エンドポイント・プロテクション・プラットフォーム (EPP) だけでは現代の攻撃を阻止できない理由

EPPのセキュリティ・ギャップ

EPPソリューションは、管理対象デバイス上の既知のマルウェアランサムウェアを阻止するために不可欠ですが、エンドポイント防御を回避した後の攻撃者の振る舞いを検出するようには構築されていません。ファイルレス技術、クレデンシャルの不正使用、クラウドやネットワーク・レイヤーを横断する横の動きを検知 するには、EPPのシグネチャ・ベースの制御を補完するAI主導の検知が必要です。

攻撃者がEPPを回避する方法

1.ファイルレス＆リビング・オフ・ザ・ランド(LotL)テクニック 

攻撃者は、EPPが検知 マルウェア を展開せずに、 PowerShellやPsExecなどの信頼されたツールを悪用する。

2.クレデンシャルの漏洩とインサイダー脅威 

EPP はエンドポイントを保護するが、盗まれた認証情報やアカウントの検知 ものではない。

3.管理された機器を超えたラテラルムーブ 

いったん内部に侵入すると、攻撃者はEPPが可視化できない非管理層、クラウド層、ID層を通って移動する。

EPPの可視性ギャップが現実にもたらすもの

以下の「Scattered Spider では、EPPは既知の マルウェア を阻止しますが、ファイルレス攻撃や認証情報ベースの手法は見逃します。Vectra AIネットワーク、クラウド、およびアイデンティティ分析は、攻撃者がハイブリッド環境を横断する各段階で警告を発します。

EPPがマルウェアをブロック、Vectra AIが次に来るものを保護

EPPはエンドポイント上のマルウェアブロックするために不可欠ですが、攻撃者がファイルレス手法やクレデンシャルベースの動きに移行した後に何が起こるかを監視することはできません。IDの不正使用、横の動き、クラウドネイティブな脅威を検知 するには、環境全体にわたって継続的にAI主導 可視化する必要があります。

EPPは、既知の脅威に対してシグネチャとビヘイビアベースの検知を適用する：

• 攻撃が正当なツールを使っていたら？EPPはliving-off-the-land攻撃やファイルレス攻撃を見逃す。
• 攻撃者が盗んだ認証情報を使用したら？EPP はID ベースのラテラルムーブを 検知 ことはできない。
• 攻撃がクラウドやSaaSに広がったら？EPPは管理されたエンドポイントしか見ておらず、ハイブリッド環境は見ていない。

Vectra AI どのようにギャップをVectra AI

EPPは既知の脅威をエンドポイントで阻止しますが、Vectra AI 攻撃ライフサイクル全体をVectra AI 、ネットワークトラフィック、クラウドワークロード、IDシステムにおける悪意のある行動を高い確信度と低い誤検知率で検知します。 

• ファイルレス攻撃とLOTL攻撃を検知：AI マルウェアに依存しない攻撃者の振る舞いを特定します。
• クレデンシャルの濫用とインサイダー脅威を阻止します：ハイブリッド環境におけるラテラルムーブと権限の昇格を検出します。
• EPPとの連携： エンドポイントを超えたリアルタイムの検知を提供することで、EPPを補完する。

Vectra AIなら、エンドポイント保護を迂回する攻撃者を、攻撃がエスカレートする前に阻止できます。

Vectra AIがEPPを補完する方法

EPPはエンドポイントを保護し、Vectra AI AIは管理対象デバイスを超えたアクティブな脅威を検知します。両者の比較は以下の通りです：

Vectra AI EPPに取って代わるVectra AI 、EPPを強化します。具体的には、EPPでは検知できない脅威を検出することで強化します。 マルウェア 保護だけでは見逃してしまう脅威を検出することで強化します。