EDRだけでは現代の攻撃を止められない理由

EDRのセキュリティ・ギャップ

EDRはエンドポイントの脅威をリアルタイムで発見するために不可欠ですが、攻撃者はこうした制御を回避し、EDRエージェントが存在しないネットワーク、クラウド・ワークロード、IDシステムを横断的に移動するケースが増えています。フルスタックの可視化を実現し、攻撃が拡大する前に阻止するには、EDRを補完するAI主導 検知が必要です。  

攻撃者はどのようにEDRを回避するか

1.土地を離れて生活する（LotL）攻撃 

脅威行為者は、RDPやPsExecのようなビルトインツールを使用して通常のオペレーションに紛れ込み、EDRアラートを回避する。

2.侵害されたクレデンシャル 

盗まれた認証情報または脆弱な認証情報により、攻撃者はエンドポイント・ベースの検出をトリガすることなく、ハイブリッド環境を渡り歩くことができる。

3.アンマネージド＆クラウドベースの脅威 

EDRは管理されたデバイスを保護するだけで、クラウドワークロード、SaaSアプリケーション、IoTデバイスは脆弱なままだ。

EDRをバイパスする攻撃の実例

このVolt Typhoon シナリオでは、EDRエージェントはエンドポイントのアクションのみを監視し、クラウドやIDシステムを介した横方向の動きは見えません。Vectra AIのネットワークとアイデンティティの分析では、攻撃者がハイブリッド環境を通過する際に、各段階でフラグが立てられます。

EDRがエンドポイントを守る-Vectra AIが次に来るものを守る

EDRはエンドポイントの保護には不可欠ですが、攻撃者がホストを離れた後に何が起こるかを監視することはできません。クレデンシャルの濫用、横移動、クラウド・ネイティブのテクニックを捕捉するには、ネットワーク、クラウド、アイデンティティの各レイヤーにわたって継続的に脅威を検知する必要がある。

EDRソリューションは、エンドポイントにインストールされたエージェントに依存しているため、エージェントが配置された場所でのみ脅威を検知 なる。しかし

• 攻撃者がエージェントのないシステムに移動したら？管理されていないデバイス、IoT資産、レガシーシステムは無防備なままです。
• 攻撃者がmalware使用しない場合は？ファイルレス攻撃やクレデンシャルの不正使用は、従来のEDRアラートをトリガーしません。
• 攻撃がエンドポイント以外にも広がったら？ネットワーク・インフラやクラウド・ワークロードの横移動は、気づかれないことが多い。

Vectra AIがギャップを埋める方法

EDRはエンドポイントの脅威を検出しますが、Vectra AIは攻撃のライフサイクル全体を把握し、ネットワーク・トラフィック、クラウド・ワークロード、アイデンティティ・システムにおける悪意のある動作を、高い信頼性と低い偽陽性率で検出します。その方法は次のとおりです：

• エンドポイント以外も検知エンドポイントエージェントに依存することなく、ネットワークトラフィック、クラウドワークロード、SaaSアプリケーションの脅威を検出します。
• IDベースの攻撃を暴露します：EDRをバイパスするクレデンシャルの乱用、特権の昇格、横方向の移動を特定します。
• EDRとXDRの強化：既存のセキュリティ・ツールと連携し、完全な可視化とAI主導 攻撃検知を実現します。

Vectra AIがあれば、脅威が拡大する前に発見し、阻止することができます。攻撃者がどこに隠れていようとも。

Vectra AIがEDRを補完する方法

EDRがエンドポイントの脅威に焦点を当てているのに対し、Vectra AIは攻撃対象全体を保護します。両者の比較は以下の通り：

Vectra AIはEDRに取って代わるものではなく、EDRが見逃した攻撃を検知することでセキュリティ・スタックを強化するものです。