Umstellung von PCAP auf KI-gesteuerte Bedrohungserkennung

Für die Bedrohungen von heute kann man sich nicht auf das PCAP von gestern verlassen.

Laut der Studie The State of Threat Detection 2023 befürchten 97 % der Sicherheitsanalysten, dass sie ein relevantes Sicherheitsereignis verpassen1. Da täglich neue, ausweichende Bedrohungen auftreten, haben die Erkennung von und die Reaktion auf Bedrohungen für Cybersecurity-Teams, die hybride cloud Umgebungen sichern, höchste Priorität. Tatsächlich sagen fast zwei Drittel der Analysten, dass die Größe ihrer Angriffsfläche in den letzten drei Jahren zugenommen hat.

Unternehmen, die Packet Capture (PCAP)-Lösungen einsetzen, verlassen sich in erster Linie auf eine Netzwerk-Permitter-Überwachungslösung, die mehr Platz als nötig beansprucht und nicht in der Lage ist, hybride Angriffe in Echtzeit zu bewältigen, die das Rechenzentrum, die Identität, SaaS und die öffentliche cloud Infrastruktur umfassen.

In einer sich entwickelnden hybriden cloud Welt, die sowohl lokale als auch cloud Infrastrukturen umfasst, reicht PCAP nicht mehr aus. Die Stärken von PCAP beruhen in erster Linie auf der Netzwerküberwachung für lokale Umgebungen, was große Lücken und Schwachstellen für böswillige Akteure hinterlässt, die diese ausnutzen können.

PCAP-Herausforderungen

1. Operative Ineffizienz

Ständige Pflege und Verwaltung der riesigen Speichermengen, die die Leistung beeinträchtigen und die SOC-Teams verlangsamen. Außerdem nutzen PCAP-Lösungen nur eine sehr begrenzte Teilmenge von Metadaten.

2. Verschlüsselung durchschauen

97 % des Internetverkehrs sind verschlüsselt. Um einen echten Nutzen aus PCAP zu ziehen, muss der Nord- und Südverkehr vollständig entschlüsselt werden, was verschiedene Ressourcen und Zeit erfordert.

3. Moderne Bedrohungserkennung

Fehlende KI-gesteuerte Erkennung - die Modelle zur Erkennung von Bedrohungen basieren hauptsächlich auf bekannten Angriffen und können moderne Live-Off-the-Land-Angriffe nicht genau erkennen. PCAP ist hauptsächlich als Netzwerküberwachungs- und Reaktionssystem implementiert und funktioniert nicht in Echtzeit.

4. Herausforderungen bei der Untersuchung

PCAP-Lösungen ermöglichen keine Untersuchung der heutigen hybriden Bedrohungen cloud und beruhen auf reaktiven Modellen. Sie ermöglichen keine sofortige oder erweiterte Untersuchung der heutigen hybriden cloud Angriffe.

5. Kostenzwänge

Die Speicherung von Petabytes an PCAP-Daten ist extrem teuer und oft keine gute Ressourcennutzung. PCAP-Lösungen bieten malware Analysen, aber nicht effektiver als andere Cybersicherheitslösungen wie Endpoint Detection and Response (EDR) und andere.

6. Einschränkungen der Integration

PCAP-Systeme lassen sich nicht gut in andere Lösungen wie SIEMs integrieren, so dass SOC-Teams gezwungen sind, ständig zwischen verschiedenen Lösungen hin- und herzuschalten, die nicht miteinander kommunizieren, was zu Tool-Wildwuchs und Burnout bei Analysten führt.

7. Bedenken hinsichtlich der Privatsphäre

Durch die Erfassung aller sensiblen Daten eines Unternehmens können PCAP-Lösungen zur Verletzung des Datenschutzes beitragen, da die Daten verschlüsselt werden müssen, um dem SOC forensische Daten zur Verfügung zu stellen.

Zu berücksichtigende Schlüsselkriterien

Wie ein hybrider Angreifer denken

SOC-Teams müssen ihre Angreifer-Denkmützen aufsetzen und einschätzen, wo hybride Angreifer bereits eingedrungen sind oder eindringen würden. Heute verlassen sich SOC-Teams auf verschiedene Erkennungs- und Reaktionstechnologien wie IDS- und PCAP-Lösungen, die sich in erster Linie auf den Netzwerkrand konzentrieren - was die Erkennung von Bedrohungen zu einer komplexen Herausforderung macht. Es gibt zu viele isolierte Lösungen, die zu viele Signale zur Erkennung von Bedrohungen an SOC-Analysten senden. Sicherheitsteams müssen ihren Fokus von spezifischen Angriffsflächen weg verlagern und anfangen, wie Angreifer zu denken, die eine riesige Angriffsfläche sehen. Je isolierter und separater die Angriffssignale sind, desto mehr erhöht sich die Latenzzeit bei der Erkennung hybrider Angriffe, die malware oder einen erfolgreichen Dateneinbruch zum Ziel haben.

