正文

在多层云中提升检测和响应的 5 个步骤

admin
admin V管理员 /0 评论 /43 阅读
1014
此篇文章发布距今已超过39天,您需要注意文章的内容或图片是否可用!

检测和响应 (DR) 实践与云安全之间的联系历来很薄弱。随着全球组织越来越多地采用云环境,安全策略主要集中在“左移”实践上,即保护代码、确保正确的云态势和修复错误配置。然而,这种方法导致过度依赖多种 DR 工具,涵盖云基础设施、工作负载甚至应用程序。尽管有这些先进的工具,组织通常需要数周甚至数月的时间来识别和解决事件。

再加上工具蔓延、云安全成本飙升和大量误报等挑战,很明显,安全团队已经捉襟见肘。许多人被迫做出艰难的决定,决定他们可以实际防御哪些云泄露。

通过遵循这 5 个有针对性的步骤,安全团队可以大大提高他们对云攻击的实时检测和响应能力。

1 步:添加运行时可见性和保护

当安全团队缺乏实时可见性时,他们基本上是在盲目运作,无法有效应对威胁。虽然云原生监控工具、容器安全解决方案和 EDR 系统提供了有价值的见解,但它们往往侧重于环境的特定层。通过使用 eBPF(扩展伯克利数据包过滤器)传感器,可以实现更全面的方法。eBPF 支持跨整个堆栈(网络、基础设施、工作负载和应用程序)进行深度、实时的可观测性,而不会中断生产环境。通过在内核级别运行,它可以在不增加性能开销的情况下提供可见性,使其成为强大的运行时安全解决方案。

以下是此步骤可利用的一些关键功能:

  • 拓扑图:显示混合云或多云资产的通信和连接方式。
  • 完全的资产可见性:在一个位置展示环境中的每项资产,包括集群、网络、数据库、密钥和操作系统。
  • 外部连接洞察:标识与外部实体的连接,包括有关来源国家/地区和 DNS 信息的详细信息。
  • 风险评估: 评估每项资产的风险水平及其对业务的影响。
第 2 步:使用多层检测策略

随着攻击者不断进化并逃避检测,在漏洞发生之前发现并阻止漏洞变得越来越困难。这样做的最大挑战在于检测云攻击企图,其中攻击者是隐蔽的,并利用多个攻击面(从网络利用到托管服务中的数据注入),同时通过云检测和响应 (CDR)、云工作负载检测和响应 (CWPP/EDR) 以及应用程序检测和响应 (ADR) 解决方案来逃避检测。事实证明,这种碎片化策略是不够的,它允许攻击者利用层之间的间隙而被忽视。

在单个平台中监控云、工作负载和应用程序层可提供最广泛的覆盖范围和保护。它能够将应用程序活动与基础设施变化实时关联起来,确保攻击不再从裂缝中溜走。

以下是此步骤可利用的一些关键功能:

  • 全栈检测:检测来自云、应用程序、工作负载、网络和 API 中多个来源的事件。
  • 异常检测:利用机器学习和行为分析来识别可能表明威胁的与正常活动模式的偏差。
  • 检测已知和未知威胁:根据签名、IoC、TTP 和 MITRE 已知策略精确定位事件。
  • 事件关联:关联不同来源的安全事件和警报,以识别模式和潜在威胁。
步骤 3:在与事件相同的窗格中查看漏洞#

当漏洞与事件数据隔离开来时,延迟响应和监督的可能性就会增加。这是因为安全团队最终缺乏他们需要的背景信息,无法了解漏洞是如何被利用的,或者缺乏修补漏洞与持续事件相关的紧迫性。

此外,当检测和响应工作利用运行时监控(如上所述)时,漏洞管理会变得更加有效,专注于主动和关键风险,从而将噪音降低 90% 以上。

以下是此步骤可利用的一些关键功能:

  • 风险优先级 - 根据关键标准评估漏洞,例如它们是否加载到应用程序内存中、是否执行、是否面向公众、可利用或可修复,以关注真正重要的威胁。
  • 根本原因发现 - 查找每个漏洞的根本原因(深入到映像层),以便尽快解决根问题并同时修复多个漏洞。
  • 修复验证 - 在部署映像之前利用对映像的临时扫描,以确保解决所有漏洞。
  • 法规遵守情况 - 列出所有活动漏洞作为 SBOM,以遵守合规性和区域法规。
第 4 步:合并身份以了解“谁”、“何时”和“如何”#

威胁行为者经常利用泄露的凭据来执行他们的攻击,参与凭据盗窃、帐户接管等。这使他们能够在环境中伪装成合法用户,并在数小时甚至数天内不被注意到。关键是能够检测到这种模拟,最有效的方法是为每个身份(人类或其他身份)建立基线。了解身份的典型访问模式后,检测异常行为就很容易了。

以下是此步骤可利用的一些关键功能:

  • 基线监控:实施监控工具,以捕获和分析用户和应用程序的基线行为。这些工具应跟踪访问模式、资源使用情况以及与数据的交互。
  • 人类身份安全: 与身份提供商集成,以了解人类身份使用情况,包括登录时间、位置、设备和行为,从而快速检测异常或未经授权的访问尝试。
  • 非人类身份安全性:跟踪非人类身份的使用情况,提供对他们与云资源交互的见解,并突出显示可能预示安全威胁的任何异常。
  • Secrets 安全:识别云环境中的每个密钥,跟踪其在运行时的使用方式,并突出显示它们是否得到安全管理或存在泄露风险。
第 5 步:为上下文干预提供大量响应操作#

每次违规尝试都有其独特的挑战需要克服,这就是为什么必须制定适应特定情况的灵活响应策略。例如,攻击者可能会部署需要立即终止的恶意进程,而不同的云事件可能涉及需要隔离以防止进一步损害的受损工作负载。一旦检测到事件,安全团队还需要上下文以便快速调查,例如全面的攻击故事、损害评估和响应手册。

以下是此步骤可利用的一些关键功能:

  • 剧本: 为检测到的每个事件提供逐个响应,以自信地干预和终止威胁。
  • 量身定制的攻击干预: 提供隔离受损工作负载、阻止未经授权的网络流量或终止恶意进程的能力。
  • 根本原因分析:确定事件的根本原因以防止再次发生。这包括分析攻击媒介、利用的漏洞和防御中的弱点。
  • SIEM 集成:与安全信息和事件管理 (SIEM) 系统集成,以使用上下文数据增强威胁检测。

通过实施这五个步骤,可以提高检测和响应能力,并精确地实时有效地阻止云泄露。

尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客