Cloud Lateral Movement: Detection & Prevention with AI

Lateral Movement ist eine Taktik, die von Angreifern verwendet wird, um ihren Zugriff zu erweitern, indem sie sich durch eine Umgebung bewegen, um ihre Ziele zu erreichen (z. B. Exfiltration sensibler Daten, Übernahme von Arbeitslasten). Jahrelang wurden laterale Bewegungen genutzt, um lokale Netzwerke auf der Grundlage von Netzwerkprotokollen und -diensten wie Active Directory, SMB und NTLM anzugreifen, aber da immer mehr Unternehmen auf cloud umsteigen, sind die Angreifer gefolgt.

Nach der Kompromittierung verfolgen die Angreifer zahlreiche Wege für laterale Bewegungen im cloud. Beispielsweise stehlen sie Anmeldeinformationen von einer kompromittierten virtuellen Maschine, um zu anderen Diensten überzuwechseln, oder sie nutzen erhöhte Berechtigungen, um Ressourcen in ungenutzten und unüberwachten geografischen Regionen einzusetzen. Es gibt viele Beispiele für diese Methoden, die sich in realen Angriffen manifestieren.

The prevalence of connected hybrid environments makes this challenge worse. Adversaries in the hybrid cloud leverage novel techniques such as account misuse, compromised credentials and vulnerabilities to exploit trusted relationships — and move laterally between connected surfaces. Vectra Cloud Detection and Response (CDR) for AWS is powered by patented Attack Signal IntelligenceTM that takes an entity-focused approach to detecting lateral movement in hybrid cloud deployments, surfacing the most urgent threats for SOC teams to address.

Die größten Herausforderungen bei der Erkennung lateraler Bewegungen in der cloud

Lücken in der hybriden cloud Sichtbarkeit: SOC-Teams müssen Einblick in ihre gesamte hybride cloud Bereitstellung haben, die Rechenzentrumsnetzwerke, Identität, SaaS und öffentliche Clouds wie AWS umfasst; sie dürfen sich nicht nur auf eine einzelne Quelle wie Firewalls verlassen, um Bedrohungen im ein- und ausgehenden Datenverkehr zu erkennen.

Technische Tiefe bei der Erkennung von Bedrohungen: SOC-Teams benötigen fortschrittliche Verhaltensanalysefunktionen für verschiedene vernetzte Oberflächen, ohne in unzusammenhängende Tools verschiedener Anbieter zu investieren, die entweder nicht integriert sind oder einfach Lücken aufweisen, die raffinierte Angreifer ausnutzen können, um sich seitlich zwischen Oberflächen zu bewegen.

Heightened operational challenges: With more tools comes increased overhead in tooling, time and manpower for SecOps. SOC teams need to protect their hybrid cloud deployments without overspending on resources and time to manually corelate data from various sources. This adversely impacts key SOC metrics such as the mean time to investigate (MTTI) and mean time to respond (MTTR).

Die wichtigsten Vorteile von AI zur Erkennung von Querbewegungen in der cloud

Warum sollten Sie sich für eine moderne, speziell entwickelte cloud Lösung zur Erkennung, Untersuchung und Reaktion (CDR) entscheiden?

• Verbesserte Sichtbarkeit in hybriden Umgebungen: Ein einziges Fenster mit priorisierten Einheiten aus allen verbundenen Oberflächen, einschließlich Rechenzentrumsnetzwerken, SaaS, Identität und öffentlichen Clouds wie AWS.
• KI-gesteuerte Erkennungen: Ein Portfolio fortschrittlicher Erkennungsfunktionen, die ausgeklügelte Verhaltensweisen von Angreifern über die gesamte cloud Kill-Chain hinweg aufdecken und tiefgreifenden Schutz vor kompromittierten Anmeldeinformationen, Dienstmissbrauch, Privilegieneskalation und Datenexfiltration bieten.
• Verhindern von Seitwärtsbewegungen: Bietet eine zentrale Überwachung des Verhaltens von Angreifern, die versuchen, sich über vernetzte Oberflächen hinweg zu bewegen, und liefert gleichzeitig einen Prüfpfad in einer zentralen Benutzeroberfläche. Dadurch wird der Aufwand für SOC-Teams, Daten aus traditionell unzusammenhängenden Quellen manuell zusammenzuführen, erheblich reduziert.

