エンドポイントセキュリティ
エンドポイント・プロテクション・プラットフォーム(EPP)だけでは現代の攻撃を阻止できない理由
エンドポイントプロテクションプラットフォーム(EPP)は既知のmalwareブロックしますが、現代の敵はファイルレス戦術やクレデンシャルの濫用によってこれらの制御を回避することが増えています。Vectra AIは、EPPへの投資と並行して動作し、ネットワーク、クラウド、IDの脅威をリアルタイムで検知して、より広範な可視性のギャップを埋めます。
EPPのセキュリティ・ギャップ
EPPソリューションは、管理対象デバイス上の既知のマルウェアランサムウェアを阻止するために不可欠ですが、エンドポイント防御を回避した後の攻撃者の行動を検出するようには構築されていません。ファイルレス技術、クレデンシャルの不正使用、クラウドやネットワーク・レイヤーを横断する横の動きを検知 するには、EPPのシグネチャ・ベースの制御を補完するAI主導の検知が必要です。
攻撃者がEPPを回避する方法
1.ファイルレス&リビング・オフ・ザ・ランド(LotL)テクニック
攻撃者は、EPPが検知 マルウェア を展開せずに、 PowerShellやPsExecなどの信頼されたツールを悪用する。
2.クレデンシャルの漏洩とインサイダー脅威
EPP はエンドポイントを保護するが、盗まれた認証情報やアカウントの検知 ものではない。
3.管理された機器を超えたラテラルムーブ
いったん内部に侵入すると、攻撃者はEPPが可視化できない非管理層、クラウド層、ID層を通って移動する。
EPPの可視性ギャップが現実にもたらすもの
以下の「Scattered Spider では、EPPは既知の マルウェア を阻止しますが、ファイルレス攻撃や認証情報ベースの手法は見逃します。Vectra ネットワーク、クラウド、およびアイデンティティ分析は、攻撃者がハイブリッド環境を横断する各段階で警告を発します。
EPPブロック マルウェア—Vectra Secures What Comes Next
EPPはエンドポイント上のマルウェアブロックするために不可欠ですが、攻撃者がファイルレス手法やクレデンシャルベースの動きに移行した後に何が起こるかを監視することはできません。IDの不正使用、横の動き、クラウドネイティブな脅威を検知 するには、環境全体にわたって継続的にAI主導 可視化する必要があります。
EPPは、既知の脅威に対してシグネチャとビヘイビアベースの検知を適用する:
- 攻撃が正当なツールを使っていたら?EPPはliving-off-the-land攻撃やファイルレス攻撃を見逃す。
- 攻撃者が盗んだ認証情報を使用したら?EPP はID ベースのラテラルムーブを 検知 ことはできない。
- 攻撃がクラウドやSaaSに広がったら?EPPは管理されたエンドポイントしか見ておらず、ハイブリッド環境は見ていない。
Vectra AIがギャップを埋める方法
EPPは既知の脅威をエンドポイントで阻止するが、Vectra AIは攻撃のライフサイクル全体を把握し、ネットワーク・トラフィック、クラウド・ワークロード、IDシステムにおける悪意のある挙動を高い信頼性と低い偽陽性率で発見する。
- ファイルレス攻撃とLOTL攻撃を検知:AI マルウェアに依存しない攻撃者の振る舞いを特定します。
- クレデンシャルの濫用とインサイダー脅威を阻止します:ハイブリッド環境におけるラテラルムーブと権限の昇格を検出します。
- EPPとの連携: エンドポイントを超えたリアルタイムの検知を提供することで、EPPを補完する。
Vectra AIを使用すれば、エンドポイントプロテクションをバイパスする攻撃者を、攻撃者がエスカレートする前に阻止することができます。
Vectra AIはEPPをどのように補完するか
EPPはエンドポイントを保護し、Vectra AIは管理対象デバイス以外のアクティブな脅威を検出します。両者の比較は以下の通り:
Vectra EPPに取って代わるものではなく、EPPを強化します。具体的には、EPPでは検知できない脅威を検出することで実現します。 マルウェア 保護だけでは見逃してしまう脅威を検出することで強化します。
注目のeBook
アイデンティティ、ネットワーク、クラウド、エンドポイントの各セキュリティにおける攻撃の隙間に注意せよ
クラス最高」のツールでは十分でない理由と、Vectra AIがセキュリティ・スタックをどのように完成させるかをご紹介します。
ダウンロード