En exploitant la solution Security AI-driven Attack Signal IntelligenceTM (ASI) de Vectra pour cloud, les équipes SecOps peuvent surveiller en permanence et découvrir des menaces sophistiquées dans leurs environnements SaaS et cloud en temps réel. Vectra ASI émet des alertes dans les minutes qui suivent les actions des attaquants, fournissant le contexte nécessaire pour caractériser l'intention et comprendre l'impact global sur l'entreprise, ce qui permet une chasse aux menaces, des investigations et une réponse plus rapides et plus précises.
Ceux qui connaissent Vectra NDR (détection et réponse aux incidents) savent qu'il s'agit d'une solution de pointe pour la détection des menaces et la réponse aux attaquants dans les environnements réseau. Avec l'introduction du moteur Vectra ASI pour cloud, les capacités de détection en temps réel de Vectra NDR sont maintenant étendues à Vectra CDR (cloud detection and response) pour mettre en évidence les comportements malveillants en temps quasi réel. Cela permet aux équipes SecOps de bénéficier d'une visibilité inégalée sur les actions qui se déroulent dans leur environnement cloud . Mais pourquoi avons-nous conçu un nouveau moteur de détection des menaces pour cloud et pourquoi avez-vous besoin à la fois d'une solution de sécurité NDR et d'une solution de sécurité CDR ?
Les attaques sur le site cloud sont différentes de celles du centre de données.
Il existe une relation alambiquée de plusieurs à plusieurs entre l'infrastructure, les données et la connectivité dans le site cloud, l'identité étant le ciment. Associée à la vitesse à laquelle les pipelines CI/CD modernes se déplacent, elle présente une surface d'attaque très large sur laquelle il est impossible de prévenir les attaques. Bien que les objectifs finaux d'un attaquant dans les environnements cloud et traditionnels sur site restent les mêmes, les attaques cloud diffèrent de la manière suivante :
- Se concentrer sur les informations d'identification : Au cœur de la plupart des exploits de cloud se trouvent des informations d'identification compromises. Que ce soit par le biais de campagnes phishing ou d'identifiants accidentellement déposés dans des référentiels de code, les attaquants trouvent de nouveaux moyens de voler des identifiants confidentiels et d'accéder à des comptes.
- Chaîne d'exécution peu profonde : Il s'agit d'une conséquence du nombre même de services offerts par les fournisseurs cloud . Différentes saveurs de calcul, de stockage, de lacs de données, de services sans serveur, de charges de travail conteneurisées et d'applications dans de nombreuses régions signifient que l'écart entre l'infiltration et les actifs de grande valeur est considérablement réduit.
- Vitesse de progression : Contrairement aux environnements sur site, les attaques sur le site cloud progressent plus rapidement. Cela est principalement dû à la nature éphémère des informations d'identification temporaires sur le site cloud. Lorsqu'un attaquant trouve un moyen d'entrer, il doit agir rapidement pour s'assurer un accès permanent.
Les défenseurs doivent penser différemment
Outre les différences fondamentales dans la manière dont les attaques se déroulent, les caractéristiques des artefacts dont disposent les équipes de sécurité pour arrêter efficacement les attaques sont également très différentes. Contrairement aux environnements de centres de données qui s'appuient sur les données de paquets de réseau, les fournisseurs de cloud utilisent la journalisation pour l'auditabilité. L'analyse de ces journaux pour la détection des menaces dans des environnements multi-cloud est difficile pour les raisons suivantes :
- Sources d'enregistrement multiples : Il existe de nombreuses sources de journaux sur le site cloud , chacune contenant des informations différentes. Il s'agit par exemple des journaux du plan de contrôle, des journaux du plan de données, des journaux d'audit de la charge de travail et des journaux du réseau. Du point de vue de la sécurité, elles doivent être interconnectées pour détecter efficacement le comportement des attaquants.
