Gartner预测,2022年全球公共云服务支出将增长20.4%。这是由于容器、Kubernetes和无服务器等云原生应用程序架构的出现,使组织更容易在云中部署应用程序,这导致了公共云基础设施的采用率增加。
与此同时,IDC的一项调查显示,98%的公司在2021年经历了云数据泄露,这一比例相当高,高于2020年的79%。不幸的是,内部部署安全解决方案不完全适用于云。
许多云安全工具专注于识别和警告潜在风险,如控制平面错误配置、工作负载和应用程序漏洞以及不安全的秘密管理。鉴于数据泄露的明显增加,公司需要在现代云安全中采用云检测和响应(CDR)。
什么是云检测和响应(CDR)?
云检测和响应是一种新的云安全方法,专注于检测和响应云中的攻击。
云检测和响应工具在大型和小型组织中都有使用。大型组织使用安全运维中心(SOC)或事件响应(IR)团队来防止攻击。SOC和IR团队使用MITRE ATT&CK(MITRE对抗战术、技术和常识)和NIST CSF(网络安全框架)作为团队框架。另一方面,小型组织使用自己的IT团队或外包服务,如托管检测和响应(MDR)。
CDR是如何工作的?
有两种类型的CDR解决方案:基于代理的解决方案和无代理解决方案。
基于代理的解决方案使用安装在工作负载上的代理。它们结合了来自端点、流量分析、云流量和审计日志的信息,以及来自云服务提供商的可用数据。
无代理解决方案采用快照扫描方法,从工作负载的运行时块存储外部收集数据,并通过API检索云配置元数据。
CDR工具在以下阶段为客户带来价值:
——检测:它们为跨云服务的攻击提供持续监控,并提供警报功能。
——调查:它们审查攻击步骤、技术、时间表和对可用数据的分析,以确定对威胁的必要反应。
——响应:它们的功能侧重于确保在云威胁造成损害之前将其控制住,例如自动修复或自动转发到票务系统。
——弹性:它们有助于调查,并根据现有数据提供潜在的补救措施。
CDR如何帮助确定警报优先级
云检测和响应解决方案应用警报优先级,帮助团队首先解决最关键的风险,并消除误报。CDR工具提供了对云资产和工作负载数据的完全可见性,这作为云安全的上下文数据。
CDR工具可以根据警报对业务的影响、攻击者对云资产的可访问性以及利用上下文感知安全情报进行横向移动的可能性来分析警报的严重性。因此,安全团队被引导到最关键的、对业务有害的攻击路径。
CDR入门的5个步骤
要有效地获得云检测和响应的好处,请执行以下步骤。
1.实现完全资产覆盖
有效的云检测和响应需要完整的资产覆盖。在这种情况下,你必须选择一个具有无代理功能的可靠CDR解决方案。该解决方案不仅可以自动覆盖所有云资产,还可以检测和监控空闲、暂停和停止的工作负载、无法支持代理的孤立系统和设备。
由于很难在每个资产上安装代理,因此基于代理的解决方案不适合覆盖资产,因为它们无法提供完整的覆盖范围。
2.实现云环境的深度可见性
为了更好地了解整个云环境中发生的事情,你必须意识到以下各层的现有风险和威胁:
——云基础设施级别:需要了解哪些资产在哪些网络上运行,以及谁可以访问这些资产。
——操作系统级别:除了检查操作系统配置是否正确外,CDR工具还应检查用户权限合规性以及是否已应用所有必需的修补程序。
——应用程序级别:组织需要查看所有已安装的应用程序及其配置,并应扫描漏洞和不安全的修补程序。
——身份级别:需要了解身份和访问管理系统的权限和账户,以便检测用户和角色行为中的异常情况。
——API级别:必须实现可见性,以便检测潜在的恶意行为,并了解攻击者如何利用环境中现有的API漏洞和风险。
——数据级别:数据库存的可见性对于保护组织的数据和包含敏感数据的服务器至关重要。
3.获得全面的云遥测
一个有效的CDR解决方案应该能够收集数据。云服务提供商(CSP)提供内置云威胁检测功能,CDR解决方案可以访问其中许多服务。大多数CSP使用遥测源的组合来识别攻击,包括利用分析和补充威胁情报来源的网络流量日志。当考虑CDR检测和响应选项时,请寻找一个单一的、集中的平台,该平台可以接收、聚合、分析和呈现数据和带有上下文的遥测。
4.实现上下文智能
一个有效的CDR安全平台应该使用*数据模型来收集和关联每个资产的上下文信息,例如云工作负载和配置的详细信息,以及外部和内部云通信中的潜在风险。这些上下文感知数据是确保安全团队根据其严重程度,将精力集中在最具剥削性的攻击路径上,从而迅速识别和解决最关键问题的关键。
5.开发工作流集成
为了快速评估和解决问题,安全团队必须将CDR解决方案纳入其工作流。通常使用补救协调、警报服务、SIEM、SOAR和票务系统,以及将CDR解决方案纳入流程技术集成。这些集成将使SOC和IR团队能够提高自动化和生产力,并缩短修复时间。它们还应使安全团队能够组织、修改自动警报,并将其纳入正在进行的运维中。
结论:将CDR集成到云安全战略中
网络攻击者以越来越快的速度攻击存储在云中的应用程序和信息。因此,对于组织来说,确保云检测和响应能力是其云安全运维不可或缺的一部分是很重要的。此外,CDR平台必须提供关于主动威胁的清晰和可操作的信息,并能够在不产生额外噪音的情况下进行快速调查和响应。