Come passare dall’Endpoint Detection and Response (Edr) alla più ampia e completa visione dell’Extended Detection and Response (Xdr)? E come alleggerire il personale dei Security Operations Center dal peso dei troppi alert da vagliare? Sono domane che probabilmente molte aziende si pongono, in uno scenario di rischio informatico crescente per numero e pericolosità degli attacchi, e di continuo allargamento della superficie aggredibile. I sistemi da monitorare aumentano e con essi gli alert, i falsi positivi e lo stress degli analisti dei Soc.
Una soluzione come Vectra AI Platform: una soluzione che permette di integrare il segnale di Vectra AI per cloud pubblico, identità, SaaS e rete con il segnale già esistente per l’Edr. In sostanza, la soluzione di Endpoint Detection and Response già in uso viene combinata con la Vectra AI Platform, che integra segnali di attacco nativi e di terze parti in domini cloud ibridi (tra cui Aws, Google Cloud Platform, Microsoft Azure, Microsoft 365), sistemi di gestione dell’identità (Azure AD) reti ed endpoint. Grazie ai rilevamenti in tempo reale, il personale dei Soc può identificare i segnali sospetti e agire tempestivamente.
La soluzione copre il 90% delle tecniche MITRE ATT&CK con le contromisure brevettate e comprovate MITRE D3FEND. Per il rilevamento delle minacce si utilizzano l’analisi comportamentale (supportata da intelligenza artificiale), l’analisi delle firme e la threat intelligence, ottenendo così la rappresentazione più accurata degli attacchi attivi in corso e potendo scremare i falsi positivi. “L’attuale approccio al rilevamento e alla risposta alle minacce è fondamentalmente inadeguato, dal momento che sempre più organizzazioni passano ad ambienti ibridi e i team di sicurezza continuano ad affrontare la crescente complessità del cloud, l’affaticamento dovuto agli alert continui e il burnout degli analisti”, ha dichiarato Hitesh Sheth, presidente e Ceo di Vectra AI.
Ora nella Vectra AI Platform debuttano nuove funzionalità di intelligenza artificiale che la rendono “la prima piattaforma di rilevamento e risposta agli attacchi ibridi completamente integrata e guidata dall’AI”, secondo la definizione del vendor. Le novità sono riassunte nella Attack Signal Intelligence: una soluzione che utilizza tecnologie di intelligenza artificiale brevettate per automatizzare il rilevamento, il triage e la prioritizzazione delle minacce nei domini di cloud ibrido.
L’AI permette di comprendere il comportamento degli attaccanti ma anche le caratteristiche uniche degli ambienti IT del cliente, e così facendo può distinguere le minacce reali da quelle trascurabili ed eliminare dagli alert l’80% del “rumore di fondo”. Una tecnologia brevettata chiamata Privileged Access Analytics si concentra sugli account più utili agli attaccanti.
L’assegnazione di priorità a host e account nei vari domini in base all’urgenza e all’importanza permette agli analisti Soc di risparmiare ogni giorno ore di lavoro da dedicare, altrimenti, al triage delle notifiche. La soluzione può anche mappare la progressione e il movimento laterale degli attaccanti (dal data center al cloud, dal cloud al data center e dal cloud al cloud). Inoltre può essere utilizzata come base per programmi di threat hunting, indagini forensi avanzate sui log di Azure AD, Microsoft 365 o Aws Control Plane, o analisi assistite dall’AI generativa (con chabot che forniscono informazioni di contesto sugli attacchi).