エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)だけでは現代の攻撃を阻止できない理由
エンドポイントプロテクションプラットフォーム(EPP)は既知のmalwareブロックしますが、現代の敵はファイルレス戦術やクレデンシャルの濫用によってこれらの制御を回避することが増えています。Vectra AIは、EPPへの投資と並行して動作し、ネットワーク、クラウド、IDの脅威をリアルタイムで検知して、より広範な可視性のギャップを埋めます。
EPPのセキュリティ・ギャップ
EPPソリューションは、管理対象デバイス上の既知のmalware ランサムウェアを阻止するために不可欠ですが、エンドポイント防御を回避した後の攻撃者の行動を検出するようには構築されていません。ファイルレス技術、クレデンシャルの不正使用、クラウドやネットワーク・レイヤーを横断する横の動きを検知 するには、EPPのシグネチャ・ベースの制御を補完するAI主導 検知が必要です。
攻撃者がEPPを回避する方法
1.ファイルレス&リビング・オフ・ザ・ランド(LotL)テクニック
攻撃者はPowerShellやPsExecのような信頼できるツールを悪用し、EPPが検知できるmalware 展開しない。
2.クレデンシャルの漏洩とインサイダーの脅威
EPP はエンドポイントを保護するが、盗まれた認証情報やアカウントの検知 ものではない。
3.管理された機器を超えた横の動き
いったん内部に侵入すると、攻撃者はEPPが可視化できない非管理層、クラウド層、ID層を通って移動する。
EPPの可視性ギャップが現実にもたらすもの
以下のScattered Spider シナリオでは、EPPは既知のmalware 阻止しますが、ファイルレスやクレデンシャルベースのテクニックを見逃します。Vectra AIのネットワーク、クラウド、およびIDアナリティクスは、攻撃者がハイブリッド環境を通過する際に、各ステージにフラグを立てる。
EPPがMalwareブロックMalware Vectra AIが次に来るものを守る
EPPはエンドポイント上のmalware ブロックするために不可欠ですが、攻撃者がファイルレス手法やクレデンシャルベースの動きに移行した後に何が起こるかを監視することはできません。IDの不正使用、横の動き、クラウドネイティブな脅威を検知 するには、環境全体にわたって継続的にAI主導 可視化する必要があります。
EPPは、既知の脅威に対してシグネチャとビヘイビアベースの検知を適用する:
- 攻撃が正当なツールを使っていたら?EPPはliving-off-the-land攻撃やファイルレス攻撃を見逃す。
- 攻撃者が盗んだ認証情報を使用したら?EPP はID ベースの横の動きを 検知 ことはできない。
- 攻撃がクラウドやSaaSに広がったら?EPPは管理されたエンドポイントしか見ておらず、ハイブリッド環境は見ていない。
Vectra AIがギャップを埋める方法
EPPは既知の脅威をエンドポイントで阻止するが、Vectra AIは攻撃のライフサイクル全体を把握し、ネットワーク・トラフィック、クラウド・ワークロード、IDシステムにおける悪意のある挙動を高い信頼性と低い偽陽性率で発見する。
- ファイルレス&LotL攻撃を検知:AIが malware依存しない攻撃者の行動を識別します。
- クレデンシャルの濫用とインサイダーの脅威を阻止します:ハイブリッド環境における横の動きと権限の昇格を検出します。
- EPPとの連携: エンドポイントを超えたリアルタイムの検知を提供することで、EPPを補完する。
Vectra AIを使用すれば、エンドポイントプロテクションをバイパスする攻撃者を、攻撃者がエスカレートする前に阻止することができます。
Vectra AIはEPPをどのように補完するか
EPPはエンドポイントを保護し、Vectra AIは管理対象デバイス以外のアクティブな脅威を検出します。両者の比較は以下の通り:
Vectra AIはEPPに取って代わるものではなく、malware 保護だけでは見逃してしまう脅威を検出することでEPPを強化するものです。