Utilización de la IA para detectar y detener el movimiento lateral en la Cloud

El movimiento lateral es una táctica utilizada por los adversarios para ampliar su acceso moviéndose a través de un entorno para alcanzar sus metas u objetivos (por ejemplo, filtrar datos confidenciales, requisar cargas de trabajo). Durante años, el movimiento lateral se ha utilizado para atacar redes locales basadas en protocolos y servicios de red como Active Directory, SMB y NTLM, pero a medida que más y más organizaciones se trasladan a cloud , los atacantes les han seguido.

Tras el ataque, los agresores buscan numerosas vías de movimiento lateral en la cloud. Por ejemplo, robar credenciales de una máquina virtual comprometida para pasar a otros servicios, o aprovechar permisos elevados para desplegar recursos en regiones geográficas no utilizadas y no vigiladas. Hay muchos casos de estos métodos que se manifiestan en ataques del mundo real.

La prevalencia de entornos híbridos conectados agrava este reto. Los adversarios en la cloud híbrida aprovechan técnicas novedosas como el uso indebido de cuentas, credenciales comprometidas y vulnerabilidades para explotar relaciones de confianza y moverse lateralmente entre superficies conectadas. Vectra Cloud Detection and Response (CDR) para AWS cuenta con la tecnología patentada Attack Signal IntelligenceTM, que adopta un enfoque centrado en las entidades para detectar el movimiento lateral en las implementaciones de cloud híbrida, sacando a la luz las amenazas más urgentes para que las aborden los equipos de SOC.

Principales retos en la detección de movimientos laterales en la cloud

Lagunas en la visibilidad de la cloud híbrida: Los equipos SOC necesitan tener visibilidad de todo su despliegue de cloud híbrida, que abarca redes de centros de datos, identidad, SaaS y nubes públicas como AWS; no depender únicamente de una fuente singular como los cortafuegos para detectar amenazas en el tráfico entrante y saliente.

Profundidad técnica en la detección de amenazas: Los equipos de los SOC necesitan capacidades avanzadas de análisis del comportamiento en varias superficies conectadas sin invertir en herramientas desarticuladas de varios proveedores que no se integran o simplemente dejan lagunas que los atacantes sofisticados pueden aprovechar para moverse lateralmente entre superficies.

Mayores retos operativos: Con más herramientas aumentan los gastos generales en herramientas, tiempo y mano de obra para SecOps. Los equipos de los SOC necesitan proteger sus despliegues cloud híbrida sin gastar recursos y tiempo en corelación manual de datos de diversas fuentes. Esto afecta negativamente a las métricas clave de los SOC, como el tiempo medio de investigación (MTTI) y el tiempo medio de respuesta (MTTR).

Principales ventajas de la IA para detectar movimientos laterales en cloud

¿Por qué elegir una solución moderna de detección, investigación y respuesta (CDR) cloud ?

• Mayor visibilidad en entornos híbridos: Un único panel de cristal con entidades priorizadas de todas las superficies conectadas, incluidas redes de centros de datos, SaaS, identidad y nubes públicas como AWS.
• Detecciones basadas en IA: Una cartera de detecciones avanzadas que detectan comportamientos sofisticados de los agresores en toda la cadena de destrucción de cloud y ofrecen una protección exhaustiva frente a la vulneración de credenciales, el abuso de servicios, la escalada de privilegios y la filtración de datos.
• Prevención de movimientos laterales: Proporciona una supervisión centralizada de los comportamientos de los atacantes que intentan desplazarse lateralmente por las superficies conectadas, al tiempo que ofrece un registro de auditoría en una interfaz de usuario centralizada. Esto reduce en gran medida la carga que supone para los equipos de los SOC tener que fusionar manualmente datos procedentes de fuentes tradicionalmente inconexas.

Criterios clave a tener en cuenta para seleccionar la solución de IA adecuada

Superar los retos cloud no tiene por qué ser excesivamente complicado ni crear más trabajo para los equipos de SOC. Considere lo siguiente:

1. ‍Coberturapara la huella de la cloud híbrida: Los ataques híbridos modernos abarcan múltiples superficies conectadas que abarcan cloud pública, las redes de centros de datos, la identidad y SaaS. Se necesita una solución de detección, investigación y respuesta a las amenazas que abarque todas estas superficies.
2. Céntrese en la claridad de las señales: Aproveche la tecnología de IA que no solo identifica comportamientos sofisticados de atacantes en tiempo real, sino que también prioriza los hallazgos para que su equipo SOC pueda discernir lo importante de lo urgente.
3. Reducción de los gastos generales del SOC: La puesta en funcionamiento de múltiples herramientas y la formación del personal del SOC pueden suponer elevados costes de seguridad para una empresa, donde la solución ideal debería permitir investigaciones sencillas y agilizar los flujos de trabajo para las amenazas en todas las superficies de ataque.

Claves del éxito

• Amplia cobertura en despliegues híbridos: Una solución CDR, como Vectra CDR para AWS, encaja a la perfección en la plataforma Vectra AI , emergiendo y priorizando las amenazas no solo de la cloud, sino también de las superficies conectadas en un único plano de cristal.
• Claridad de señal en tiempo real impulsada por Attack Signal Intelligence™: Aprovechando la Attack Signal Intelligence líder en la industria de Vectra AIpara impulsar modelos de detección de IA creados específicamente e identificar amenazas sofisticadas en tiempo real. Vectra CDR para AWS utiliza IA para una verdadera atribución de origen, de modo que los analistas de SOC no tienen que correlacionar acciones a través de credenciales temporales para identificar al actor original. Esto ahorra horas de investigación.
• Flujos de trabajo potentes para permitir la investigación y la corrección: Vectra CDR para AWS incluye potentes funciones para investigar amenazas, como información agregada clave sobre entidades prioritarias, así como la capacidad de consultar registros sin procesar, lo que permite a los analistas invertir más ciclos en la búsqueda activa de amenazas. La solución también permite la corrección, ya sea a través de la aplicación automatizada o mediante la integración con los flujos de trabajo existentes aprovechados por la empresa.

Hoy en día, los despliegues son híbridos y consisten en superficies conectadas como centros de datos locales, proveedores de identidad, ofertas SaaS y nubes públicas. Los atacantes sofisticados intentan comprometer una superficie expuesta y luego se mueven lateralmente a las superficies conectadas en servicio de sus objetivos. Estos ataques se manifiestan de diversas formas, como el robo de credenciales, el compromiso de hosts en redes locales o amenazas basadas en identidades que acaban pivotando hacia recursos clave en entornos de cloud públicas. Los equipos SOC modernos tienen la misión de eliminar las filtraciones de datos, la interrupción de los servicios y el daño a la reputación de una organización por los ataques dirigidos a estas implantaciones de cloud híbrida.

Una vez en la cloud, la identificación de estos comportamientos puede ser un reto y cuanto más tiempo pueda moverse un atacante sin ser detectado a través de la huella híbrida conectada, mayor será el daño potencial. Con Vectra CDR para AWS, los equipos SOC tienen una amplia visibilidad de las amenazas a través de las superficies conectadas en un solo panel de vidrio con un enfoque profundo en la identificación de técnicas avanzadas de movimiento lateral en entornos de cloud . Vectra AI monitoriza los comportamientos de usuarios y servicios en cloud nube aprovechando su Attack Signal Intelligence™ para priorizar las amenazas y mitigar el riesgo de impacto en la huella de una organización.