Einsatz von KI zur Erkennung und Beendigung von Seitenbewegungen in der Cloud

Lateral Movement ist eine Taktik, die von Angreifern verwendet wird, um ihren Zugriff zu erweitern, indem sie sich durch eine Umgebung bewegen, um ihre Ziele zu erreichen (z. B. Exfiltration sensibler Daten, Übernahme von Arbeitslasten). Jahrelang wurden laterale Bewegungen genutzt, um lokale Netzwerke auf der Grundlage von Netzwerkprotokollen und -diensten wie Active Directory, SMB und NTLM anzugreifen, aber da immer mehr Unternehmen auf cloud umsteigen, sind die Angreifer gefolgt.

Nach der Kompromittierung verfolgen die Angreifer zahlreiche Wege für laterale Bewegungen im cloud. Beispielsweise stehlen sie Anmeldeinformationen von einer kompromittierten virtuellen Maschine, um zu anderen Diensten überzuwechseln, oder sie nutzen erhöhte Berechtigungen, um Ressourcen in ungenutzten und unüberwachten geografischen Regionen einzusetzen. Es gibt viele Beispiele für diese Methoden, die sich in realen Angriffen manifestieren.

Die Verbreitung von vernetzten, hybriden Umgebungen verschärft diese Herausforderung noch. Angreifer in der hybriden cloud nutzen neuartige Techniken wie Kontomissbrauch, kompromittierte Anmeldedaten und Schwachstellen, um vertrauenswürdige Beziehungen auszunutzen - und sich seitlich zwischen verbundenen Oberflächen zu bewegen. Vectra Cloud Detection and Response (CDR) für AWS basiert auf der patentierten Attack Signal IntelligenceTM , die einen auf Entitäten fokussierten Ansatz zur Erkennung von Querbewegungen in hybriden cloud Bereitstellungen verfolgt und die dringendsten Bedrohungen für SOC-Teams aufzeigt.

Die größten Herausforderungen bei der Erkennung lateraler Bewegungen in der cloud

Lücken in der hybriden cloud Sichtbarkeit: SOC-Teams müssen Einblick in ihre gesamte hybride cloud Bereitstellung haben, die Rechenzentrumsnetzwerke, Identität, SaaS und öffentliche Clouds wie AWS umfasst; sie dürfen sich nicht nur auf eine einzelne Quelle wie Firewalls verlassen, um Bedrohungen im ein- und ausgehenden Datenverkehr zu erkennen.

Technische Tiefe bei der Erkennung von Bedrohungen: SOC-Teams benötigen fortschrittliche Verhaltensanalysefunktionen für verschiedene vernetzte Oberflächen, ohne in unzusammenhängende Tools verschiedener Anbieter zu investieren, die entweder nicht integriert sind oder einfach Lücken aufweisen, die raffinierte Angreifer ausnutzen können, um sich seitlich zwischen Oberflächen zu bewegen.

Erhöhte betriebliche Herausforderungen: Mit mehr Tools steigt auch der Aufwand an Tools, Zeit und Arbeitskräften für SecOps. SOC-Teams müssen ihre hybriden cloud Bereitstellungen schützen, ohne zu viele Ressourcen und Zeit für die manuelle Zusammenführung von Daten aus verschiedenen Quellen aufzuwenden. Dies wirkt sich nachteilig auf wichtige SOC-Kennzahlen wie die mittlere Zeit bis zur Untersuchung (MTTI) und die mittlere Zeit bis zur Reaktion (MTTR) aus.

Die wichtigsten Vorteile von AI zur Erkennung von Querbewegungen in der cloud

Warum sollten Sie sich für eine moderne, speziell entwickelte cloud Lösung zur Erkennung, Untersuchung und Reaktion (CDR) entscheiden?

• Verbesserte Sichtbarkeit in hybriden Umgebungen: Ein einziges Fenster mit priorisierten Einheiten aus allen verbundenen Oberflächen, einschließlich Rechenzentrumsnetzwerken, SaaS, Identität und öffentlichen Clouds wie AWS.
• KI-gesteuerte Erkennungen: Ein Portfolio fortschrittlicher Erkennungsfunktionen, die ausgeklügelte Verhaltensweisen von Angreifern über die gesamte cloud Kill-Chain hinweg aufdecken und tiefgreifenden Schutz vor kompromittierten Anmeldeinformationen, Dienstmissbrauch, Privilegieneskalation und Datenexfiltration bieten.
• Verhindern von Seitwärtsbewegungen: Bietet eine zentrale Überwachung des Verhaltens von Angreifern, die versuchen, sich über vernetzte Oberflächen hinweg zu bewegen, und liefert gleichzeitig einen Prüfpfad in einer zentralen Benutzeroberfläche. Dadurch wird der Aufwand für SOC-Teams, Daten aus traditionell unzusammenhängenden Quellen manuell zusammenzuführen, erheblich reduziert.

