Passer d'un PCAP traditionnel à une détection des menaces basée sur l'IA

Vous ne pouvez pas compter sur le PCAP d'hier pour faire face aux menaces d'aujourd'hui.

Selon The State of Threat Detection 2023, 97 % des analystes de sécurité craignent de manquer un événement de sécurité pertinent1. Alors que de nouvelles menaces évasives sont mises en œuvre quotidiennement, la détection et la réponse aux menaces sont une priorité absolue pour les équipes de cybersécurité qui sécurisent les environnements hybrides cloud . En fait, près de deux tiers des analystes affirment que la taille de leur surface d'attaque a augmenté au cours des trois dernières années.

Les entreprises qui utilisent des solutions de capture de paquets (PCAP) s'appuient principalement sur une solution de surveillance des permetteurs de réseau qui prend plus de place que nécessaire et ne peut pas traiter les attaques hybrides qui se produisent en temps réel et qui couvrent le centre de données, l'identité, le SaaS et l'infrastructure publique cloud .

Dans un monde hybride cloud en pleine évolution, comprenant à la fois une infrastructure sur site et une infrastructure cloud , le PCAP n'est pas suffisant. Les points forts de PCAP reposent principalement sur la surveillance du réseau pour les environnements sur site, ce qui laisse d'énormes lacunes et vulnérabilités à exploiter par les acteurs malveillants.

Défis du PCAP

1. L'inefficacité opérationnelle

La maintenance et la gestion constantes des énormes volumes de stockage qui ont un impact sur les performances et ralentissent les équipes SOC. En outre, les solutions PCAP n'utilisent qu'un sous-ensemble très limité de métadonnées.

2. Voir à travers le cryptage

97 % du trafic internet est crypté. Pour obtenir une valeur réelle du PCAP, il faut un décryptage complet du trafic nord et sud, ce qui nécessite des ressources et du temps.

3. Détection moderne des menaces

Absence de détection pilotée par l'IA - les modèles de détection des menaces sont principalement basés sur des attaques connues et ne peuvent pas détecter avec précision les attaques modernes en direct. Le PCAP est principalement mis en œuvre en tant que système de surveillance du réseau et de réponse - il ne fonctionne pas en temps réel.

4. Défis de l'enquête

Les solutions PCAP ne permettent pas d'enquêter sur les menaces hybrides cloud actuelles et sont basées sur des modèles réactifs. Elles ne permettent pas de mener des enquêtes instantanées ou avancées sur les attaques hybrides actuelles cloud .

5. Contraintes liées aux coûts

Le stockage de pétaoctets de données PCAP est extrêmement coûteux et ne constitue souvent pas une bonne utilisation des ressources. Les solutions PCAP permettent d'analyser malware , mais pas plus efficacement que d'autres solutions de cybersécurité telles que Endpoint Detection and Response (EDR), entre autres.

6. Restrictions à l'intégration

Les systèmes PCAP ne s'intègrent pas bien à d'autres solutions telles que les SIEM, ce qui oblige les équipes SOC à passer constamment d'une solution à l'autre sans communiquer, contribuant ainsi à la prolifération des outils et à l'épuisement des analystes.

7. Préoccupations en matière de protection de la vie privée

En collectant toutes les données sensibles d'une organisation, les solutions PCAP peuvent contribuer à des violations de la vie privée, car elles doivent appliquer des méthodes de cryptage sur les données afin de fournir des éléments d'analyse au SOC.

Critères clés à prendre en compte

Penser comme un attaquant hybride

Les équipes SOC doivent se mettre à la place des attaquants et évaluer où les attaquants hybrides ont ciblé ou cibleraient et s'infiltreraient. Aujourd'hui, les équipes SOC s'appuient sur diverses technologies de détection et de réponse telles que les solutions IDS et PCAP qui se concentrent principalement sur le périmètre du réseau - ce qui fait de la détection des menaces un défi complexe. Il y a trop de solutions cloisonnées qui envoient trop de signaux de détection de menaces aux analystes SOC. Les équipes de sécurité doivent cesser de se concentrer sur des surfaces d'attaque spécifiques et commencer à penser comme des attaquants qui voient une surface d'attaque géante. Plus votre signal d'attaque est cloisonné et séparé, plus vous augmentez le temps de latence lors de la détection d'attaques hybrides qui cherchent à exécuter malware ou une violation de données réussie.

