Best Practices Guide

Modernisez votre SOC - Tracez votre chemin vers l'avenir sans décryptage du trafic réseau

Modernisez votre SOC - Tracez votre chemin vers l'avenir sans décryptage du trafic réseau
Modernisez votre SOC - Tracez votre chemin vers l'avenir sans décryptage du trafic réseau
Sélectionner la langue à télécharger
Rapport d'accès

Le chiffrement est omniprésent. De nombreux fournisseurs vous feront croire que pour détecter des attaques dans des protocoles cryptés comme HTTPS, vous devez effectuer des déploiements compliqués de décryptage SSL à haute performance. Cependant, la plateforme Vectra AI peut détecter de manière fiable les phases de C2, d'exfiltration et d'autres attaques sans qu'il soit nécessaire de procéder à un décryptage. En s'appuyant sur l'intelligence artificielle et l'apprentissage automatique (AI/ML), la plateforme Vectra AI est capable d'identifier les comportements des attaquants, même si la communication est cryptée. Contrairement à d'autres solutions qui doivent correspondre à des modèles spécifiques que les attaques peuvent modifier arbitrairement, la plateforme Vectra AI est alimentée par Attack Signal Intelligence™, qui fournit des détections basées sur l'IA qui identifient les comportements sous-jacents qui doivent être exécutés pour contrôler un endpoint ou exfiltrer des données - offrant une détection robuste même dans les environnements cryptés.

Principaux défis à relever

Le décryptage est limité aux menaces connues : Une fois le trafic décrypté, il est souvent inspecté à l'aide de modèles connus que les attaquants peuvent facilement modifier pour déjouer les capacités de détection traditionnelles.

Le décryptage crée une complexité opérationnelle : Le décryptage est complexe à mettre en œuvre sur le plan opérationnel, nécessite beaucoup de ressources et pose des problèmes opérationnels de déploiement et de compatibilité.

Le décryptage ne peut pas être effectué sur tout : le décryptage n'est souvent pas pris en charge sur certains types d'équipements de réseau tels que l'IoT et l'OT. Les politiques d'entreprise peuvent empêcher le décryptage SSL sur certains types de sites web - et les attaquants peuvent tromper les moteurs de catégorisation d'URL pour contourner l'inspection SSL.

Pourquoi le besoin d'une solution moderne de détection, d'investigation et de réponse aux menaces (TDIR) spécialement conçue à cet effet :

  • Il fournit des résultats éprouvés en s'appuyant sur des modèles basés sur le retour d'expérience de centaines, voire de milliers d'organisations, afin de lutter contre les menaces connues et inconnues.
  • Fournit une vue d'ensemble dans une interface utilisateur unique, prête à l'emploi dès sa sortie de l'emballage.
  • Une solution hybride moderne cloud TDIR fournit le pivot signal unifié pour XDR dans tous les domaines, y compris le réseau du centre de données, l'identité, le public cloud et SaaS.

Critères clés à prendre en compte

Il n'est pas nécessaire que les défis de décryptage soient trop compliqués ou qu'ils alourdissent la charge de travail des équipes de sécurité. Prenons l'exemple suivant :

Se concentrer sur les comportements des attaquants : Tirer parti d'une technologie qui identifie les comportements des attaquants plutôt que des schémas spécifiques. Étant donné que les comportements peuvent être détectés dans le trafic crypté, toutes les attaques peuvent être détectées passivement sans aucune exigence onéreuse.

Collecter les métadonnées du réseau : Identifier les transactions sur le réseau comme les certificats SSL, les négociations et les opérations. Ces données peuvent être utiles pour compléter les détections et alimenter les cas d'utilisation de recherche et de découverte de menaces.

Détection SaaS : Tirez parti de la technologie de détection SaaS pour identifier les comportements au sein des plateformes SaaS les plus répandues, telles que M365 et Azure AD.

Les clés de la réussite

Couverture : Réduire la latence des attaques hybrides cloud en unifiant et en consolidant la télémétrie des attaques sur l'ensemble de la surface d'attaque hybride cloud , y compris les réseaux d'identité, publics cloud, SaaS et de centres de données.

Clarté : Signal d'attaque intégré, en temps réel, piloté par l'IA pour automatiser la détection, le triage et la hiérarchisation des menaces dans l'ensemble de vos domaines hybrides cloud . Passage d'une détection des menaces centrée sur les événements à un signal d'attaque centré sur les entités. Le signal d'attaque centré sur l'entité fournit des alertes plus précises sur les hôtes et les comptes attaqués, ce qui évite d'avoir à trier des centaines, voire des milliers, d'événements de menace par jour. En tirant parti d'une solution TDIR telle que la plate-forme Vectra AI , votre équipe SOC peut réellement faire la différence entre les vrais positifs bénins et malveillants, ce qui permet d'économiser d'innombrables ressources et du temps tout en réduisant l'épuisement des analystes.

Contrôle : Armez les analystes SOC en éliminant d'emblée toute complexité de déploiement afin d'éviter toute investigation supplémentaire et toute latence de réponse dans les flux de travail des analystes, et mettez à leur disposition tout le contexte et les contrôles dont ils ont besoin. En outre, tirez parti des services cogérés pour renforcer les équipes SOC lorsque les ressources en talents sont rares ou que l'accès à l'expertise nécessaire à la chasse aux menaces est limité.

Si vous en avez assez de vous reposer sur des méthodologies de décryptage traditionnelles qui sont trop compliquées et ralentissent votre équipe SOC, alors Vectra AI peut vous aider. La plateforme Vectra AI fournit le signal d'attaque hybride le plus fiable qui ne dépend pas de la capacité à déployer des techniques de décryptage du trafic complexes et coûteuses. La plateforme Vectra AI offre le site signal unifié le plus fiable, qui alimente la détection et la réponse étendues (XDR) en fournissant une couverture de la surface d'attaque hybride sur les réseaux publics cloud, d'identité, SaaS et de données, grâce à Attack Signal Intelligence en temps réel qui donne la priorité aux entités attaquées et à une réponse intégrée, automatisée et cogérée qui empêche les attaques de se transformer en brèches, sans les inconvénients du décryptage.

Les entreprises du monde entier nous font confiance

Foire aux questions