Wichtige Kriterien für die Auswahl der richtigen AI-Lösung

Die Bewältigung der Herausforderungen von cloud muss nicht übermäßig kompliziert sein oder mehr Arbeit für SOC-Teams bedeuten. Bedenken Sie Folgendes:

1. ‍Abdeckungfür den hybriden cloud Fußabdruck: Moderne hybride Angriffe erstrecken sich über mehrere miteinander verbundene Oberflächen, darunter öffentliche cloud, Rechenzentrumsnetzwerke, Identität und SaaS. Es besteht ein Bedarf an einer Lösung zur Erkennung, Untersuchung und Reaktion auf Bedrohungen, die Bedrohungen aus all diesen Bereichen abdeckt.
2. Konzentrieren Sie sich auf klare Signale: Nutzen Sie KI-Technologie, die nicht nur ausgeklügeltes Angreiferverhalten in Echtzeit identifiziert, sondern auch die Ergebnisse nach Prioritäten ordnet, damit Ihr SOC-Team das Wichtige vom Dringenden unterscheiden kann.
3. Verringerung des SOC-Aufwands: Der Einsatz mehrerer Tools und die Schulung von SOC-Personal kann zu hohen Sicherheitskosten für ein Unternehmen führen. Die ideale Lösung sollte daher einfache Untersuchungen ermöglichen und die Arbeitsabläufe für Bedrohungen über alle Angriffsflächen hinweg optimieren.

Schlüssel zum Erfolg

• Breite Abdeckung in hybriden Bereitstellungen: Eine CDR-Lösung wie Vectra CDR für AWS fügt sich nahtlos in die Vectra AI Plattform ein und zeigt und priorisiert Bedrohungen nicht nur von cloud, sondern auch von verbundenen Oberflächen in einer einzigen Glasebene an.
• Signalklarheit in Echtzeit durch Attack Signal Intelligence™: Nutzung der branchenführenden Attack Signal Intelligence von Vectra AI, um speziell entwickelte KI-Erkennungsmodelle zu betreiben und anspruchsvolle Bedrohungen in Echtzeit zu identifizieren. Vectra CDR für AWS nutzt KI für eine echte Quellenzuordnung, sodass SOC-Analysten keine Aktionen über temporäre Anmeldedaten hinweg korrelieren müssen, um den ursprünglichen Akteur zu identifizieren. Dies spart Stunden an Untersuchungszeit.
• Leistungsstarke Workflows für Untersuchungen und Abhilfemaßnahmen: Vectra CDR für AWS enthält leistungsstarke Funktionen zur Untersuchung von Bedrohungen, darunter wichtige aggregierte Erkenntnisse über priorisierte Entitäten sowie die Möglichkeit, Rohprotokolle abzufragen, sodass Analysten mehr Zyklen in aktive threat hunting investieren können. Die Lösung ermöglicht auch Abhilfemaßnahmen, entweder durch automatische Durchsetzung oder durch Integration in bestehende Arbeitsabläufe, die vom Unternehmen genutzt werden.

Heutzutage sind die Bereitstellungen hybrid und bestehen aus miteinander verbundenen Oberflächen wie lokalen Rechenzentren, Identitätsanbietern, SaaS-Angeboten und öffentlichen Clouds. Raffinierte Angreifer versuchen, eine exponierte Oberfläche zu kompromittieren und dann seitlich auf verbundene Oberflächen überzugehen, um ihre Ziele zu erreichen. Diese Angriffe manifestieren sich in verschiedenen Formen wie dem Diebstahl von Anmeldeinformationen, der Kompromittierung von Hosts in lokalen Netzwerken oder identitätsbasierten Bedrohungen, die schließlich auf wichtige Ressourcen in öffentlichen cloud Umgebungen übergreifen. Moderne SOC-Teams haben die Aufgabe, Datenschutzverletzungen, die Unterbrechung von Diensten und die Schädigung des Rufs eines Unternehmens durch Angriffe auf diese hybriden cloud Implementierungen zu verhindern.

Auf cloud kann die Identifizierung dieser Verhaltensweisen eine Herausforderung sein, und je länger sich ein Angreifer unentdeckt über die vernetzte hybride Umgebung bewegen kann, desto größer ist der potenzielle Schaden. Mit Vectra CDR für AWS haben SOC-Teams einen umfassenden Einblick in Bedrohungen über vernetzte Oberflächen in einem einzigen Fenster mit einem starken Fokus auf die Identifizierung fortschrittlicher lateraler Bewegungstechniken in cloud Umgebungen. Vectra AI überwacht das Verhalten von Benutzern und Diensten auf cloud und nutzt seine Attack Signal Intelligence™, um Bedrohungen zu priorisieren und das Risiko von Auswirkungen auf den Footprint eines Unternehmens zu minimieren.