Se déplacer à la vitesse d'un attaquant hybride

Les attaquants hybrides qui veulent contourner vos solutions PCAP existantes se concentrent sur les métadonnées que vous n'êtes peut-être pas en train d'analyser dans ce cas précis. Les attaquants cherchent également à se déplacer au nord, au sud, à l'est et à l'ouest de votre environnement dans le cadre de tentatives de déplacement latéral. Lorsqu'un attaquant a pénétré votre environnement, la corrélation et le contexte de tous ses mouvements sont essentiels pour évaluer la progression de l'attaque au sein de votre environnement hybride cloud. L'analyse de la grande quantité de métadonnées, puis le recours au chiffrement avant de pouvoir réellement enquêter sur un incident, ralentissent considérablement le processus d'enquête et de réponse. Pour avancer à la vitesse de l'attaquant, il faut éliminer le maximum de latence dès le début du processus de détection, puis augmenter la capacité de triage, de hiérarchisation, d'investigation et de réponse. Le temps de latence de la détection est ce qui donne aux attaquants l'avantage de se déplacer rapidement dans la chaîne d'exécution de l'attaque.

Les clés de la réussite

Pour faire face à l'évolution des attaques hybrides, les équipes SOC peuvent se concentrer sur la hiérarchisation des attaques en temps réel en se concentrant sur trois domaines clés :

Couverture de la surface d'attaque

Télémétrie d'attaque intégrée et consolidée sur l'ensemble de votre surface d'attaque hybride qui offre une visibilité complète sur les réseaux d'identité, publics cloud, SaaS et de centre de données. En outre, la détection unifiée basée sur les signatures, la détection basée sur le comportement pilotée par l'IA et l'intelligence des menaces sur l'ensemble de la surface d'attaque hybride cloud assurent une couverture complète de toutes les méthodes d'attaque hybride.

Clarté du signal d'attaque

Signal d'attaque intégré, en temps réel, piloté par l'IA. Exploitez l'IA pour automatiser la détection, le triage et la hiérarchisation des menaces dans votre environnement hybride cloud en temps réel. Délaissez la détection des menaces centrée sur les événements au profit d'un signal d'attaque centré sur les entités. Le signal d'attaque centré sur l'entité fournit des alertes de haute fidélité sur les hôtes et les comptes attaqués à tout moment. Cela permet de réduire considérablement l'épuisement des analystes et d'améliorer la productivité globale. Le passage à une approche centrée sur l'entité réduit le temps de latence de la hiérarchisation des attaques hybrides.

Contrôle intégré

Dotez les analystes SOC de capacités d'investigation et de réponse intégrées, automatisées et cogérées qui évoluent à la vitesse et à l'échelle des attaquants hybrides. Éliminez autant de latence d'investigation et de réponse que possible du flux de travail de vos analystes en mettant tout le contexte et les contrôles à leur portée, 24 heures sur 24, 7 jours sur 7. En outre, tirez parti des services cogérés pour ajouter des renforts à votre équipe SOC lorsque les ressources en talents sont rares et que les compétences font défaut. En intégrant et en consolidant l'ensemble du contexte des attaques hybrides, des contrôles et des ressources cogérées, vous pouvez réduire les délais d'investigation et de réponse aux attaques hybrides.

Lorsqu'il s'agit de remplacer votre PCAP par un signal d'attaque hybride intégré et de réduire la latence de détection, d'investigation et de réponse aux attaques hybrides, Vectra AI peut vous aider. La plateforme Vectra AI fournit le signal unifié qui alimente la détection et la réponse étendues (XDR) en fournissant une couverture de la surface d'attaque à travers les réseaux publics cloud, d'identité, SaaS et de centre de données. L'Attack Signal IntelligenceTM brevetée donne la priorité aux entités attaquées, avec une réponse intégrée automatisée et cogérée qui empêche les attaques de se transformer en brèches.