacantes que han eludido el EDR y otras herramientas preventivas, ofreciendo una protección resistente para cualquier dispositivo, incluidos los dispositivos IoT y OT en los que no se puede implementar el EDR.
Vectra detecta técnicas de ataque híbridas que Microsoft no detecta, como los ataques de credenciales que aprovechan técnicas de zero-day y el abuso de credenciales de privilegio para el movimiento lateral. La tecnología patentada de análisis de acceso a privilegios de Vectra compara el privilegio real de una identidad con una puntuación ideal de confianza cero, garantizando que en el momento en que una credencial se desvía del privilegio real, se activa una alerta. La cobertura se extiende a lo largo de la cadena de muerte de la identidad del atacante, con alertas para los atacantes que se dirigen a las credenciales a través de técnicas como Kerberoasting, fuerza bruta y abuso explícito de protocolo de RDP, SSH, NTLM, LDAP, DCERPC, SMB y más.
Vectra detecta cuándo los atacantes acceden por primera vez a una credencial de Microsoft Entra ID, pero también proporciona una cobertura completa de lo que los atacantes hacen a continuación, como la identificación del abuso de privilegios cloud , el registro de nuevos dispositivos y la creación de accesos de puerta trasera. La IA adecuada se utiliza en toda la cobertura de Vectra para proporcionar una visibilidad sin precedentes. Las líneas de base de larga duración que rastrean más de 20 atributos de la autenticación de cada usuario se examinan simultáneamente para encontrar qué credenciales están bajo control. Se ha demostrado que la IA basada en el comportamiento de Vectra proporciona una cobertura de zero-day para Entra ID al centrarse en el privilegio de los usuarios y las operaciones ejecutadas. Toda esta cobertura está unificada dentro de la plataforma Vectra, conectando la identidad en red y cloud para proporcionar visibilidad integrada en toda la empresa Microsoft.
Vectra detecta ataques vivos en Microsoft 365, supervisando toda la superficie de ataque de M365, incluidos Teams, Exchange, OneDrive, eDiscovery, Power Automate y SharePoint, lo que permite una supervisión completa de amenazas de los datos críticos para la empresa.
Vectra detecta a los atacantes que aceleran su ataque aprovechando la Gen AI de Microsoft para acelerar el descubrimiento de datos específicos que les permitan avanzar más en el entorno o robar información de gran valor.
La cobertura de detección y respuesta a amenazas de red de Vectra se extiende sin problemas a los entornos IaaS aprovechando los paquetes para ofrecer capacidades de detección de amenazas sin compromisos. Permite una visibilidad híbrida completa, conectando los puntos entre las amenazas que se mueven sin problemas entre los sistemas on-prem y cloud .
Vectra detecta ataques contra Azure PaaS utilizando credenciales humanas y no humanas, proporcionando visibilidad híbrida de todos los recursos críticos y de la infraestructura de Azure. Esto incluye la supervisión de políticas de Azure, Azure App Service, cuentas de automatización de Azure y mucho más.
Punto final
El servicio MXDR de V ectra combina señales de EDR, incluido Defender for Endpoint, con todas las capacidades de Vectra para proporcionar una cobertura completa de las amenazas dirigidas a endpoints y entornos híbridos y cloud . Ofrece supervisión 24x7 por parte de analistas expertos que investigan, responden y reparan las amenazas, garantizando la seguridad completa de la empresa.
Claridad para eliminar la latencia en la detección de amenazas
Priorización de amenazas en función del riesgo
La IA de Vectra prioriza las amenazas urgentes antes de que se produzcan daños mediante la correlación de los comportamientos observados con el host, las identidades humanas y las identidades de las máquinas. La priorización de IA destaca por centrar a los equipos en la historia completa que requiere su atención, maximizando su tiempo al tener en cuenta la actividad observada, la clase de sistema, el privilegio y la configuración de prioridad personalizada.
Correlación unificada de ataques en entornos híbridos
Los algoritmos de correlación conectan los puntos entre los comportamientos de los atacantes en los centros de datos locales, Active Directory, Microsoft Entra ID, Microsoft 365 y Azure, creando una narrativa de ataque unificada para investigaciones más rápidas y precisas. Cada evento observado de un atacante se atribuye a una cuenta o máquina con el nombre del actor -no simplemente IPs y no indescifrable Object ID, maximizando el contexto para los equipos y su tiempo de respuesta.
Eliminación de falsos positivos y señales benignas
Nuestra IA filtra los comportamientos benignos y sólo escala los eventos sospechosos. Combina el filtrado automático con un filtro manual opcional para que los equipos de seguridad puedan centrarse en las amenazas reales sin riesgo de pasar por alto un ataque.
Metadatos mejorados para las investigaciones
Los metadatos enriquecidos van más allá de lo que se puede recopilar y procesar en cualquier SIEM. Se añade a los metadatos un contexto adicional impulsado por IA que desbloquea nuevas capacidades para el equipo de seguridad, como puntuaciones de privilegios de activos, eventos de balizas, JA3 y el verdadero nombre del actor, entre otros.
Control para detener los ataques y maximizar el talento
Control postural activo
Vectra permite a los equipos cambiar a la izquierda mediante la identificación de brechas de seguridad en redes, identidades, servicios cloud y herramientas GenAI como Microsoft Copilot para M365. Supervisamos activamente más de 20 flujos de datos mejorados por IA y cientos de atributos para descubrir cómo los atacantes podrían eludir el control en su entorno en un ataque futuro con el contexto para reducir su superficie de ataque.
Investigaciones aceleradas y caza intuitiva de amenazas
Vectra ofrece al instante respuestas a las principales preguntas de los analistas a partir de metadatos de red, cloud e identidad en todos los casos, sin necesidad de escribir una sola consulta. Cuando se requiere una investigación más profunda, los equipos tienen acceso a los 20 flujos de datos con contexto integrado, lo que acelera el proceso de identificación de amenazas.
Capacidad de respuesta global
Las integraciones nativas de Vectra con EDR, AD y Entra ID permiten a los analistas de seguridad tomar manual o automáticamente la acción correcta en el momento adecuado para detener a un atacante dondequiera que se encuentre en el entorno.
Integración con Microsoft Sentinel
Vectra se integra de forma nativa con Microsoft Sentinel, mejorando los flujos de trabajo existentes, eliminando la necesidad de gestionar análisis personalizados y maximizando el tiempo de los equipos.
Descubra sus lagunas de seguridad en entornos Microsoft
Para abordar eficazmente el problema de la superficie de amenazas de Microsoft, dé el siguiente paso para conocer sus actuales lagunas de seguridad. Se anima a los equipos de seguridad a realizar pruebas de seguridad en sus redes, identidad y Cloud utilizando herramientas que simulan los comportamientos de los atacantes modernos. Vectra AI está aquí para ayudarle a detectar a los atacantes en el momento en que se ponen en peligro y a cazar a los que ya están dentro con una defensa integral basada en IA.
Para obtener más información sobre la plataforma Vectra AI , consulte nuestra página de la plataforma o programe una demostración ahora.