Hoe weet je SOC welke dreigingen reëel zijn? Het reduceren van ruis is van essentieel belang, stipt Vectra AI aan. Met nieuwe bevindingen blijkt hoe het prioriteren van dreigingen baat heeft.
Vectra deelt vandaag onderzoek op basis van het eigen platform. Deze AI-oplossing heeft als voornaamste doel om dreigingen te detecteren tussen de miljoenen gedragssignalen die lang niet altijd werkelijk door aanvallers komen. Het bedrijf concludeert dat het 99,98 procent van deze ruis wegneemt, waardoor SOC-teams gemiddeld slechts een paar cybergevaren in hun dashboards zien verschijnen per dag.
Meer dan opkloppen
Het onderzoek laat zien hoe moderne cyberdreigingen eruitzien bij de verschillende Vectra AI-gebruikers. Zo is 48 procent van de kwaadaardige entiteiten bij MDR-/MXDR-klanten van Vectra afkomstig van Azure Active Directory. De meest voorkomende dreiging bestaat uit niet-geprivilegieerde gebruikers, oftewel: een externe aanvaller die data probeert te bereiken of een gecompromitteerde identiteit die meer privileges en toegang gebruikt dan voorheen was gemeten.
Daarbij valt op dat specifieke custom detectieregels fors helpen. Grofweg 5 procent aan extra detecties of escalaties vinden hun oorsprong in doelgerichte regels die uniek zijn aan een organisatie. Denk daarbij aan een nutsbedrijf dat alleen data uit een bepaald systeem exfiltreert na downtime, iets dat dus gelijk alarmbellen moet laten afgaan als er geen uitval of onderhoud plaats heeft gevonden. Voorbeelden genoeg, maar het punt is dat een eigen organisatie net dat stukje beter beschermd is als het goed nagaat welke acties gebruikelijk zijn en welke juist een indicatie van malafide activiteiten zijn.
Diepe visibility
Vanzelfsprekend raadt Vectra zichzelf aan om de ruis weg te nemen. Maar ook stelt het bedrijf dat organisaties aandacht moeten hebben voor wat het Pervasive Threat Detection noemt. Azure AD-compromissen zijn niet zomaar te detecteren, waarbij alleen endpointbeveiliging te weinig hulp biedt. Diepe visibility is nodig om een identiteitsgevaar op te sporen voor het te laat is.
Prioriteren moet hoe dan ook automatisch verlopen, zo blijkt vrij duidelijk uit de miljoenen detecties die securitytools genereren. Zelfs als het allemaal om Indicators of Compromise gaat (en dat is eigenlijk nooit zo met zoveel meldingen), dan kan een mens binnen een SOC dit niet op eigen houtje onderzoeken. Er is trechtering nodig, dat is duidelijk.
We hebben zelf vorig jaar al eens een kijkje genomen bij Vectra’s functionaliteit binnen de Nederlandse MSP Tesorion. Bij die workshop bleek hoe intuïtief de dashboards van deze securityoplossing werken en hoe het dreigingen rangschikt, hoewel wij (gelukkig) enkel te maken hadden met een simulatie. Vectra kan bijvoorbeeld een verhaallijn weergeven van mogelijke dreigingen die een normaal mens niet zomaar had gedetecteerd door ogenschijnlijk ongerelateerde informatie te koppelen. Wie onthoudt immers dat iemand met hetzelfde IP-adres vier maanden eerder kortstondig een bezoek had gepleegd om nu met gestolen credentials binnen te komen? Die extra informatie helpt een dreiging sneller als zodanig te herkennen.
Lees ook: Vectra AI Analyst staat alert-vermoeide securityteams bij