Durch die Nutzung von Vectra's Security AI-driven Attack Signal IntelligenceTM (ASI) von Vectra für cloud können SecOps-Teams hochentwickelte Bedrohungen in ihren SaaS- und cloud -Umgebungen kontinuierlich in Echtzeit überwachen und aufdecken. Vectra ASI liefert innerhalb von Minuten nach Angreiferaktionen Warnungen und liefert den notwendigen Kontext, um die Absicht zu charakterisieren und die Gesamtauswirkungen auf das Geschäft zu verstehen, was schnellere und genauere threat hunting, Untersuchungen und Reaktionen ermöglicht.
Diejenigen, die mit Vectra NDR (Network Detection and Response) vertraut sind, kennen die branchenführenden Funktionen zur Erkennung von Bedrohungen und zur Abwehr von Angreifern in Netzwerkumgebungen. Mit der Einführung der Vectra ASI-Engine für cloud werden die Echtzeit-Erkennungsfunktionen von Vectra NDR nun auf Vectra CDR (cloud detection and response) ausgeweitet, um bösartiges Verhalten nahezu in Echtzeit zu erkennen. Dies ermöglicht SecOps-Teams einen unübertroffenen Einblick in die Aktionen, die in ihrer cloud Umgebung stattfinden. Aber warum haben wir eine neue Engine zur Erkennung von Bedrohungen für die cloud entwickelt und warum brauchen Sie sowohl eine NDR- als auch eine CDR-Sicherheitslösung?
Die Angriffe auf cloud unterscheiden sich von denen im Rechenzentrum.
Auf cloud besteht eine verschlungene Beziehung zwischen Infrastruktur, Daten und Konnektivität, wobei die Identität das Bindeglied darstellt. In Verbindung mit der Geschwindigkeit, mit der sich moderne CI/CD-Pipelines bewegen, ergibt sich eine sehr breite Angriffsfläche, auf der es unmöglich ist, Angriffe zu verhindern. Während die Ziele eines Angreifers in cloud und traditionellen On-Premise-Umgebungen die gleichen sind, unterscheiden sich die Angriffe auf cloud in folgenden Punkten:
- Fokus auf Anmeldeinformationen: Im Mittelpunkt der meisten cloud Exploits stehen kompromittierte Anmeldedaten. Ob durch phishing -Kampagnen oder versehentlich in Code-Repositories übertragene Anmeldedaten - Angreifer finden immer neue Wege, um vertrauliche Anmeldedaten zu stehlen und auf Konten zuzugreifen.
- Kurze Kill-Chain: Dies ist eine Folge der schieren Anzahl von Diensten, die von cloud Anbietern angeboten werden. Verschiedene Varianten von Rechen- und Speicherdiensten, Data Lakes, serverlosen Diensten, containerisierten Workloads und Anwendungen in zahlreichen Regionen bedeuten, dass die Lücke zwischen dem Eindringen in hochwertige Vermögenswerte erheblich kleiner ist.
- Schnelligkeit des Fortschritts: Anders als in On-Premise-Umgebungen schreiten Angriffe auf cloud schneller voran. Dies ist in erster Linie auf den flüchtigen Charakter der temporären Anmeldeinformationen auf cloud zurückzuführen. Wenn ein Angreifer einen Weg hinein findet, muss er schnell handeln, um einen dauerhaften Zugang zu gewährleisten.
Verteidiger müssen anders denken
Zusätzlich zu den grundlegenden Unterschieden in der Art und Weise, wie sich Angriffe entfalten, sind auch die Merkmale der Artefakte, die den Sicherheitsteams zur Verfügung stehen, um Angriffe wirksam zu stoppen, sehr unterschiedlich. Im Gegensatz zu Rechenzentrumsumgebungen, die sich auf Netzwerkpaketdaten stützen, nutzen die Anbieter von cloud die Protokollierung zur Nachvollziehbarkeit. Die Analyse dieser Protokolle zur Erkennung von Bedrohungen in Umgebungen mit mehrerencloud ist aus den folgenden Gründen eine Herausforderung:
- Mehrere Log-Quellen: Es gibt zahlreiche Protokollquellen in cloud , die jeweils unterschiedliche Informationen enthalten, die von Interesse sind. Beispiele sind Protokolle der Steuerungsebene, Protokolle der Datenebene, Protokolle der Arbeitslastprüfung und Netzwerkprotokolle. Vom Sicherheitsstandpunkt aus gesehen müssen sie miteinander verwoben werden, um das Verhalten von Angreifern effektiv zu erkennen.
