Utilisation de l'IA pour détecter et arrêter les mouvements latéraux dans le Cloud

Le mouvement latéral est une tactique utilisée par les adversaires pour étendre leur accès en se déplaçant dans un environnement afin d'atteindre leurs objectifs ou leurs cibles (par exemple, exfiltrer des données sensibles, réquisitionner des charges de travail). Pendant des années, le mouvement latéral a été utilisé pour cibler les réseaux sur site basés sur des protocoles et des services réseau tels que Active Directory, SMB et NTLM, mais comme de plus en plus d'organisations se déplacent vers le site cloud , les attaquants ont suivi.

Après la compromission, les attaquants recherchent de nombreuses possibilités de mouvement latéral dans le site cloud. Par exemple, voler les informations d'identification d'une machine virtuelle compromise pour accéder à d'autres services - ou tirer parti d'autorisations élevées pour déployer des ressources dans des régions géographiques inutilisées et non surveillées. Il existe de nombreux exemples de ces méthodes qui se manifestent dans des attaques réelles.

La prévalence des environnements hybrides connectés ne fait qu'aggraver ce défi. Dans l'environnement hybride cloud , les attaquants utilisent de nouvelles techniques telles que l'utilisation abusive de comptes, la compromission d'informations d'identification et les vulnérabilités pour exploiter les relations de confiance et se déplacer latéralement entre les surfaces connectées. Vectra Cloud Detection and Response (CDR) for AWS s'appuie sur la technologie brevetée Attack Signal IntelligenceTM qui adopte une approche centrée sur l'entité pour détecter les mouvements latéraux dans les déploiements hybrides cloud , mettant en évidence les menaces les plus urgentes à traiter par les équipes SOC.

Principaux défis liés à la détection des mouvements latéraux dans les cloud

Lacunes dans la visibilité du système hybride cloud : Les équipes SOC doivent avoir une visibilité sur l'ensemble de leur déploiement hybride cloud englobant les réseaux des centres de données, l'identité, le SaaS et les nuages publics tels qu'AWS ; elles ne doivent pas dépendre uniquement d'une source unique telle que les pare-feu pour détecter les menaces dans le trafic entrant et sortant.

Profondeur technique dans la détection des menaces : Les équipes SOC ont besoin de capacités d'analyse comportementale avancées sur diverses surfaces connectées sans investir dans des outils disjoints provenant de plusieurs fournisseurs qui ne s'intègrent pas ou qui laissent simplement des lacunes que les attaquants sophistiqués peuvent exploiter pour se déplacer latéralement d'une surface à l'autre.

Des défis opérationnels accrus : L'augmentation du nombre d'outils s'accompagne d'une augmentation des frais généraux en termes d'outils, de temps et de main d'œuvre pour les SecOps. Les équipes SOC doivent protéger leurs déploiements hybrides cloud sans dépenser trop de ressources et de temps pour corréler manuellement des données provenant de diverses sources. Cela a un impact négatif sur les indicateurs clés du SOC tels que le temps moyen d'investigation (MTTI) et le temps moyen de réponse (MTTR).

Principaux avantages de l'IA pour détecter les mouvements latéraux dans les cloud

Pourquoi choisir une solution moderne de détection, d'investigation et de réponse (CDR) spécialement conçue pour cloud ?

• Visibilité accrue dans les environnements hybrides : Une seule vitre avec des entités priorisées à travers les surfaces connectées, y compris les réseaux du centre de données, SaaS, l'identité et les nuages publics tels que AWS.
• Détections pilotées par l'IA : Un portefeuille de détections avancées qui mettent en évidence les comportements sophistiqués des attaquants sur l'ensemble de la chaîne d'exécution cloud et offrent une protection approfondie contre la compromission des informations d'identification, l'abus de service, l'escalade des privilèges et l'exfiltration des données.
• Prévention des mouvements latéraux : La surveillance centralisée des comportements des attaquants qui tentent de se déplacer latéralement sur les surfaces connectées, tout en fournissant une piste d'audit dans une interface utilisateur centralisée. Cela réduit considérablement le fardeau des équipes SOC qui doivent manuellement corréler des données provenant de sources traditionnellement disjointes.

