在云環(huán)境中,安全威脅可能有多個來源,包括惡意行為者、軟件漏洞和用戶錯誤。為了有效檢測和應(yīng)對這些威脅,企業(yè)需要制定全面的安全策略,包括一系列用于監(jiān)控和保護其云環(huán)境的工具和技術(shù)。而CDR(云威脅檢測和響應(yīng))技術(shù)則被認(rèn)為是一種有效的創(chuàng)新云安全方法。CDR技術(shù)是以云計算應(yīng)用安全為目標(biāo),全面采集云環(huán)境下的應(yīng)用負載、網(wǎng)絡(luò)流量、文件、日志信息等多維度數(shù)據(jù),持續(xù)監(jiān)控云應(yīng)用的運行狀態(tài),實時發(fā)現(xiàn)各種潛在的安全威脅。通過智能化的威脅分析,CDR技術(shù)可以通過感知上下文,確定安全告警的優(yōu)先級并消除誤報,還可以幫助組織全面梳理云資產(chǎn)和工作負載數(shù)據(jù),整體評估云上應(yīng)用的安全態(tài)勢。
根據(jù)部署方式的差別,CDR解決方案主要可分為兩種類型:基于代理的CDR解決方案和無代理CDR解決方案,其中:
基于代理的CDR解決方案需要使用安裝在各種工作負載上代理,全面收集設(shè)備信息、流量數(shù)據(jù)、云流量、審計日志以及云服務(wù)商提供的其他數(shù)據(jù)。
無代理CDR解決方案采用快照掃描方法,從工作負載的運行過程中實時收集各種數(shù)據(jù)信息,并通過API接口來檢索云配置的元數(shù)據(jù)。
通過應(yīng)用部署CDR技術(shù)方案,企業(yè)可以在多個階段獲得更好的安全性:
威脅檢測——CDR可以為跨云服務(wù)的攻擊提供持續(xù)安全監(jiān)控,并提供事件警報;
事件調(diào)查——通過CDR工具,企業(yè)可以審查攻擊步驟、技術(shù)、時間表和可用數(shù)據(jù)的分析結(jié)果,以確定對威脅做出最優(yōu)化的響應(yīng);
應(yīng)急響應(yīng)——CDR的能力側(cè)重于幫助企業(yè)在云安全威脅造成實際破壞之前被發(fā)現(xiàn)并遏制,比如自動修復(fù)或自動轉(zhuǎn)發(fā)到工單系統(tǒng);
應(yīng)用彈性——CDR可以幫助安全分析師進行溯源調(diào)查,并基于可用數(shù)據(jù)提供對潛在威脅的補救措施。
為了充分獲取CDR技術(shù)的應(yīng)用價值,安全研究人員建議企業(yè)組織在開展CDR建設(shè)時遵循以下幾個步驟。
01為CDR提供全面的資產(chǎn)清單
有效的CDR應(yīng)用需要全面的云資產(chǎn)清單數(shù)據(jù)。在這種情況下,組織應(yīng)該優(yōu)先選擇具有無代理功能的CDR解決方案。這種解決方案不僅可以自動覆蓋所有云資產(chǎn),還可以實時檢測和監(jiān)控出現(xiàn)異常的工作負載、孤島系統(tǒng)以及無法支持代理的設(shè)備。由于很難在每個資產(chǎn)上安裝代理,基于代理的CDR方案在云資產(chǎn)覆蓋度方面會受到很大限制。
02深入洞察云環(huán)境
企業(yè)要清晰地了解整個云環(huán)境內(nèi)部的各種運行情況,主要包括以下各層的現(xiàn)有風(fēng)險和威脅:
云基礎(chǔ)設(shè)施層——組織需要深入了解哪些資產(chǎn)在哪些網(wǎng)絡(luò)上運行、誰有權(quán)訪問它們。
操作系統(tǒng)層——除了檢查適當(dāng)?shù)牟僮飨到y(tǒng)配置外,CDR方案還應(yīng)該檢查用戶權(quán)限是否合規(guī)以及是否打上了所有必需的補丁。
應(yīng)用程序?qū)?mdash;—組織需要深入了解所有安裝的應(yīng)用程序及其配置,它們應(yīng)該掃描查找漏洞和不安全的補丁。
身份層——組織需要深入了解云身份和訪問管理系統(tǒng)的權(quán)限和賬戶,以便發(fā)現(xiàn)用戶和角色在使用行為方面的異常情況。
API層——組織必須深入了解并檢測可能惡意的API使用行為,并了解攻擊者如何利用環(huán)境中現(xiàn)有的API漏洞和風(fēng)險。
數(shù)據(jù)層——深入了解數(shù)據(jù)內(nèi)容對于保護組織含有敏感數(shù)據(jù)的核心資產(chǎn)和服務(wù)器至關(guān)重要。
03獲取全面的云監(jiān)控數(shù)據(jù)
有效的CDR解決方案應(yīng)該能夠全面收集云監(jiān)控數(shù)據(jù)。主流云服務(wù)提供商(CSP)都會提供自己的內(nèi)置云威脅檢測功能,CDR解決方案需要能夠訪問其中的許多服務(wù)。大多數(shù)CSP會結(jié)合使用遙測數(shù)據(jù)源來識別攻擊,包括利用分析工具的網(wǎng)絡(luò)流量日志和補充性的威脅情報源。在比較CDR檢測和響應(yīng)解決方案時,應(yīng)重點考量其對海量數(shù)據(jù)信息的獲取和分析能力。
04智能分析上下文
一款有效的CDR安全平臺應(yīng)該使用中央數(shù)據(jù)模型來收集和關(guān)聯(lián)每個云資產(chǎn)的上下文信息,比如關(guān)于云工作負載和配置的詳細信息,以及組織內(nèi)外云通信方面的潛在風(fēng)險。這種上下文數(shù)據(jù)感知能力是確保企業(yè)安全團隊迅速識別和修復(fù)嚴(yán)重安全問題的關(guān)鍵,基于威脅嚴(yán)重性的評估可以幫助安全團隊將工作重心放在最容易被利用的攻擊路徑上。
05與現(xiàn)有的云安全運營流程整合
網(wǎng)絡(luò)攻擊者以越來越快的速度攻擊存儲在云端的應(yīng)用程序和信息。因此,組織有必要確保云檢測和響應(yīng)能力是其云安全運營工作的一個組成部分。為了快速評估和解決問題,安全團隊必須將CDR解決方案集成到現(xiàn)有的安全運營工作流程中,包括使用處置編排、警報服務(wù)、SIEM和工單系統(tǒng)。這些集成將幫助企業(yè)的安全運營中心提高自動化水平,縮短修復(fù)時間。此外,CDR技術(shù)必須提供有關(guān)活動威脅的詳細信息,幫助組織能夠快速開展調(diào)查和響應(yīng)。
參考鏈接:https://orca.security/resources/blog/5-steps-to-effective-cdr/