Bewegung mit hybrider Angreifergeschwindigkeit

Hybride Angreifer, die Ihre bestehenden PCAP-Lösungen umgehen wollen, konzentrieren sich auf die Metadaten, die Sie in diesem speziellen Fall möglicherweise nicht analysieren. Angreifer versuchen auch, sich in Ihrer Umgebung nach Norden, Süden, Osten und Westen zu bewegen. Wenn ein Angreifer in Ihre Umgebung eingedrungen ist, sind die Korrelation und der Kontext all seiner Bewegungen entscheidend, um den Angriffsverlauf in Ihrem Hybridsystem zu bewerten cloud. Die Analyse der riesigen Menge an Metadaten und die anschließende Verschlüsselung, bevor ein Vorfall wirklich untersucht werden kann, verlangsamen Ihren Untersuchungs- und Reaktionsprozess enorm. Um mit der Geschwindigkeit eines Angreifers Schritt zu halten, muss die Latenzzeit in der Erkennungsphase so weit wie möglich reduziert werden, um dann mit der Triage, der Priorisierung, der Untersuchung und der Reaktion darauf aufzustocken. Die Erkennungslatenz verschafft den Angreifern den Vorteil, dass sie die Angriffskette schnell durchlaufen können.

Schlüssel zum Erfolg

Um mit den sich ständig weiterentwickelnden hybriden Angriffen Schritt zu halten, können sich SOC-Teams auf die Priorisierung von Angriffen in Echtzeit konzentrieren, indem sie sich auf drei Schlüsselbereiche konzentrieren:

Abdeckung der Angriffsfläche

Integrierte und konsolidierte Angriffstelemetrie über Ihre gesamte hybride Angriffsoberfläche, die umfassende Transparenz über Identitäts-, öffentliche cloud, SaaS- und Rechenzentrumsnetzwerke bietet. Zusätzlich zu einheitlicher signaturbasierter Erkennung, KI-gesteuerter verhaltensbasierter Erkennung und Threat Intelligence über die gesamte hybride cloud für eine vollständige Abdeckung aller hybriden Angreifermethoden.

Klarheit des Angriffssignals

Integriertes, KI-gesteuertes Angriffssignal in Echtzeit. Nutzen Sie KI, um die Erkennung, Sichtung und Priorisierung von Bedrohungen in Ihrer hybriden cloud Umgebung in Echtzeit zu automatisieren. Verlagerung des Schwerpunkts von der ereignisorientierten Bedrohungserkennung auf ein entitätsorientiertes Angriffssignal. Das entitätszentrierte Angriffssignal liefert zu jedem Zeitpunkt zuverlässige Warnungen über angegriffene Hosts und Konten. Auf diese Weise wird das Burnout von Analysten drastisch reduziert und die Gesamtproduktivität verbessert. Die Umstellung auf einen entitätszentrierten Ansatz verringert die Latenzzeit bei der Priorisierung hybrider Angriffe.

Integrierte Kontrolle

Statten Sie SOC-Analysten mit integrierten, automatisierten und gemeinsam verwalteten Untersuchungs- und Reaktionsfunktionen aus, die mit der Geschwindigkeit und dem Umfang hybrider Angreifer Schritt halten. Verringern Sie die Latenzzeit bei der Untersuchung und Reaktion im Arbeitsablauf Ihrer Analysten, indem Sie ihnen den gesamten Kontext und die Kontrollen rund um die Uhr zur Verfügung stellen. Nutzen Sie außerdem Co-Managed Services, um Ihr SOC-Team zu verstärken, wenn die personellen Ressourcen knapp sind und es an Fähigkeiten mangelt. Durch die Integration und Konsolidierung des gesamten Kontexts für hybride Angriffe, der Kontrollen und der gemeinsam verwalteten Ressourcen können Sie die Latenzzeit bei der Untersuchung hybrider Angriffe und der Reaktion darauf verringern.

Wenn es darum geht, Ihr PCAP durch ein integriertes Signal für hybride Angriffe zu ersetzen und die Latenzzeit für die Erkennung, Untersuchung und Reaktion auf hybride Angriffe zu verkürzen, kann Vectra AI helfen. Die Vectra AI Plattform liefert das integrierte Signal, das eine erweiterte Erkennung und Reaktion (XDR) ermöglicht, indem es die Angriffsoberfläche in öffentlichen cloud, Identitäts-, SaaS- und Rechenzentrumsnetzwerken abdeckt. Die patentierte Attack Signal IntelligenceTM priorisiert die angegriffenen Unternehmen und sorgt für eine integrierte, automatisierte und gemeinsam verwaltete Reaktion, die verhindert, dass Angriffe zu Sicherheitsverletzungen werden.