Wichtige Kriterien für die Auswahl der richtigen AI-Lösung

Die Bewältigung der Herausforderungen von cloud muss nicht übermäßig kompliziert sein oder mehr Arbeit für SOC-Teams bedeuten. Bedenken Sie Folgendes:

1. ‍Abdeckungfür den hybriden cloud Fußabdruck: Moderne hybride Angriffe erstrecken sich über mehrere miteinander verbundene Oberflächen, darunter öffentliche cloud, Rechenzentrumsnetzwerke, Identität und SaaS. Es besteht ein Bedarf an einer Lösung zur Erkennung, Untersuchung und Reaktion auf Bedrohungen, die Bedrohungen aus all diesen Bereichen abdeckt.
2. Konzentrieren Sie sich auf klare Signale: Nutzen Sie KI-Technologie, die nicht nur ausgeklügeltes Angreiferverhalten in Echtzeit identifiziert, sondern auch die Ergebnisse nach Prioritäten ordnet, damit Ihr SOC-Team das Wichtige vom Dringenden unterscheiden kann.
3. Verringerung des SOC-Aufwands: Der Einsatz mehrerer Tools und die Schulung von SOC-Personal kann zu hohen Sicherheitskosten für ein Unternehmen führen. Die ideale Lösung sollte daher einfache Untersuchungen ermöglichen und die Arbeitsabläufe für Bedrohungen über alle Angriffsflächen hinweg optimieren.

Schlüssel zum Erfolg

• Breite Abdeckung in hybriden Bereitstellungen: Eine CDR-Lösung wie Vectra CDR für AWS fügt sich nahtlos in die Vectra AI Plattform ein und zeigt und priorisiert Bedrohungen nicht nur von cloud, sondern auch von verbundenen Oberflächen in einer einzigen Glasebene an.
• Signalklarheit in Echtzeit durch Attack Signal Intelligence™: Nutzung der branchenführenden Attack Signal Intelligence von Vectra AI, um speziell entwickelte KI-Erkennungsmodelle zu betreiben und anspruchsvolle Bedrohungen in Echtzeit zu identifizieren. Vectra CDR für AWS nutzt KI für eine echte Quellenzuordnung, sodass SOC-Analysten keine Aktionen über temporäre Anmeldedaten hinweg korrelieren müssen, um den ursprünglichen Akteur zu identifizieren. Dies spart Stunden an Untersuchungszeit.
• Leistungsstarke Workflows für Untersuchungen und Abhilfemaßnahmen: Vectra CDR für AWS enthält leistungsstarke Funktionen zur Untersuchung von Bedrohungen, darunter wichtige aggregierte Erkenntnisse über priorisierte Entitäten sowie die Möglichkeit, Rohprotokolle abzufragen, sodass Analysten mehr Zyklen in aktive threat hunting investieren können. Die Lösung ermöglicht auch Abhilfemaßnahmen, entweder durch automatische Durchsetzung oder durch Integration in bestehende Arbeitsabläufe, die vom Unternehmen genutzt werden.

Today, deployments are hybrid consisting of connected surfaces such as on-premises data centers, identity providers, SaaS offerings and public clouds. Sophisticated attackers aim to compromise one exposed surface and then move laterally to connected surfaces in service of their goals. These attacks manifest in various forms such credential theft, compromise of hosts in on-prem networks or identity based threats that eventually pivot to key resources in public cloud environments. Modern SOC teams are on a mission to eliminate data breaches, disruption of services, and damage to an organization’s reputation from attacks targeting these hybrid cloud deployments.

Once in the cloud, identification of these behaviors can be challenging and the longer an attacker can move undetected across the connected hybrid footprint, the greater the potential damage. With Vectra CDR for AWS, SOC teams have broad visibility into threats across connected surfaces in a single pane of glass with a deep focus on identifying advanced lateral movement techniques in cloud environments. Vectra AI monitors behaviors across users and services in the cloud leveraging its Attack Signal Intelligence™ to prioritize threats and mitigate the risk of impact on an organization’s footprint.