在云環(huán)境中,安全威脅可能有多個(gè)來源,包括惡意行為者、軟件漏洞和用戶錯(cuò)誤。為了有效檢測(cè)和應(yīng)對(duì)這些威脅,企業(yè)需要制定全面的安全策略,包括一系列用于監(jiān)控和保護(hù)其云環(huán)境的工具和技術(shù)。而CDR(云威脅檢測(cè)和響應(yīng))技術(shù)則被認(rèn)為是一種有效的創(chuàng)新云安全方法。CDR技術(shù)是以云計(jì)算應(yīng)用安全為目標(biāo),全面采集云環(huán)境下的應(yīng)用負(fù)載、網(wǎng)絡(luò)流量、文件、日志信息等多維度數(shù)據(jù),持續(xù)監(jiān)控云應(yīng)用的運(yùn)行狀態(tài),實(shí)時(shí)發(fā)現(xiàn)各種潛在的安全威脅。通過智能化的威脅分析,CDR技術(shù)可以通過感知上下文,確定安全告警的優(yōu)先級(jí)并消除誤報(bào),還可以幫助組織全面梳理云資產(chǎn)和工作負(fù)載數(shù)據(jù),整體評(píng)估云上應(yīng)用的安全態(tài)勢(shì)。
根據(jù)部署方式的差別,CDR解決方案主要可分為兩種類型:基于代理的CDR解決方案和無代理CDR解決方案,其中:
基于代理的CDR解決方案需要使用安裝在各種工作負(fù)載上代理,全面收集設(shè)備信息、流量數(shù)據(jù)、云流量、審計(jì)日志以及云服務(wù)商提供的其他數(shù)據(jù)。
無代理CDR解決方案采用快照掃描方法,從工作負(fù)載的運(yùn)行過程中實(shí)時(shí)收集各種數(shù)據(jù)信息,并通過API接口來檢索云配置的元數(shù)據(jù)。
通過應(yīng)用部署CDR技術(shù)方案,企業(yè)可以在多個(gè)階段獲得更好的安全性:
威脅檢測(cè)——CDR可以為跨云服務(wù)的攻擊提供持續(xù)安全監(jiān)控,并提供事件警報(bào);
事件調(diào)查——通過CDR工具,企業(yè)可以審查攻擊步驟、技術(shù)、時(shí)間表和可用數(shù)據(jù)的分析結(jié)果,以確定對(duì)威脅做出最優(yōu)化的響應(yīng);
應(yīng)急響應(yīng)——CDR的能力側(cè)重于幫助企業(yè)在云安全威脅造成實(shí)際破壞之前被發(fā)現(xiàn)并遏制,比如自動(dòng)修復(fù)或自動(dòng)轉(zhuǎn)發(fā)到工單系統(tǒng);
應(yīng)用彈性——CDR可以幫助安全分析師進(jìn)行溯源調(diào)查,并基于可用數(shù)據(jù)提供對(duì)潛在威脅的補(bǔ)救措施。
為了充分獲取CDR技術(shù)的應(yīng)用價(jià)值,安全研究人員建議企業(yè)組織在開展CDR建設(shè)時(shí)遵循以下幾個(gè)步驟。
01為CDR提供全面的資產(chǎn)清單
有效的CDR應(yīng)用需要全面的云資產(chǎn)清單數(shù)據(jù)。在這種情況下,組織應(yīng)該優(yōu)先選擇具有無代理功能的CDR解決方案。這種解決方案不僅可以自動(dòng)覆蓋所有云資產(chǎn),還可以實(shí)時(shí)檢測(cè)和監(jiān)控出現(xiàn)異常的工作負(fù)載、孤島系統(tǒng)以及無法支持代理的設(shè)備。由于很難在每個(gè)資產(chǎn)上安裝代理,基于代理的CDR方案在云資產(chǎn)覆蓋度方面會(huì)受到很大限制。
02深入洞察云環(huán)境
企業(yè)要清晰地了解整個(gè)云環(huán)境內(nèi)部的各種運(yùn)行情況,主要包括以下各層的現(xiàn)有風(fēng)險(xiǎn)和威脅:
云基礎(chǔ)設(shè)施層——組織需要深入了解哪些資產(chǎn)在哪些網(wǎng)絡(luò)上運(yùn)行、誰(shuí)有權(quán)訪問它們。
操作系統(tǒng)層——除了檢查適當(dāng)?shù)牟僮飨到y(tǒng)配置外,CDR方案還應(yīng)該檢查用戶權(quán)限是否合規(guī)以及是否打上了所有必需的補(bǔ)丁。
應(yīng)用程序?qū)?mdash;—組織需要深入了解所有安裝的應(yīng)用程序及其配置,它們應(yīng)該掃描查找漏洞和不安全的補(bǔ)丁。
身份層——組織需要深入了解云身份和訪問管理系統(tǒng)的權(quán)限和賬戶,以便發(fā)現(xiàn)用戶和角色在使用行為方面的異常情況。
API層——組織必須深入了解并檢測(cè)可能惡意的API使用行為,并了解攻擊者如何利用環(huán)境中現(xiàn)有的API漏洞和風(fēng)險(xiǎn)。
數(shù)據(jù)層——深入了解數(shù)據(jù)內(nèi)容對(duì)于保護(hù)組織含有敏感數(shù)據(jù)的核心資產(chǎn)和服務(wù)器至關(guān)重要。
03獲取全面的云監(jiān)控?cái)?shù)據(jù)
有效的CDR解決方案應(yīng)該能夠全面收集云監(jiān)控?cái)?shù)據(jù)。主流云服務(wù)提供商(CSP)都會(huì)提供自己的內(nèi)置云威脅檢測(cè)功能,CDR解決方案需要能夠訪問其中的許多服務(wù)。大多數(shù)CSP會(huì)結(jié)合使用遙測(cè)數(shù)據(jù)源來識(shí)別攻擊,包括利用分析工具的網(wǎng)絡(luò)流量日志和補(bǔ)充性的威脅情報(bào)源。在比較CDR檢測(cè)和響應(yīng)解決方案時(shí),應(yīng)重點(diǎn)考量其對(duì)海量數(shù)據(jù)信息的獲取和分析能力。
04智能分析上下文
一款有效的CDR安全平臺(tái)應(yīng)該使用中央數(shù)據(jù)模型來收集和關(guān)聯(lián)每個(gè)云資產(chǎn)的上下文信息,比如關(guān)于云工作負(fù)載和配置的詳細(xì)信息,以及組織內(nèi)外云通信方面的潛在風(fēng)險(xiǎn)。這種上下文數(shù)據(jù)感知能力是確保企業(yè)安全團(tuán)隊(duì)迅速識(shí)別和修復(fù)嚴(yán)重安全問題的關(guān)鍵,基于威脅嚴(yán)重性的評(píng)估可以幫助安全團(tuán)隊(duì)將工作重心放在最容易被利用的攻擊路徑上。
05與現(xiàn)有的云安全運(yùn)營(yíng)流程整合
網(wǎng)絡(luò)攻擊者以越來越快的速度攻擊存儲(chǔ)在云端的應(yīng)用程序和信息。因此,組織有必要確保云檢測(cè)和響應(yīng)能力是其云安全運(yùn)營(yíng)工作的一個(gè)組成部分。為了快速評(píng)估和解決問題,安全團(tuán)隊(duì)必須將CDR解決方案集成到現(xiàn)有的安全運(yùn)營(yíng)工作流程中,包括使用處置編排、警報(bào)服務(wù)、SIEM和工單系統(tǒng)。這些集成將幫助企業(yè)的安全運(yùn)營(yíng)中心提高自動(dòng)化水平,縮短修復(fù)時(shí)間。此外,CDR技術(shù)必須提供有關(guān)活動(dòng)威脅的詳細(xì)信息,幫助組織能夠快速開展調(diào)查和響應(yīng)。
參考鏈接:https://orca.security/resources/blog/5-steps-to-effective-cdr/
