Pasar del PCAP heredado a la detección de amenazas basada en IA

No se puede confiar en el PCAP de ayer para las amenazas de hoy.

Según The State of Threat Detection 2023, al 97 % de los analistas de seguridad les preocupa perderse un evento de seguridad relevante1. Dado que cada día surgen nuevas amenazas evasivas, la detección y respuesta ante amenazas es una prioridad absoluta para los equipos de ciberseguridad que protegen entornos cloud ida. De hecho, casi dos tercios de los analistas afirman que el tamaño de su superficie de ataque ha aumentado en los últimos tres años.

Las empresas que utilizan soluciones de captura de paquetes (PCAP) dependen principalmente de una solución de supervisión de permisos de red que ocupa más espacio del necesario y no puede hacer frente a los ataques híbridos que se producen en tiempo real y que abarcan el centro de datos, la identidad, el SaaS y la infraestructura de cloud pública.

En un mundo híbrido en evolución como cloud , que incluye infraestructuras locales y de cloud , PCAP no es suficiente. Los puntos fuertes de PCAP se basan principalmente en la supervisión de la red para entornos locales, lo que deja enormes lagunas y vulnerabilidades que pueden explotar los delincuentes.

Retos del PCAP

1. Ineficacia operativa

Mantener y gestionar constantemente los enormes volúmenes de almacenamiento que afectan al rendimiento y ralentizan a los equipos SOC. Además, las soluciones PCAP solo utilizan un subconjunto muy limitado de metadatos.

2. Ver a través de la encriptación

El 97% del tráfico de Internet está cifrado. Para obtener algún valor real del PCAP es necesario descifrar completamente el tráfico norte y sur, lo que requiere varios recursos y tiempo.

3. Detección moderna de amenazas

Falta de detección basada en IA: los modelos de detección de amenazas se basan principalmente en ataques conocidos y no pueden detectar con precisión los modernos ataques en directo. PCAP se implementa principalmente como un sistema de supervisión y respuesta de la red, que no funciona en tiempo real.

4. Retos de la investigación

Las soluciones PCAP no permiten investigar las amenazas actuales a la cloud híbrida y se basan en modelos reactivos. No permiten la investigación instantánea o avanzada de los ataques actuales a la cloud híbrida.

5. Limitaciones de costes

Almacenar petabytes de datos PCAP es extremadamente caro y a menudo no es un buen uso de los recursos. Las soluciones PCAP ofrecen análisis de malware , pero no de forma más eficaz que otras soluciones de ciberseguridad como Endpoint Detection and Response (EDR), entre otras.

6. Restricciones a la integración

Los sistemas PCAP no se integran bien con otras soluciones, como los SIEM, lo que obliga a los equipos SOC a alternar constantemente entre varias soluciones que no se comunican, lo que contribuye a la proliferación de herramientas y al agotamiento de los analistas.

7. 7. Protección de datos

Al recopilar todos los datos confidenciales de una organización, las soluciones PCAP pueden contribuir a la violación de la privacidad al tener que ejecutar métodos de cifrado en los datos para proporcionar información forense al SOC.

Criterios clave a tener en cuenta

Pensar como un atacante híbrido

Los equipos de los SOC deben ponerse sus gorras de pensar en los atacantes y evaluar dónde han atacado o podrían atacar e infiltrarse los atacantes híbridos. En la actualidad, los equipos SOC dependen de varias tecnologías de detección y respuesta, como soluciones IDS y PCAP, que se centran principalmente en el perímetro de la red, lo que convierte la detección de amenazas en un reto complejo. Existen demasiadas soluciones aisladas que envían demasiadas señales de detección de amenazas a los analistas de los SOC. Los equipos de seguridad tienen que dejar de centrarse en superficies de ataque específicas y empezar a pensar como los atacantes, que ven una superficie de ataque gigante. Cuanto más aislada y separada esté la señal de ataque, mayor será la latencia a la hora de detectar ataques híbridos que buscan ejecutar malware o una violación de datos con éxito.

Moverse a la velocidad de un atacante híbrido

Los atacantes híbridos que quieren eludir sus soluciones PCAP heredadas se centran en los metadatos que usted podría no estar analizando en esa instancia específica. Los agresores también intentan desplazarse hacia el norte, el sur, el este y el oeste de su entorno mediante movimientos laterales. Cuando un atacante ha penetrado en su entorno, la correlación y el contexto en torno a todos sus movimientos son fundamentales para evaluar la progresión del ataque dentro de su cloud. Analizar la enorme cantidad de metadatos y, a continuación, confiar en el cifrado antes de poder investigar realmente un incidente ralentiza enormemente el proceso de investigación y respuesta. Para avanzar a la velocidad de los atacantes es necesario eliminar la mayor latencia posible en las primeras fases del proceso de detección y, a continuación, escalar el proceso con la clasificación, la priorización, la investigación y la respuesta. La latencia en la detección es lo que da ventaja a los atacantes para moverse con rapidez a lo largo de la cadena de ataque.

Claves del éxito

Para seguir el ritmo de los ataques híbridos en evolución de hoy en día, los equipos SOC pueden centrarse en priorizar los ataques en tiempo real centrándose en tres áreas clave:

Cobertura de la superficie de ataque

Telemetría de ataques integrada y consolidada en toda su superficie de ataque híbrida que proporciona visibilidad completa en las redes de identidad, cloud pública, SaaS y centro de datos. Además de detección unificada basada en firmas, detección basada en el comportamiento impulsada por IA e inteligencia sobre amenazas en toda la cloud híbrida para una cobertura completa de todos los métodos de ataque híbridos.

Claridad de la señal de ataque

Señalización de ataques integrada e impulsada por IA en tiempo real. Aproveche la IA para automatizar la detección, clasificación y priorización de amenazas en su entorno cloud híbrida en tiempo real. Deje de centrarse en la detección de amenazas centrada en eventos para centrarse en la señal de ataque centrada en entidades. La señal de ataque centrada en la entidad proporciona alertas de alta fidelidad sobre hosts y cuentas atacadas en cualquier momento. De este modo, se reduce drásticamente el agotamiento de los analistas y se contribuye a mejorar la productividad general. El cambio a un enfoque centrado en las entidades reduce la latencia de la priorización de ataques híbridos.

Control integrado

Dote a los analistas del SOC de capacidades de investigación y respuesta integradas, automatizadas y cogestionadas que se mueven a la velocidad y escala de los atacantes híbridos. Elimine toda la latencia de investigación y respuesta del flujo de trabajo de sus analistas poniendo todo el contexto y los controles al alcance de su mano las 24 horas del día, los 7 días de la semana. Además, aproveche los servicios cogestionados para añadir refuerzos a su equipo SOC cuando los recursos de talento sean escasos y falten habilidades. Al integrar y consolidar todo el contexto, los controles y los recursos cogestionados de los ataques híbridos, puede reducir la latencia de la investigación y la respuesta a los ataques híbridos.

Cuando se trata de retirar su PCAP para la señal integrada de ataque híbrido y reducir la detección de ataque híbrido, la investigación y la latencia de respuesta - Vectra AI puede ayudar. La plataforma Vectra AI ofrece la señal integrada que potencia la detección y respuesta ampliadas (XDR) al proporcionar cobertura de la superficie de ataque en redes de cloud pública, identidad, SaaS y centros de datos. La Attack Signal IntelligenceTM patentada prioriza las entidades atacadas, junto con una respuesta integrada automatizada y cogestionada que impide que los ataques se conviertan en brechas.