CDR(云威胁检测和响应)技术应用五步曲
随着越来越多的企业将业务应用转移到云端,制定有效的云安全防护措施正变得越来越重要。但遗憾的是,很多在本地环境中有效应用的安全措施难以被应用于云上,而目前的云安全工具侧重于对已知风险的识别和管理,比如控制系统的错误配置、应用程序的漏洞监测以及云上数据的合规管理。
在云环境中,安全威胁可能有多个来源,包括恶意行为者、软件漏洞和用户错误。为了有效检测和应对这些威胁,企业需要制定全面的安全策略,包括一系列用于监控和保护其云环境的工具和技术。而CDR(云威胁检测和响应)技术则被认为是一种有效的创新云安全方法。CDR技术是以云计算应用安全为目标,全面采集云环境下的应用负载、网络流量、文件、日志信息等多维度数据,持续监控云应用的运行状态,实时发现各种潜在的安全威胁。通过智能化的威胁分析,CDR技术可以通过感知上下文,确定安全告警的优先级并消除误报,还可以帮助组织全面梳理云资产和工作负载数据,整体评估云上应用的安全态势。
根据部署方式的差别,CDR解决方案主要可分为两种类型:基于代理的CDR解决方案和无代理CDR解决方案,其中:
- 基于代理的CDR解决方案需要使用安装在各种工作负载上代理,全面收集设备信息、流量数据、云流量、审计日志以及云服务商提供的其他数据。
- 无代理CDR解决方案采用快照扫描方法,从工作负载的运行过程中实时收集各种数据信息,并通过API接口来检索云配置的元数据。
通过应用部署CDR技术方案,企业可以在多个阶段获得更好的安全性:
- 威胁检测——CDR可以为跨云服务的攻击提供持续安全监控,并提供事件警报;
- 事件调查——通过CDR工具,企业可以审查攻击步骤、技术、时间表和可用数据的分析结果,以确定对威胁做出最优化的响应;
- 应急响应——CDR的能力侧重于帮助企业在云安全威胁造成实际破坏之前被发现并遏制,比如自动修复或自动转发到工单系统;
- 应用弹性——CDR可以帮助安全分析师进行溯源调查,并基于可用数据提供对潜在威胁的补救措施。
为了充分获取CDR技术的应用价值,安全研究人员建议企业组织在开展CDR建设时遵循以下几个步骤。
为CDR提供全面的资产清单
有效的CDR应用需要全面的云资产清单数据。在这种情况下,组织应该优先选择具有无代理功能的CDR解决方案。这种解决方案不仅可以自动覆盖所有云资产,还可以实时检测和监控出现异常的工作负载、孤岛系统以及无法支持代理的设备。由于很难在每个资产上安装代理,基于代理的CDR方案在云资产覆盖度方面会受到很大限制。
深入洞察云环境
企业要清晰地了解整个云环境内部的各种运行情况,主要包括以下各层的现有风险和威胁:
- 云基础设施层——组织需要深入了解哪些资产在哪些网络上运行、谁有权访问它们。
- 操作系统层——除了检查适当的操作系统配置外,CDR方案还应该检查用户权限是否合规以及是否打上了所有必需的补丁。
- 应用程序层——组织需要深入了解所有安装的应用程序及其配置,它们应该扫描查找漏洞和不安全的补丁。
- 身份层——组织需要深入了解云身份和访问管理系统的权限和账户,以便发现用户和角色在使用行为方面的异常情况。
- API层——组织必须深入了解并检测可能恶意的API使用行为,并了解攻击者如何利用环境中现有的API漏洞和风险。
- 数据层——深入了解数据内容对于保护组织含有敏感数据的核心资产和服务器至关重要。
获取全面的云监控数据
有效的CDR解决方案应该能够全面收集云监控数据。主流云服务提供商(CSP)都会提供自己的内置云威胁检测功能,CDR解决方案需要能够访问其中的许多服务。大多数CSP会结合使用遥测数据源来识别攻击,包括利用分析工具的网络流量日志和补充性的威胁情报源。在比较CDR检测和响应解决方案时,应重点考量其对海量数据信息的获取和分析能力。
智能分析上下文
一款有效的CDR安全平台应该使用中央数据模型来收集和关联每个云资产的上下文信息,比如关于云工作负载和配置的详细信息,以及组织内外云通信方面的潜在风险。这种上下文数据感知能力是确保企业安全团队迅速识别和修复严重安全问题的关键,基于威胁严重性的评估可以帮助安全团队将工作重心放在最容易被利用的攻击路径上。
与现有的云安全运营流程整合
网络攻击者以越来越快的速度攻击存储在云端的应用程序和信息。因此,组织有必要确保云检测和响应能力是其云安全运营工作的一个组成部分。为了快速评估和解决问题,安全团队必须将CDR解决方案集成到现有的安全运营工作流程中,包括使用处置编排、警报服务、SIEM和工单系统。这些集成将帮助企业的安全运营中心提高自动化水平,缩短修复时间。此外,CDR技术必须提供有关活动威胁的详细信息,帮助组织能够快速开展调查和响应。