Critères clés à prendre en compte pour sélectionner la bonne solution d'IA

Relever les défis du site cloud ne doit pas nécessairement être trop compliqué ou créer plus de travail pour les équipes SOC. Considérez les points suivants :

1. ‍Couverturede l'empreinte hybride cloud : Les attaques hybrides modernes couvrent de multiples surfaces connectées englobant les réseaux publics cloud, les réseaux des centres de données, l'identité et le SaaS. Il est nécessaire de disposer d'une solution de détection, d'investigation et de réponse aux menaces qui couvre les menaces provenant de toutes ces surfaces
2. Se concentrer sur la clarté du signal : Tirez parti d'une technologie d'IA qui non seulement identifie les comportements sophistiqués des attaquants en temps réel, mais qui hiérarchise également les résultats afin que votre équipe SOC puisse discerner l'important de l'urgent.
3. Réduire les frais généraux du SOC : L'opérationnalisation de plusieurs outils et la formation du personnel du SOC peuvent entraîner des coûts de sécurité élevés pour une entreprise. La solution idéale devrait permettre de faciliter les investigations et de rationaliser les flux de travail pour les menaces à travers les surfaces d'attaque.

Les clés de la réussite

• Une large couverture pour les déploiements hybrides : Une solution CDR, telle que Vectra CDR pour AWS, s'intègre de manière transparente à la plateforme Vectra AI - elle permet d'identifier et de hiérarchiser les menaces non seulement à partir du site cloud, mais également à partir des surfaces connectées, dans un seul et même plan de vision.
• Clarté des signaux en temps réel alimentée par Attack Signal Intelligence™: Tirant parti de Vectra AI's industry leading Attack Signal Intelligence pour alimenter des modèles de détection d'IA conçus à cet effet et identifier les menaces sophistiquées en temps réel. Vectra CDR for AWS utilise l'IA pour une véritable attribution à la source, de sorte que les analystes SOC n'ont pas à corréler les actions sur des identifiants temporaires pour identifier l'acteur d'origine. Cela permet d'économiser des heures d'investigation.
• Des workflows puissants pour faciliter les investigations et la remédiation: Vectra CDR for AWS comprend de puissantes fonctions d'investigation des menaces, notamment des informations clés agrégées sur les entités prioritaires, ainsi que la possibilité d'interroger les logs bruts, ce qui permet aux analystes d'investir davantage de cycles dans la recherche active de menaces. La solution permet également d'appliquer des mesures correctives, soit par une mise en œuvre automatisée, soit par l'intégration à des flux de travail existants au sein de l'entreprise.

Aujourd'hui, les déploiements sont hybrides et se composent de surfaces connectées telles que les centres de données sur site, les fournisseurs d'identité, les offres SaaS et les nuages publics. Les attaquants sophistiqués cherchent à compromettre une surface exposée et se déplacent ensuite latéralement vers les surfaces connectées pour atteindre leurs objectifs. Ces attaques se manifestent sous diverses formes, telles que le vol d'informations d'identification, la compromission d'hôtes dans des réseaux sur site ou des menaces basées sur l'identité qui finissent par s'orienter vers des ressources clés dans des environnements publics cloud . Les équipes SOC modernes ont pour mission d'éliminer les violations de données, les interruptions de services et les atteintes à la réputation d'une organisation dues à des attaques ciblant ces déploiements hybrides cloud .

Une fois sur le site cloud, l'identification de ces comportements peut s'avérer difficile et plus un attaquant peut se déplacer sans être détecté dans l'empreinte hybride connectée, plus les dommages potentiels sont importants. Avec Vectra CDR pour AWS, les équipes SOC disposent d'une large visibilité sur les menaces à travers les surfaces connectées dans un seul panneau de verre, avec un accent particulier sur l'identification des techniques avancées de mouvement latéral dans les environnements cloud . Vectra AI surveille les comportements à travers les utilisateurs et les services dans cloud en tirant parti de son Attack Signal Intelligence™ pour hiérarchiser les menaces et atténuer le risque d'impact sur la zone de couverture d'une organisation.