Cloud Lateral Movement: Detection & Prevention with AI

Le mouvement latéral est une tactique utilisée par les adversaires pour étendre leur accès en se déplaçant dans un environnement afin d'atteindre leurs objectifs ou leurs cibles (par exemple, exfiltrer des données sensibles, réquisitionner des charges de travail). Pendant des années, le mouvement latéral a été utilisé pour cibler les réseaux sur site basés sur des protocoles et des services réseau tels que Active Directory, SMB et NTLM, mais comme de plus en plus d'organisations se déplacent vers le site cloud , les attaquants ont suivi.

Après la compromission, les attaquants recherchent de nombreuses possibilités de mouvement latéral dans le site cloud. Par exemple, voler les informations d'identification d'une machine virtuelle compromise pour accéder à d'autres services - ou tirer parti d'autorisations élevées pour déployer des ressources dans des régions géographiques inutilisées et non surveillées. Il existe de nombreux exemples de ces méthodes qui se manifestent dans des attaques réelles.

The prevalence of connected hybrid environments makes this challenge worse. Adversaries in the hybrid cloud leverage novel techniques such as account misuse, compromised credentials and vulnerabilities to exploit trusted relationships — and move laterally between connected surfaces. Vectra Cloud Detection and Response (CDR) for AWS is powered by patented Attack Signal IntelligenceTM that takes an entity-focused approach to detecting lateral movement in hybrid cloud deployments, surfacing the most urgent threats for SOC teams to address.

Principaux défis liés à la détection des mouvements latéraux dans les cloud

Lacunes dans la visibilité du système hybride cloud : Les équipes SOC doivent avoir une visibilité sur l'ensemble de leur déploiement hybride cloud englobant les réseaux des centres de données, l'identité, le SaaS et les nuages publics tels qu'AWS ; elles ne doivent pas dépendre uniquement d'une source unique telle que les pare-feu pour détecter les menaces dans le trafic entrant et sortant.

Profondeur technique dans la détection des menaces : Les équipes SOC ont besoin de capacités d'analyse comportementale avancées sur diverses surfaces connectées sans investir dans des outils disjoints provenant de plusieurs fournisseurs qui ne s'intègrent pas ou qui laissent simplement des lacunes que les attaquants sophistiqués peuvent exploiter pour se déplacer latéralement d'une surface à l'autre.

Heightened operational challenges: With more tools comes increased overhead in tooling, time and manpower for SecOps. SOC teams need to protect their hybrid cloud deployments without overspending on resources and time to manually corelate data from various sources. This adversely impacts key SOC metrics such as the mean time to investigate (MTTI) and mean time to respond (MTTR).

Principaux avantages de l'IA pour détecter les mouvements latéraux dans les cloud

Pourquoi choisir une solution moderne de détection, d'investigation et de réponse (CDR) spécialement conçue pour cloud ?

• Visibilité accrue dans les environnements hybrides : Une seule vitre avec des entités priorisées à travers les surfaces connectées, y compris les réseaux du centre de données, SaaS, l'identité et les nuages publics tels que AWS.
• Détections pilotées par l'IA : Un portefeuille de détections avancées qui mettent en évidence les comportements sophistiqués des attaquants sur l'ensemble de la chaîne d'exécution cloud et offrent une protection approfondie contre la compromission des informations d'identification, l'abus de service, l'escalade des privilèges et l'exfiltration des données.
• Prévention des mouvements latéraux : La surveillance centralisée des comportements des attaquants qui tentent de se déplacer latéralement sur les surfaces connectées, tout en fournissant une piste d'audit dans une interface utilisateur centralisée. Cela réduit considérablement le fardeau des équipes SOC qui doivent manuellement corréler des données provenant de sources traditionnellement disjointes.

Critères clés à prendre en compte pour sélectionner la bonne solution d'IA

Relever les défis du site cloud ne doit pas nécessairement être trop compliqué ou créer plus de travail pour les équipes SOC. Considérez les points suivants :

1. ‍Couverturede l'empreinte hybride cloud : Les attaques hybrides modernes couvrent de multiples surfaces connectées englobant les réseaux publics cloud, les réseaux des centres de données, l'identité et le SaaS. Il est nécessaire de disposer d'une solution de détection, d'investigation et de réponse aux menaces qui couvre les menaces provenant de toutes ces surfaces
2. Se concentrer sur la clarté du signal : Tirez parti d'une technologie d'IA qui non seulement identifie les comportements sophistiqués des attaquants en temps réel, mais qui hiérarchise également les résultats afin que votre équipe SOC puisse discerner l'important de l'urgent.
3. Réduire les frais généraux du SOC : L'opérationnalisation de plusieurs outils et la formation du personnel du SOC peuvent entraîner des coûts de sécurité élevés pour une entreprise. La solution idéale devrait permettre de faciliter les investigations et de rationaliser les flux de travail pour les menaces à travers les surfaces d'attaque.

Les clés de la réussite

• Une large couverture pour les déploiements hybrides : Une solution CDR, telle que Vectra CDR pour AWS, s'intègre de manière transparente à la plateforme Vectra AI - elle permet d'identifier et de hiérarchiser les menaces non seulement à partir du site cloud, mais également à partir des surfaces connectées, dans un seul et même plan de vision.
• Clarté des signaux en temps réel alimentée par Attack Signal Intelligence™: Tirant parti de Vectra AI's industry leading Attack Signal Intelligence pour alimenter des modèles de détection d'IA conçus à cet effet et identifier les menaces sophistiquées en temps réel. Vectra CDR for AWS utilise l'IA pour une véritable attribution à la source, de sorte que les analystes SOC n'ont pas à corréler les actions sur des identifiants temporaires pour identifier l'acteur d'origine. Cela permet d'économiser des heures d'investigation.
• Des workflows puissants pour faciliter les investigations et la remédiation: Vectra CDR for AWS comprend de puissantes fonctions d'investigation des menaces, notamment des informations clés agrégées sur les entités prioritaires, ainsi que la possibilité d'interroger les logs bruts, ce qui permet aux analystes d'investir davantage de cycles dans la recherche active de menaces. La solution permet également d'appliquer des mesures correctives, soit par une mise en œuvre automatisée, soit par l'intégration à des flux de travail existants au sein de l'entreprise.

Today, deployments are hybrid consisting of connected surfaces such as on-premises data centers, identity providers, SaaS offerings and public clouds. Sophisticated attackers aim to compromise one exposed surface and then move laterally to connected surfaces in service of their goals. These attacks manifest in various forms such credential theft, compromise of hosts in on-prem networks or identity based threats that eventually pivot to key resources in public cloud environments. Modern SOC teams are on a mission to eliminate data breaches, disruption of services, and damage to an organization’s reputation from attacks targeting these hybrid cloud deployments.

Once in the cloud, identification of these behaviors can be challenging and the longer an attacker can move undetected across the connected hybrid footprint, the greater the potential damage. With Vectra CDR for AWS, SOC teams have broad visibility into threats across connected surfaces in a single pane of glass with a deep focus on identifying advanced lateral movement techniques in cloud environments. Vectra AI monitors behaviors across users and services in the cloud leveraging its Attack Signal Intelligence™ to prioritize threats and mitigate the risk of impact on an organization’s footprint.