Cloud Lateral Movement: Detection & Prevention with AI

El movimiento lateral es una táctica utilizada por los adversarios para ampliar su acceso moviéndose a través de un entorno para alcanzar sus metas u objetivos (por ejemplo, filtrar datos confidenciales, requisar cargas de trabajo). Durante años, el movimiento lateral se ha utilizado para atacar redes locales basadas en protocolos y servicios de red como Active Directory, SMB y NTLM, pero a medida que más y más organizaciones se trasladan a cloud , los atacantes les han seguido.

Tras el ataque, los agresores buscan numerosas vías de movimiento lateral en la cloud. Por ejemplo, robar credenciales de una máquina virtual comprometida para pasar a otros servicios, o aprovechar permisos elevados para desplegar recursos en regiones geográficas no utilizadas y no vigiladas. Hay muchos casos de estos métodos que se manifiestan en ataques del mundo real.

The prevalence of connected hybrid environments makes this challenge worse. Adversaries in the hybrid cloud leverage novel techniques such as account misuse, compromised credentials and vulnerabilities to exploit trusted relationships — and move laterally between connected surfaces. Vectra Cloud Detection and Response (CDR) for AWS is powered by patented Attack Signal IntelligenceTM that takes an entity-focused approach to detecting lateral movement in hybrid cloud deployments, surfacing the most urgent threats for SOC teams to address.

Principales retos en la detección de movimientos laterales en la cloud

Lagunas en la visibilidad de la cloud híbrida: Los equipos SOC necesitan tener visibilidad de todo su despliegue de cloud híbrida, que abarca redes de centros de datos, identidad, SaaS y nubes públicas como AWS; no depender únicamente de una fuente singular como los cortafuegos para detectar amenazas en el tráfico entrante y saliente.

Profundidad técnica en la detección de amenazas: Los equipos de los SOC necesitan capacidades avanzadas de análisis del comportamiento en varias superficies conectadas sin invertir en herramientas desarticuladas de varios proveedores que no se integran o simplemente dejan lagunas que los atacantes sofisticados pueden aprovechar para moverse lateralmente entre superficies.

Heightened operational challenges: With more tools comes increased overhead in tooling, time and manpower for SecOps. SOC teams need to protect their hybrid cloud deployments without overspending on resources and time to manually corelate data from various sources. This adversely impacts key SOC metrics such as the mean time to investigate (MTTI) and mean time to respond (MTTR).

Principales ventajas de la IA para detectar movimientos laterales en cloud

¿Por qué elegir una solución moderna de detección, investigación y respuesta (CDR) cloud ?

• Mayor visibilidad en entornos híbridos: Un único panel de cristal con entidades priorizadas de todas las superficies conectadas, incluidas redes de centros de datos, SaaS, identidad y nubes públicas como AWS.
• Detecciones basadas en IA: Una cartera de detecciones avanzadas que detectan comportamientos sofisticados de los agresores en toda la cadena de destrucción de cloud y ofrecen una protección exhaustiva frente a la vulneración de credenciales, el abuso de servicios, la escalada de privilegios y la filtración de datos.
• Prevención de movimientos laterales: Proporciona una supervisión centralizada de los comportamientos de los atacantes que intentan desplazarse lateralmente por las superficies conectadas, al tiempo que ofrece un registro de auditoría en una interfaz de usuario centralizada. Esto reduce en gran medida la carga que supone para los equipos de los SOC tener que fusionar manualmente datos procedentes de fuentes tradicionalmente inconexas.

Criterios clave a tener en cuenta para seleccionar la solución de IA adecuada

Superar los retos cloud no tiene por qué ser excesivamente complicado ni crear más trabajo para los equipos de SOC. Considere lo siguiente:

1. ‍Coberturapara la huella de la cloud híbrida: Los ataques híbridos modernos abarcan múltiples superficies conectadas que abarcan cloud pública, las redes de centros de datos, la identidad y SaaS. Se necesita una solución de detección, investigación y respuesta a las amenazas que abarque todas estas superficies.
2. Céntrese en la claridad de las señales: Aproveche la tecnología de IA que no solo identifica comportamientos sofisticados de atacantes en tiempo real, sino que también prioriza los hallazgos para que su equipo SOC pueda discernir lo importante de lo urgente.
3. Reducción de los gastos generales del SOC: La puesta en funcionamiento de múltiples herramientas y la formación del personal del SOC pueden suponer elevados costes de seguridad para una empresa, donde la solución ideal debería permitir investigaciones sencillas y agilizar los flujos de trabajo para las amenazas en todas las superficies de ataque.

Claves del éxito

• Amplia cobertura en despliegues híbridos: Una solución CDR, como Vectra CDR para AWS, encaja a la perfección en la plataforma Vectra AI , emergiendo y priorizando las amenazas no solo de la cloud, sino también de las superficies conectadas en un único plano de cristal.
• Claridad de señal en tiempo real impulsada por Attack Signal Intelligence™: Aprovechando la Attack Signal Intelligence líder en la industria de Vectra AIpara impulsar modelos de detección de IA creados específicamente e identificar amenazas sofisticadas en tiempo real. Vectra CDR para AWS utiliza IA para una verdadera atribución de origen, de modo que los analistas de SOC no tienen que correlacionar acciones a través de credenciales temporales para identificar al actor original. Esto ahorra horas de investigación.
• Flujos de trabajo potentes para permitir la investigación y la corrección: Vectra CDR para AWS incluye potentes funciones para investigar amenazas, como información agregada clave sobre entidades prioritarias, así como la capacidad de consultar registros sin procesar, lo que permite a los analistas invertir más ciclos en la búsqueda activa de amenazas. La solución también permite la corrección, ya sea a través de la aplicación automatizada o mediante la integración con los flujos de trabajo existentes aprovechados por la empresa.

Today, deployments are hybrid consisting of connected surfaces such as on-premises data centers, identity providers, SaaS offerings and public clouds. Sophisticated attackers aim to compromise one exposed surface and then move laterally to connected surfaces in service of their goals. These attacks manifest in various forms such credential theft, compromise of hosts in on-prem networks or identity based threats that eventually pivot to key resources in public cloud environments. Modern SOC teams are on a mission to eliminate data breaches, disruption of services, and damage to an organization’s reputation from attacks targeting these hybrid cloud deployments.

Once in the cloud, identification of these behaviors can be challenging and the longer an attacker can move undetected across the connected hybrid footprint, the greater the potential damage. With Vectra CDR for AWS, SOC teams have broad visibility into threats across connected surfaces in a single pane of glass with a deep focus on identifying advanced lateral movement techniques in cloud environments. Vectra AI monitors behaviors across users and services in the cloud leveraging its Attack Signal Intelligence™ to prioritize threats and mitigate the risk of impact on an organization’s footprint.