- Inkonsistente Protokollschemata: Jeder Anbieter verwendet bei der Veröffentlichung von Protokollen sein eigenes Format. Darüber hinaus gibt es Fälle, in denen ein und derselbe Anbieter ( cloud ) ein Protokollschema allein auf der Grundlage des Zielortes der Protokolle ändert! Dieser inkonsistente Prozess kann die Analyse von Protokollen für Sicherheitsteams überfordern.
- Unvorhersehbare Lieferung: Unterschiedliche Protokolle über verschiedene Dienste und mehrere cloud Umgebungen hinweg bedeuten, dass es ein Element der Ungewissheit bei der Bereitstellung gibt. Zusammenhängende Aktionen können in verschiedenen Protokolldateien auftauchen, die durch willkürliche Zeitintervalle getrennt sind. Diese Verzögerung führt zu Unstimmigkeiten und erschwert die Verfolgung von Auftraggebern, die gegen Ressourcen vorgehen.
Dadurch unterscheiden sich die Auditing-Aktionen auf cloud grundlegend von denen in Rechenzentrumsumgebungen, wo Standardprotokolle eingehalten und Pakete in Echtzeit empfangen werden.
Die Lösung - Vectra Cloud Detection and Response mit Attack Signal Intelligence
Mit der neuen ASI-Engine für die cloud hat Vectra seine Technologieplattform neu konzipiert, um anspruchsvolle Bedrohungen in sehr unterschiedlichen Daten zu erkennen und sie mit der gleichen Geschwindigkeit und Genauigkeit wie Vectra NDR anzuzeigen. Darüber hinaus automatisiert die integrierte KI-gesteuerte Priorisierung bei jeder Erkennung die Priorisierung von Warnmeldungen, damit Sicherheitsteams wissen, welche Bedrohungen am dringendsten sind. Die Bedrohungen werden automatisch analysiert, bewertet und eingestuft, so dass die Sicherheitsteams wissen, wo ihre Bemühungen am dringendsten sind. Die Abbildung unten zeigt, wie Attack Signal Intelligence einen Angriff auf die AWS-Umgebung eines Fertigungsunternehmens priorisieren und stoppen konnte.
Um Angriffe in cloud Umgebungen zu priorisieren und zu stoppen, hat Vectra CDR die folgenden Eigenschaften:
- Schnellere Erkennungen: Vectra CDR ist mit Tools für die Echtzeitanalyse von Protokollen im Unternehmensmaßstab ausgestattet. In Verbindung mit Erweiterungen wie der KI-gesteuerten Attributionsmethodik von Vectrakann Vectra CDR Protokolle untersuchen und Millionen von Ereignissen von Hunderten von Benutzern und Diensten korrelieren. Erkennungen mit hoher Zuverlässigkeit werden jetzt nur wenige Minuten, nachdem ein bösartiges Verhalten beobachtet wurde, ausgelöst - was den Unterschied zwischen dem Stoppen eines laufenden Angriffs und der Analyse nach dem Tod ausmachen kann.
- Reichhaltiger Kontext: Die Abfrage von Protokollen nach einfachen Sequenzen ergibt selbst bei kleinen Einsätzen Tausende von Warnmeldungen, die die Ressourcen eines SOC-Teams überfordern. Hier kann der Umgebungskontext einen entscheidenden Unterschied ausmachen. Mit der neuen ASI-Engine kann Vectra CDR verfolgen, wie einzelne Benutzer mit verschiedenen Rollen und Diensten in einer Umgebung interagieren. Diese Persistenz des Zustands ermöglicht Anwendungsfälle wie umfeldspezifische Privilegienanomalien.
- Abdeckung für fortgeschrittene Bedrohungsvektoren: Vectra kann ausgefeiltere Angreifermethoden auf cloud erkennen. Eine dieser Angreifertechniken besteht darin, bösartige Aktivitäten über mehrere zeitlich getrennte Sitzungen hinweg durchzuführen. Dadurch werden sie von herkömmlichen Erkennungsmechanismen abgeschirmt. Durch die Verknüpfung von Erkenntnissen über Zeit, Sitzungen und Entitäten hinweg zeichnet Vectra CDR ein genaues Bild selbst komplexer Angriffsverläufe.
Vectra CDR wird als SaaS geliefert und bietet zusätzliche Vorteile in Bezug auf Skalierbarkeit, Leistung und Zuverlässigkeit, die eine Schlüsselrolle dabei spielen, SOC-Teams dabei zu helfen, ihre MTTD/MTTR-Ziele zu erreichen, wenn sie Multicloud- und Hybrid-cloud Footprints übernehmen.
Was kommt als Nächstes?
Erleben Sie die Leistungsfähigkeit von Vectra CDR powered by Attack Signal Intelligence aus erster Hand mit unserer kostenlosen Testversion.