Récemment, le National Cyber Security Centre (NCSC) du Royaume-Uni et le Centre de la sécurité des télécommunications (CST) du Canada ont publié des informations sur des acteurs de la menace avancée (APT29 ) ciblant des organisations associées au développement de la recherche sur le vaccin COVID-19. Malheureusement pour les outils de sécurité traditionnels basés sur le périmètre qui se contentent d'identifier les mauvais indicateurs connus, cette campagne s'appuie fortement sur le vol et l'utilisation abusive d'informations d'identification autorisées pour maintenir la persistance et poursuivre la progression de l'attaque.
Bien que ces outils puissent tirer parti des indications de compromission (IOC) actuellement connues, les IOC sont facilement modifiables par les adversaires et, lorsqu'ils sont utilisés seuls, ils conviennent mieux à l'étude de la présence historique de ces acteurs de la menace qu'aux seuls indicateurs de premier plan permettant aux défenseurs du réseau d'empêcher la progression des attaques.
Heureusement, les entreprises qui ont déployé la plateforme Vectra Cognito détection et réponse aux incidents (NDR) résistent à cette campagne car leurs défenses réseau ne dépendent pas uniquement de la détection d'IOC connus et mauvais, et elles disposent d'une couverture à la fois dans le réseau et dans les services SaaS critiques tels que Microsoft Office 365. Cognito déploie l'intelligence artificielle et l'apprentissage automatique pour détecter les comportements que les adversaires doivent adopter pour faire progresser une attaque plutôt que les outils qu'ils utilisent ou les IOC qu'ils créent - par exemple, grâce à l'utilisation intensive de l'analyse des accès privilégiés (PAA) native de la plateforme. L'AAP détecte les activités de post-exploitation exploitant des informations d'identification volées et mal utilisées en observant et en apprenant comment les privilèges sont utilisés dans l'entreprise, puis en signalant lorsque ces privilèges ont été mal utilisés, ce qui permet même de démanteler une attaque orchestrée en temps réel en invoquant Cognito Account Lockdown. En outre, l'accès à des métadonnées étendues et enrichies de type Zeek permet aux analystes de la sécurité de découvrir rapidement des preuves historiques de ces acteurs de la menace, ou de chasser les menaces avec de nouveaux CIO développés à la suite de leurs activités opérationnelles.
Malheureusement, les organisations sont trop souvent à la merci des CIO publiés qui les informent après coup que quelque chose a mal tourné. Avec Vectra, les défenseurs du réseau retrouvent la visibilité et le contrôle de leur environnement, ce qui leur permet d'inverser le scénario et d'arrêter les adversaires, même les plus avancés, avant qu'ils n'aient fait des dégâts.