Verhaltensanomalie
Vectra erweitert seine automatisierten Schutzfunktionen
Intelligente Reaktion auf Cybervorfälle
Die Integration mit Microsoft Defender Advanced Threat Protection (ATP) erweitert die automatisierten Schutzfunktionen von Vectra zusätzlich, um Security Operation Centers (SOCs) in die Lage zu versetzen, laufende Angriffe in Echtzeit zu stoppen
Vectra AI, führend im Bereich Network Detection and Response (NDR) , stellt erweiterte Reaktionsmöglichkeiten für seine Plattform Cognito und dessen Lockdown-Funktion vor. Die Neuerungen hat Vectra durch die Integration mit Microsoft Defender Advanced Threat Protection (ATP) realisiert. Die Grundlage bilden die automatisierten identitätsbasierten Schutzmaßnahmen in Vectra Cognito, die als Account Lockdown bekannt sind. Diese tiefe neue Produktintegration mit Microsoft Defender ATP ermöglicht es Cognito, gut koordinierte sofortige Reaktionen direkt auf Geräteebene zu liefern. Unternehmen erhalten somit die Möglichkeit die Angreifer – anstelle von Ressourcen – zu blockieren und zu isolieren. Dadurch gelingt es, die Verweilzeiten der Angreifer, die letztlich das Risiko für das Unternehmen erhöhen, erheblich zu reduzieren, ohne den regulären IT-Betrieb zu stören.
Die Technologie und die Verfahren, welche die Grundlage der Sicherheitsdurchsetzung bilden, basieren auf der Qualität und dem Umfang von Sicherheitsanomalien in einer Unternehmensumgebung. Es ist daher von entscheidender Bedeutung, falsch-positive Warnungen zu vermeiden. Diese führen schnell zu einer Alarmmüdigkeit und verminderten die Effizienz der Security-Analysten, die sich mit der Priorisierung der Reaktionen schwertun. Dieses Problem verschärft sich noch, wenn die Reaktion komplett automatisiert abläuft, da falsche Warnmeldungen zu einer ebenso falschen Reaktion führen und somit unnötige Unterbrechungen und Ausfälle verursachen.
Die künstliche Intelligenz von Cognito identifiziert stattdessen echte Angriffe und generiert priorisierte, hochgradig zuverlässige Erkennungen auf der Grundlage der beobachteten Privilegien und des Verhaltens in Cloud- und Rechenzentrumsnetzwerken. Diese Erkennungen ermöglichen es Cognito, präzise Reaktionsmaßnahmen zu automatisieren, um die an einem Angriff beteiligten Konten stillzulegen. Mit der neuen ATP-Integration von Microsoft Defender gehen die automatisierten Reaktionsmaßnahmen noch einen Schritt weiter. Cognito Lockdown ergreift nun sofortige Durchsetzungsmaßnahmen direkt auf den an einem Angriff beteiligten Geräten. Diese Automatisierung ermöglicht es Unternehmen, die Effizienz ihrer Sicherheitsoperationen zu steigern ohne Unterbrechungen des IT-Betriebs zu verursachen. Dadurch stellt Vectra sicher, dass Analysten ihre Zeit und Ressourcen auf die Untersuchung der tatsächlich kritischsten Vorfälle konzentrieren.
„Die unglaublich hohe Genauigkeit unserer verhaltensbasierten Erkennungen ermöglichen es, gefährliche Angreifer zuverlässig zu enttarnen und zu stoppen“, fügt Kevin Kennedy, Vice President of Product Management bei Vectra, hinzu. „Zusammen mit Microsoft Defender ATP nutzen wir die Präzision unserer automatisierten Reaktionstechnologie, um Angreifer direkt an den Endpunkten sofort zu stoppen, bevor sie zuschlagen können.“
Vectra verfolgt einen branchenführenden Ansatz, bei dem Cloud- und Netzwerkverhalten entsprechend dem MITRE ATT&CK Framework aufeinander abgestimmt werden. Durch die Automatisierung isolierter Ereignisse zu einer Gesamtübersicht können Sicherheitsbetriebsteams eine Kette von Ereignissen zu einem einzigen Vorfall untersuchen. Ebenso können sie ihre Reaktionsmaßnahmen entsprechend erhöhter Privilegien, Risiken und der Wahrscheinlichkeit einer Bedrohung priorisieren. Die steigende Erkennung von Anomalien hat bislang enorme Mengen an Warnungen hervorgerufen, die sich als unbeherrschbar und oft als irrelevant erwiesen haben. In ähnlicher Weise benötigen Falschmeldungen unnötig wertvolle Zeit und Ressourcen, die eigentlich zur Bekämpfung tatsächlicher Bedrohungen erforderlich wären.
„Die Integration von Vectra Cognito und Microsoft Defender ATP ermöglicht es Unternehmen, auf Angriffe an den Endpunkten zu reagieren, die auf Vectras Erkennungen des Angreiferverhaltens basieren“, erläutert Alon Rosental, Group Program Manager bei Microsoft. „Dadurch bietet Vectra ihnen die Präzision und Schnelligkeit, die sie benötigen, um jeden Angriff ohne Unterbrechungen des IT-Betriebs zu bekämpfen.“
Vectra ist die erste NDR-Lösung, die eine automatisierte Durchsetzung von IT-Sicherheit auf Grundlage von priorisiertem, realem Angreiferverhalten und chirurgischen, identitätsbasierten Durchsetzungsmaßnahmen ermöglicht. Dadurch wird der unzulässige Zugriff auf Ressourcen verhindert, die für das Host-Unternehmen von entscheidender Bedeutung sind. Aufbauend auf dieser Dynamik erhielt Vectra auch die Einladung, Mitglied der Microsoft Intelligent Security Association zu werden. Dieses Ökosystem unabhängiger Softwareanbieter ist speziell zur Abwehr der zunehmenden Cyberbedrohungen ins Leben gerufen worden.
Die offene Plattform und das umfangreiche Technologie-Ökosystem von Vectra ermöglichen es IT-Sicherheitsteams, die Arbeitsbelastung zu reduzieren, den Kontext tiefer zu erfassen sowie schneller und präziser zu reagieren.