有效雲檢測和響應的5步

Gartner預測，2022年全球公共雲服務支出將增長20.4%。這是由於容器、Kubernetes和無伺服器等雲原生應用程式架構的出現，使組織更容易在雲中部署應用程式，這導致了公共雲基礎設施的採用率增加。

與此同時，IDC的一項調查顯示，98%的公司在2021年經歷了雲資料洩露，這一比例相當高，高於2020年的79%。不幸的是，內部部署安全解決方案不完全適用於雲。

許多雲安全工具專注於識別和警告潛在風險，如控制平面錯誤配置、工作負載和應用程式漏洞以及不安全的秘密管理。鑑於資料洩露的明顯增加，公司需要在現代雲安全中採用雲檢測和響應(CDR)。

什麼是雲檢測和響應(CDR)?

雲檢測和響應是一種新的雲安全方法，專注於檢測和響應雲中的攻擊。

雲檢測和響應工具在大型和小型組織中都有使用。大型組織使用安全運維中心(SOC)或事件響應(IR)團隊來防止攻擊。SOC和IR團隊使用MITRE ATT&CK(MITRE對抗戰術、技術和常識)和NIST CSF(網路安全框架)作為團隊框架。另一方面，小型組織使用自己的IT團隊或外包服務，如託管檢測和響應(MDR)。

CDR是如何工作的?

有兩種型別的CDR解決方案：基於代理的解決方案和無代理解決方案。

基於代理的解決方案使用安裝在工作負載上的代理。它們結合了來自端點、流量分析、雲流量和審計日誌的資訊，以及來自雲服務提供商的可用資料。

無代理解決方案採用快照掃描方法，從工作負載的執行時塊儲存外部收集資料，並透過API檢索雲配置後設資料。

CDR工具在以下階段為客戶帶來價值：

——檢測：它們為跨雲服務的攻擊提供持續監控，並提供警報功能。

——調查：它們審查攻擊步驟、技術、時間表和對可用資料的分析，以確定對威脅的必要反應。

——響應：它們的功能側重於確保在雲威脅造成損害之前將其控制住，例如自動修復或自動轉發到票務系統。

——彈性：它們有助於調查，並根據現有資料提供潛在的補救措施。

CDR如何幫助確定警報優先順序

雲檢測和響應解決方案應用警報優先順序，幫助團隊首先解決最關鍵的風險，並消除誤報。CDR工具提供了對雲資產和工作負載資料的完全可見性，這作為雲安全的上下文資料。

CDR工具可以根據警報對業務的影響、攻擊者對雲資產的可訪問性以及利用上下文感知安全情報進行橫向移動的可能性來分析警報的嚴重性。因此，安全團隊被引導到最關鍵的、對業務有害的攻擊路徑。

CDR入門的5個步驟

要有效地獲得雲檢測和響應的好處，請執行以下步驟。

1.實現完全資產覆蓋

有效的雲檢測和響應需要完整的資產覆蓋。在這種情況下，你必須選擇一個具有無代理功能的可靠CDR解決方案。該解決方案不僅可以自動覆蓋所有云資產，還可以檢測和監控空閒、暫停和停止的工作負載、無法支援代理的孤立系統和裝置。

由於很難在每個資產上安裝代理，因此基於代理的解決方案不適合覆蓋資產，因為它們無法提供完整的覆蓋範圍。

2.實現雲環境的深度可見性

為了更好地瞭解整個雲環境中發生的事情，你必須意識到以下各層的現有風險和威脅：

——雲基礎設施級別：需要了解哪些資產在哪些網路上執行，以及誰可以訪問這些資產。

——作業系統級別：除了檢查作業系統配置是否正確外，CDR工具還應檢查使用者許可權合規性以及是否已應用所有必需的修補程式。

——應用程式級別：組織需要檢視所有已安裝的應用程式及其配置，並應掃描漏洞和不安全的修補程式。

——身份級別：需要了解身份和訪問管理系統的許可權和賬戶，以便檢測使用者和角色行為中的異常情況。

——API級別：必須實現可見性，以便檢測潛在的惡意行為，並瞭解攻擊者如何利用環境中現有的API漏洞和風險。

——資料級別：資料庫存的可見性對於保護組織的資料和包含敏感資料的伺服器至關重要。

3.獲得全面的雲遙測

一個有效的CDR解決方案應該能夠收集資料。雲服務提供商(CSP)提供內建雲威脅檢測功能，CDR解決方案可以訪問其中許多服務。大多數CSP使用遙測源的組合來識別攻擊，包括利用分析和補充威脅情報來源的網路流量日誌。當考慮CDR檢測和響應選項時，請尋找一個單一的、集中的平臺，該平臺可以接收、聚合、分析和呈現資料和帶有上下文的遙測。

4.實現上下文智慧

一個有效的CDR安全平臺應該使用中央資料模型來收集和關聯每個資產的上下文資訊，例如雲工作負載和配置的詳細資訊，以及外部和內部雲通訊中的潛在風險。這些上下文感知資料是確保安全團隊根據其嚴重程度，將精力集中在最具剝削性的攻擊路徑上，從而迅速識別和解決最關鍵問題的關鍵。

5.開發工作流整合

為了快速評估和解決問題，安全團隊必須將CDR解決方案納入其工作流。通常使用補救協調、警報服務、SIEM、SOAR和票務系統，以及將CDR解決方案納入流程技術整合。這些整合將使SOC和IR團隊能夠提高自動化和生產力，並縮短修復時間。它們還應使安全團隊能夠組織、修改自動警報，並將其納入正在進行的運維中。

結論：將CDR整合到雲安全戰略中

網路攻擊者以越來越快的速度攻擊儲存在雲中的應用程式和資訊。因此，對於組織來說，確保雲檢測和響應能力是其雲安全運維不可或缺的一部分是很重要的。此外，CDR平臺必須提供關於主動威脅的清晰和可操作的資訊，並能夠在不產生額外噪音的情況下進行快速調查和響應。