Site icon Kiber.ba

5 koraka za poboljšanje otkrivanja i odgovora u višeslojnom cloud-u

5 koraka za poboljšanje otkrivanja i odgovora u višeslojnom cloud-u-Kiber.ba

5 koraka za poboljšanje otkrivanja i odgovora u višeslojnom cloud-u-Kiber.ba

Veza između praksi otkrivanja i odgovora (DR) i sigurnosti u cloud-u je kroz istoriju bila slaba. Kako globalne organizacije sve više usvajaju okruženja u cloud-u, sigurnosne strategije su se u velikoj mjeri fokusirale na prakse “pomak-lijevo” – osiguranje koda, osiguravanje pravilnog položaja u cloud-u i ispravljanje pogrešnih konfiguracija. Međutim, ovaj pristup je doveo do prevelikog oslanjanja na mnoštvo DR alata koji obuhvataju infrastrukturu cloud-a, radna opterećenja, pa čak i aplikacije. Uprkos ovim naprednim alatima, organizacijama često trebaju sedmice ili čak mjeseci da identifikuju i riješe incidente.

Dodajte ovome izazove širenja alata, rastuće troškove sigurnosti u cloud-u i ogromne količine lažnih pozitivnih rezultata, i postaje jasno da su sigurnosni timovi preopterećeni. Mnogi su primorani da donose teške odluke o tome od kojih proboja oblaka mogu realno da se odbrane.

Prateći ovih pet ciljanih koraka, sigurnosni timovi mogu uvelike poboljšati svoje mogućnosti otkrivanja u realnom vremenu i odgovora na napade u oblaku.

Korak 1: Dodajte vidljivost i zaštitu u vremenu izvođenja

Kada bezbjednosni timovi nemaju vidljivost u realnom vremenu, oni u suštini rade na slepo, nesposobni da efikasno odgovore na pretnje. Dok alati za nadzor koji su izvorni u cloud-u, rješenja za sigurnost kontejnera i EDR sistemi nude vrijedne uvide, oni se obično fokusiraju na specifične slojeve okruženja. Sveobuhvatniji pristup postiže se korištenjem eBPF (Extended Berkeley Packet Filter) senzora. eBPF omogućava duboku vidljivost u realnom vremenu kroz čitav stog – mrežu, infrastrukturu, radna opterećenja i aplikacije – bez ometanja proizvodnog okruženja. Radeći na nivou kernela, pruža vidljivost bez dodavanja dodatnih troškova performansi, što ga čini moćnim rješenjem za sigurnost tokom izvršavanja.

Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:

Korak 2: Koristite višeslojnu strategiju otkrivanja

https://thehackernews.com/2024/10/5-steps-to-boost-detection-and-response.html

Nadgledanje cloud-a, radnih opterećenja i slojeva aplikacija na jednoj platformi pruža najširu pokrivenost i zaštitu. Omogućuje korelaciju aktivnosti aplikacije sa infrastrukturnim promjenama u realnom vremenu, osiguravajući da napadi više ne prolaze kroz pukotine.

Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:

Korak 3: Pregledajte ranjivosti u istom oknu kao i vaši incidenti

Kada se ranjivosti izoluju iz podataka o incidentima, povećava se potencijal za odložene odgovore i nadzor. To je zato što sigurnosni timovi na kraju nemaju kontekst koji im je potreban da shvate kako se ranjivosti iskorištavaju ili hitnost njihovog zakrpanja u vezi s tekućim incidentima.

Pored toga, kada napori za otkrivanje i reagovanje koriste praćenje vremena izvršavanja (kao što je gore objašnjeno), upravljanje ranjivostima postaje mnogo efikasnije, fokusirajući se na aktivne i kritične rizike kako bi se smanjila buka za više od 90% .

Evo nekoliko ključnih sposobnosti koje treba Korak 5: Imajte na raspolaganju mnoštvo akcija odgovora za kontekstualnu intervenciju iskoristiti za ovaj korak:

Korak 4: Uključite identitete da biste razumjeli “ko”, “kada” i “kako”

Hakeri često koriste kompromitovane akredative kako bi izvršili svoje napade, upuštajući se u krađu akreditiva, preuzimanje računa i još mnogo toga. To im omogućava da se maskiraju u legitimne korisnike unutar okruženja i ostanu neprimijećeni satima ili čak danima. Ključ je u mogućnosti da otkrijete ovo lažno predstavljanje, a najefikasniji način za to je uspostavljanje osnovne linije za svaki identitet, ljudski ili drugi. Jednom kada se shvati tipičan obrazac pristupa identitetu, otkrivanje neobičnog ponašanja je lako.

Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:

Korak 5: Imajte na raspolaganju mnoštvo akcija odgovora za kontekstualnu intervenciju

Svaki pokušaj kršenja ima svoje jedinstvene izazove koje treba prevazići, zbog čega je bitno imati fleksibilnu strategiju odgovora koja se prilagođava specifičnoj situaciji. Na primjer, napadač može primijeniti maliciozni proces koji zahtijeva trenutni prekid, dok drugačiji događaj u cloud-u može uključivati ​​ugroženo radno opterećenje koje treba staviti u karantin kako bi se spriječila daljnja šteta. Jednom kada se otkrije incident, timovima za sigurnost također je potreban kontekst kako bi brzo istražili, kao što su sveobuhvatne priče o napadima, procjene štete i vodiči za reagovanje.

Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:

Izvor:The Hacker News

Exit mobile version