Depuis la création de Vectra, l'accent a été mis principalement sur les dispositifs hôtes. Les hôtes génèrent le trafic réseau que la plateforme Vectra AI analyse pour identifier les comportements des attaquants. Ils sont également la cible privilégiée des attaquants et nécessitent une remédiation méticuleuse. Traditionnellement, l'attribution du comportement des attaquants aux hôtes d'où ils émanent était la norme.
Cependant, Vectra élargit aujourd'hui son champ d'action aux comptes avec l'introduction récente de Vectra Privileged Threat Analytics (PTA).
Pourquoi Vectra AI a créé Privileged Threat Analytics (PTA) ?
Les attaquants, une fois à l'intérieur d'un réseau, procèdent à une reconnaissance pour comprendre la structure de l'environnement et identifier les systèmes critiques. Une part importante de leur stratégie consiste à escalader leurs privilèges pour obtenir un accès plus complet. C'est pourquoi Vectra a tiré parti des connaissances acquises en adoptant le point de vue de l'attaquant.
Cette approche a débouché sur des technologies révolutionnaires en matière de sécurité des comptes au sein de la plateformeVectra AI .
Qu'est-ce que l'analyse des menaces privilégiées ?
Vectra Privileged Threat Analytics (PTA) ajoute à la plateforme Vectra AI une approche centrée sur les comptes et les privilèges. Ce système repose sur une technologie brevetée qui observe, déduit et comprend les niveaux de privilèges des comptes, des hôtes et des services qui interagissent sur le réseau. Ces niveaux de privilèges sont incorporés dans les métadonnées des sites Stream et Recall, ce qui améliore les capacités d'investigation des analystes de la sécurité et des chasseurs de menaces.
Principales caractéristiques de l'ATP
- Modèles de détection à haute fidélité : L'APT se concentre sur les entités dotées de privilèges plus élevés, ce qui permet un examen plus approfondi de leurs comportements. Il en résulte des détections de haute qualité impliquant des comptes d'administration et de service se livrant à des activités inhabituelles ou potentiellement malveillantes.
- Vue basée sur les comptes dans l'interface utilisateur : L'une des mises à jour les plus importantes de l'interface utilisateur de Vectra depuis des années comprend une perspective basée sur les comptes. Les comptes liés aux détections sont évalués par des scores de menace et de certitude, affichés dans un graphique à deux axes. Chaque compte dispose d'une page dédiée détaillant les détections associées et les informations contextuelles.
- Comprendre le privilège observé : L'ATP met l'accent sur les privilèges observés, qui diffèrent des privilèges accordés. Les privilèges observés sont basés sur des modèles d'utilisation réelle du réseau, contrairement aux privilèges accordés, qui sont définis par des droits d'accès dans un serveur d'annuaire. Cette approche reflète mieux les scénarios et les menaces du monde réel.
En quoi l'APT diffère-t-elle des approches traditionnelles?
Contrairement à l'analyse du comportement des utilisateurs (UBA) et à d'autres analyses traditionnelles basées sur les comptes qui traitent tous les comptes de la même manière, l'analyse du comportement des utilisateurs adopte une approche d'observation. Cette méthode se concentre sur les entités privilégiées et met en évidence les comportements malveillants pour lesquels les mesures préventives pourraient ne pas être suffisantes.
Améliorer la cybersécurité avec Vectra PTA
Vectra Privileged Threat Analytics représente un changement de paradigme dans la surveillance et la protection des entités privilégiées pendant les phases d'attaque active. Désormais disponible pour tous les clients et évaluateurs de Vectra, PTA offre une nouvelle façon, plus efficace, d'aborder la cybersécurité, en particulier dans la gestion et la compréhension des comptes à privilèges.
Si vous êtes prêt à changer votre approche de la surveillance et de la protection de vos entités privilégiées, contactez-nous.