在云環境中,安全威脅可能有多個來源,包括惡意行為者、軟件漏洞和用戶錯誤。為了有效檢測和應對這些威脅,企業需要制定全面的安全策略,包括一系列用于監控和保護其云環境的工具和技術。而CDR(云威脅檢測和響應)技術則被認為是一種有效的創新云安全方法。CDR技術是以云計算應用安全為目標,全面采集云環境下的應用負載、網絡流量、文件、日志信息等多維度數據,持續監控云應用的運行狀態,實時發現各種潛在的安全威脅。通過智能化的威脅分析,CDR技術可以通過感知上下文,確定安全告警的優先級并消除誤報,還可以幫助組織全面梳理云資產和工作負載數據,整體評估云上應用的安全態勢。
根據部署方式的差別,CDR解決方案主要可分為兩種類型:基于代理的CDR解決方案和無代理CDR解決方案,其中:
基于代理的CDR解決方案需要使用安裝在各種工作負載上代理,全面收集設備信息、流量數據、云流量、審計日志以及云服務商提供的其他數據。
無代理CDR解決方案采用快照掃描方法,從工作負載的運行過程中實時收集各種數據信息,并通過API接口來檢索云配置的元數據。
通過應用部署CDR技術方案,企業可以在多個階段獲得更好的安全性:
威脅檢測——CDR可以為跨云服務的攻擊提供持續安全監控,并提供事件警報;
事件調查——通過CDR工具,企業可以審查攻擊步驟、技術、時間表和可用數據的分析結果,以確定對威脅做出最優化的響應;
應急響應——CDR的能力側重于幫助企業在云安全威脅造成實際破壞之前被發現并遏制,比如自動修復或自動轉發到工單系統;
應用彈性——CDR可以幫助安全分析師進行溯源調查,并基于可用數據提供對潛在威脅的補救措施。
為了充分獲取CDR技術的應用價值,安全研究人員建議企業組織在開展CDR建設時遵循以下幾個步驟。
01為CDR提供全面的資產清單
有效的CDR應用需要全面的云資產清單數據。在這種情況下,組織應該優先選擇具有無代理功能的CDR解決方案。這種解決方案不僅可以自動覆蓋所有云資產,還可以實時檢測和監控出現異常的工作負載、孤島系統以及無法支持代理的設備。由于很難在每個資產上安裝代理,基于代理的CDR方案在云資產覆蓋度方面會受到很大限制。
02深入洞察云環境
企業要清晰地了解整個云環境內部的各種運行情況,主要包括以下各層的現有風險和威脅:
云基礎設施層——組織需要深入了解哪些資產在哪些網絡上運行、誰有權訪問它們。
操作系統層——除了檢查適當的操作系統配置外,CDR方案還應該檢查用戶權限是否合規以及是否打上了所有必需的補丁。
應用程序層——組織需要深入了解所有安裝的應用程序及其配置,它們應該掃描查找漏洞和不安全的補丁。
身份層——組織需要深入了解云身份和訪問管理系統的權限和賬戶,以便發現用戶和角色在使用行為方面的異常情況。
API層——組織必須深入了解并檢測可能惡意的API使用行為,并了解攻擊者如何利用環境中現有的API漏洞和風險。
數據層——深入了解數據內容對于保護組織含有敏感數據的核心資產和服務器至關重要。
03獲取全面的云監控數據
有效的CDR解決方案應該能夠全面收集云監控數據。主流云服務提供商(CSP)都會提供自己的內置云威脅檢測功能,CDR解決方案需要能夠訪問其中的許多服務。大多數CSP會結合使用遙測數據源來識別攻擊,包括利用分析工具的網絡流量日志和補充性的威脅情報源。在比較CDR檢測和響應解決方案時,應重點考量其對海量數據信息的獲取和分析能力。
04智能分析上下文
一款有效的CDR安全平臺應該使用中央數據模型來收集和關聯每個云資產的上下文信息,比如關于云工作負載和配置的詳細信息,以及組織內外云通信方面的潛在風險。這種上下文數據感知能力是確保企業安全團隊迅速識別和修復嚴重安全問題的關鍵,基于威脅嚴重性的評估可以幫助安全團隊將工作重心放在最容易被利用的攻擊路徑上。
05與現有的云安全運營流程整合
網絡攻擊者以越來越快的速度攻擊存儲在云端的應用程序和信息。因此,組織有必要確保云檢測和響應能力是其云安全運營工作的一個組成部分。為了快速評估和解決問題,安全團隊必須將CDR解決方案集成到現有的安全運營工作流程中,包括使用處置編排、警報服務、SIEM和工單系統。這些集成將幫助企業的安全運營中心提高自動化水平,縮短修復時間。此外,CDR技術必須提供有關活動威脅的詳細信息,幫助組織能夠快速開展調查和響應。
參考鏈接:https://orca.security/resources/blog/5-steps-to-effective-cdr/
