什么是云检测和响应? 

云检测和响应(CDR)是安全专家构建系统的过程,该系统可以在包括内部部署和云系统在内的短暂混合环境中检测和响应潜在威胁. 

由于这种环境的混合性质——当今数字化转型世界的新常态——存在于这种动态基础设施上的私人和面向公共的资产的安全都是极具挑战性的.

的确, Forrester的 云检测和响应综合指南 “云基础设施的检测和响应与传统基础设施的根本不同,这对安全运营团队来说是一个挑战.”

在一个单独的 Forrester的文章, 首席分析师艾莉·梅伦, 安德拉斯玩cs游戏的人, 和杰夫·波拉德解释了云检测和响应是如何分为三个检测表面的:

  • 控制飞机:通常由一个软件定义网络(SDN)控制器或一组控制器组成, 据此,控制器将为数据平面定义规则,并包含有关网络状态的大多数重要信息和可能发出潜在威胁信号的警报. 
  • 数据平面:数据包持续产生资源使用日志,可以通过自动扫描发现操作异常. 这个平面讲述了在云中运行的工作负载的“主要故事”.
  • 管理平面这也可以被称为这些检测表面的“控制中心”, 因为它定义了控制平面和数据平面的规则,并提供了管理云资源的接口. 

云检测和响应是如何工作的? 

云检测和响应通过优先处理来自各种运行时资源和云服务提供商(csp)的警报,从而实现更快的情报风险分析. 

有效CDR解决方案的理想状态是整合所有运行时 威胁检测 通过获得更好的安全环境. 然后,这些发现可以与受影响的云资源及其属性相关联. 这种类型的上下文驱动的风险管理提供了对云环境每一层的深入可见性,以帮助确定风险的优先级并确定被利用的可能性.

因为开发人员的任务是利用云环境提供的更高效率, 工作量将以更快的速度增加. 在云中采用更全面的方法来处理运行时安全性将需要将安全性向左转移,并形成一个真正的 DevSecOps 组织. 当安全性更紧密地集成到软件过程中时,要注意团队之间潜在的摩擦增加.

因此,在云环境中或跨云环境工作时,实现动态CDR解决方案变得至关重要. 这种类型的解决方案应该能够:

  • 快速提供配置更改的实时可见性, 漏洞, 以及云环境中的可疑行为
  • 利用统一的数据模型来标准化资产清单,从而实现跨csp的策略整合
  • 向中央仪表板交付所需的上下文,以帮助加快优先级排序, 通知, 对最重大的风险进行补救

功能还应该包括整合本地和第三方运行时威胁检测——以及上面提到的丰富功能——以便更快地检测和分析潜在威胁.

云检测和响应的重要性

云基础设施是特别动态的. 在不断变化的虚拟资产和复杂的云配置之间, 对于一个毫无准备的组织来说,它很快就会变得难以有效地查明和响应威胁.

另外, 产生的大量数据可以掩盖恶意活动, 需要先进的监测和分析工具. 因此, 随着越来越多的企业将IT基础设施和开发操作转移到云端, 多重云, 或者混合环境, 对于安全组织来说,能够在潜在威胁造成实际损害之前检测到它们变得至关重要. 让我们来看看有效的CDR解决方案的一些好处.

减少风险

这似乎是一个包罗万象的网络安全术语, 但有必要重申一下, 随着组织转向基于云的操作, 其风险几乎立即呈指数增长.

有效的CDR解决方案应该能够通过诸如持续发现容器映像和云部署的工作负载以及帮助启动这些工作负载的资源等功能提供改进的可见性和控制. CDR可以帮助快速降低由于这些活动部件中的一个不能正常工作而产生的风险,并可能产生新的风险 网络安全 漏洞.

改进的IaC安全性

Infrastructure-as-Code (IaC) 随着关键的面向客户的工作负载转移到云环境并以更快的速度部署以服务客户,安全性变得非常重要. CDR解决方案应该能够自动扫描和检测IaC模板中的异常.

通过在整个过程中使用一组一致的安全检查,这将有助于纠正错误配置和策略违反 持续集成/持续交付(CI/CD) 管道.

云检测和响应的关键组件

从标准组件到云安全平台的更新和发展方面, 让我们介绍一下现代CDR解决方案应该包含的一些关键功能,以便在工作负载运行时有效地保护它们. 

统一威胁分析

此CDR功能应该能够向用户展示来自多个客户资源和csp的运行时威胁检测的完整视图. 这 云原生应用保护平台(CNAPP) 功能支持更快的情报分析、风险检测和补救优先级排序.

攻击签名

CDR解决方案的另一个关键组件对企业的未来至关重要 安全运营中心(SOC):学习战术、技术和程序(TTPs) 威胁的演员 这样组织就不会成为同一攻击者的常规目标. 随着时间的推移,学习这些http和签名的自动化过程可以很好地引入下一个功能. 

人工智能辅助检测

利用人工智能检测云异常正变得越来越普遍. 将AI作为安全武器库的一部分不再是可选的,而是必须的.

人工智能辅助的云异常检测可以通过自动搜索行为异常并根据历史数据快速确定潜在风险的优先级,从而提高SOC的有效性. 通过专注于检测恶意活动,而不依赖于特定的预配置攻击指示器,通常可以减少误报警报.

这种类型的AI引擎还可以考虑可疑活动的背景, 考虑同一主体最近的操作,并自动适应总体活动概要文件和云环境的变化.

什么是云检测和响应服务? 

话单服务是一种服务,其中的提供者提供 网络安全 服务与客户合作,执行该客户的部分或大部分任务 云安全 需要. 可以合理地期望此类提供商提供以下服务: 

  • 实时可见性这个系统只适用于尽可能接近实时的数据流. 以现在为中心查看整个环境中运行的所有内容, SOC可以有效地对抗最直接的威胁. 
  • 持续的监控实时监控必须随时进行. 自动的,连续的监控网络 攻击表面 是识别可疑行为的关键. 
  • 检测和响应:当警报被认为是可操作的, 关键是要根据既定的剧本迅速做出反应. 没有人想要花太多时间去建立一个适当的威胁响应去对抗一个新的攻击. 
  • 风险优先级:一旦CDR解决方案应用了适当的上下文, 一个潜在的风险可以被分配一个分数和适当的优先级,这样SOC的资源和能源就不会浪费. 

当人们和设备跳上跳下网络时, 这些资产之间的关系不断变化. 在这种短暂的状态下,新的漏洞很快就会产生——并被利用.

这就是为什么CDR服务提供商应该能够利用其所有强大的功能来创建有效的 网络检测与响应(NDR) 通过实时监控来保护混合网络完整性的协议 用户和实体行为分析.

阅读更多

云安全:最新的Rapid7博客文章