- Schémas de journaux incohérents : Chaque fournisseur utilise son propre format lors de la publication des journaux. En outre, il arrive que le même fournisseur cloud modifie un schéma de journal en fonction de la destination des journaux ! Ce processus incohérent peut rendre l'analyse des journaux difficile pour les équipes de sécurité.
- Livraison imprévisible : La diversité des journaux entre les services et les multiples environnements cloud signifie qu'il y a un élément d'incertitude dans la livraison. Des actions connexes peuvent apparaître dans différents fichiers journaux séparés par des intervalles de temps arbitraires. Ce délai ajoute de l'incohérence et rend difficile le suivi des donneurs d'ordre agissant sur les ressources.
Les actions d'audit sur le site cloud sont donc fondamentalement différentes des environnements des centres de données où les protocoles standard sont respectés et où les paquets sont reçus en temps réel.
La solution - Vectra Cloud Détection et réponse avec Attack Signal Intelligence
Avec son nouveau moteur ASI pour le site cloud, Vectra a réimaginé sa plateforme technologique pour rechercher des menaces sophistiquées dans des données très différentes, mais les faire remonter à la surface avec la même rapidité et la même précision que Vectra NDR. En outre, la fonction intégrée de hiérarchisation pilotée par l'IA automatise la hiérarchisation des alertes à chaque détection afin que les équipes de sécurité sachent quelles sont les menaces les plus urgentes. Les menaces sont automatiquement analysées, notées et classées afin que les équipes de sécurité sachent où leurs efforts sont les plus nécessaires. L'image ci-dessous montre comment Attack Signal Intelligence a pu hiérarchiser et stopper une attaque ciblant l'environnement AWS d'une entreprise manufacturière.
Pour hiérarchiser et stopper les attaques dans les environnements cloud , Vectra CDR présente les caractéristiques suivantes :
- Détections plus rapides : Vectra Le CDR est équipé d'outils pour l'analyse en temps réel des journaux, à l'échelle de l'entreprise. Associé à des enrichissements tels que la méthodologie d'attribution basée sur l'IA de Vectra, Vectra CDR peut examiner les journaux et corréler des millions d'événements provenant de centaines d'utilisateurs et de services. Les détections à haut niveau de confiance sont désormais déclenchées quelques minutes seulement après l'observation d'un comportement malveillant, ce qui peut faire la différence entre l'arrêt d'une attaque en cours et son analyse a posteriori.
- Un contexte riche : L'interrogation des journaux pour de simples séquences produit des milliers d'alertes, même pour de petits déploiements, qui noient les ressources d'une équipe SOC. C'est là que le contexte environnemental peut faire une différence significative. Grâce au nouveau moteur ASI, Vectra CDR peut garder une trace de la façon dont les utilisateurs individuels interagissent avec les différents rôles et services dans un environnement. Cette persistance de l'état permet des cas d'utilisation tels que les anomalies de privilèges spécifiques à l'environnement.
- Couverture des vecteurs de menaces avancées : Vectra peut identifier des méthodes d'attaque plus sophistiquées sur le site cloud. L'une de ces techniques d'attaque consiste à mener des activités malveillantes au cours de plusieurs sessions séparées dans le temps. Ils échappent ainsi aux mécanismes de détection conventionnels. En rassemblant les enseignements tirés du temps, des sessions et des entités, Vectra CDR dresse un tableau précis de la progression des attaques, même les plus sophistiquées.
Proposé en mode SaaS, Vectra CDR offre des avantages supplémentaires en termes d'évolutivité, de performance et de fiabilité qui jouent un rôle clé pour aider les équipes SOC à atteindre leurs objectifs MTTD / MTTR à mesure qu'elles prennent des empreintes multicloud et hybrides sur le sitecloud .
Quelle est la prochaine étape ?
Découvrez la puissance de Vectra CDR powered by Attack Signal Intelligence grâce à notre essai gratuit.