Le chiffrement est omniprésent. De nombreux fournisseurs vous feront croire que, pour détecter les attaques au sein de protocoles chiffrés tels que HTTPS, vous devez mettre en place des déploiements complexes de déchiffrement SSL, très gourmands en ressources. Cependant, la Vectra AI est capable de détecter de manière fiable les communications C2, l'exfiltration et d'autres étapes d'attaque sans avoir besoin de décryptage. En s'appuyant sur une intelligence artificielle et un apprentissage automatique (IA/ML) de pointe, la Vectra AI est capable d'identifier les comportements des attaquants, même si la communication est chiffrée. Contrairement à d'autres solutions qui doivent faire correspondre des modèles spécifiques que les attaques peuvent modifier arbitrairement, la Vectra AI s'appuie sur Attack Signal Intelligence™, qui fournit des détections basées sur l'IA permettant d'identifier les comportements sous-jacents nécessaires pour contrôler un endpoint exfiltrer des données — offrant ainsi une détection robuste même dans des environnements chiffrés.
Principaux défis à relever
Le décryptage est limité aux menaces connues : Une fois le trafic décrypté, il est souvent inspecté à l'aide de modèles connus que les attaquants peuvent facilement modifier pour déjouer les capacités de détection traditionnelles.
Le décryptage crée une complexité opérationnelle : Le décryptage est complexe à mettre en œuvre sur le plan opérationnel, nécessite beaucoup de ressources et pose des problèmes opérationnels de déploiement et de compatibilité.
Le décryptage ne peut pas être effectué sur tout : le décryptage n'est souvent pas pris en charge sur certains types d'équipements de réseau tels que l'IoT et l'OT. Les politiques d'entreprise peuvent empêcher le décryptage SSL sur certains types de sites web - et les attaquants peuvent tromper les moteurs de catégorisation d'URL pour contourner l'inspection SSL.
Pourquoi le besoin d'une solution moderne de détection, d'investigation et de réponse aux menaces (TDIR) spécialement conçue à cet effet :
- Il fournit des résultats éprouvés en s'appuyant sur des modèles basés sur le retour d'expérience de centaines, voire de milliers d'organisations, afin de lutter contre les menaces connues et inconnues.
- Fournit une vue d'ensemble dans une interface utilisateur unique, prête à l'emploi dès sa sortie de l'emballage.
- Une solution hybride moderne cloud TDIR fournit le pivot signal unifié pour XDR dans tous les domaines, y compris le réseau du centre de données, l'identité, le public cloud et SaaS.
Critères clés à prendre en compte
Il n'est pas nécessaire que les défis de décryptage soient trop compliqués ou qu'ils alourdissent la charge de travail des équipes de sécurité. Prenons l'exemple suivant :
Se concentrer sur les comportements des attaquants : Tirer parti d'une technologie qui identifie les comportements des attaquants plutôt que des schémas spécifiques. Étant donné que les comportements peuvent être détectés dans le trafic crypté, toutes les attaques peuvent être détectées passivement sans aucune exigence onéreuse.
Collecter les métadonnées du réseau : Identifier les transactions sur le réseau comme les certificats SSL, les négociations et les opérations. Ces données peuvent être utiles pour compléter les détections et alimenter les cas d'utilisation de recherche et de découverte de menaces.
Détection SaaS : Tirez parti de la technologie de détection SaaS pour identifier les comportements au sein des plateformes SaaS les plus répandues, telles que M365 et Azure AD.
Les clés de la réussite
Couverture : Réduire la latence des attaques hybrides cloud en unifiant et en consolidant la télémétrie des attaques sur l'ensemble de la surface d'attaque hybride cloud , y compris les réseaux d'identité, publics cloud, SaaS et de centres de données.
Clarity : signal d'attaque intégré et en temps réel, basé sur l'IA, permettant d'automatiser la détection, le triage et la hiérarchisation des menaces sur l'ensemble de vos cloud hybride. Passez d'une détection des menaces centrée sur les événements à un signal d'attaque centré sur les entités. Le signal d'attaque centré sur les entités fournit des alertes plus précises sur les hôtes et les comptes attaqués, éliminant ainsi la nécessité de trier des centaines, voire des milliers d'événements de menaces par jour. En tirant parti d'une solution TDIR telle que la Vectra AI , votre équipe SOC peut véritablement faire la distinction entre les vrais positifs bénins et malveillants, ce qui permet d'économiser d'innombrables ressources et de gagner du temps, tout en réduisant l'épuisement professionnel des analystes.
Contrôle : Armez les analystes SOC en éliminant d'emblée toute complexité de déploiement afin d'éviter toute investigation supplémentaire et toute latence de réponse dans les flux de travail des analystes, et mettez à leur disposition tout le contexte et les contrôles dont ils ont besoin. En outre, tirez parti des services cogérés pour renforcer les équipes SOC lorsque les ressources en talents sont rares ou que l'accès à l'expertise nécessaire à la chasse aux menaces est limité.
Si vous en avez assez de vous fier à des méthodes de décryptage traditionnelles trop complexes qui ralentissent votre équipe SOC, Vectra AI vous aider. La Vectra AI fournit le signal d'attaque hybride le plus fiable, sans nécessiter le déploiement de techniques de décryptage du trafic complexes et coûteuses. Vectra AI fournit signal unifié le plus fiable signal unifié la détection et la réponse étendues (XDR) en assurant une couverture hybride de la surface d'attaque sur les réseaux cloud public, d'identité, de SaaS et de données grâce à Attack Signal Intelligence en temps réel Attack Signal Intelligence hiérarchise les entités attaquées, ainsi qu'à une réponse intégrée, automatisée et cogérée qui empêche les attaques de se transformer en violations de données sans les tracas liés au décryptage.
