Veza između praksi otkrivanja i odgovora (DR) i sigurnosti u cloud-u je kroz istoriju bila slaba. Kako globalne organizacije sve više usvajaju okruženja u cloud-u, sigurnosne strategije su se u velikoj mjeri fokusirale na prakse “pomak-lijevo” – osiguranje koda, osiguravanje pravilnog položaja u cloud-u i ispravljanje pogrešnih konfiguracija. Međutim, ovaj pristup je doveo do prevelikog oslanjanja na mnoštvo DR alata koji obuhvataju infrastrukturu cloud-a, radna opterećenja, pa čak i aplikacije. Uprkos ovim naprednim alatima, organizacijama često trebaju sedmice ili čak mjeseci da identifikuju i riješe incidente.
Dodajte ovome izazove širenja alata, rastuće troškove sigurnosti u cloud-u i ogromne količine lažnih pozitivnih rezultata, i postaje jasno da su sigurnosni timovi preopterećeni. Mnogi su primorani da donose teške odluke o tome od kojih proboja oblaka mogu realno da se odbrane.
Prateći ovih pet ciljanih koraka, sigurnosni timovi mogu uvelike poboljšati svoje mogućnosti otkrivanja u realnom vremenu i odgovora na napade u oblaku.
Korak 1: Dodajte vidljivost i zaštitu u vremenu izvođenja
Kada bezbjednosni timovi nemaju vidljivost u realnom vremenu, oni u suštini rade na slepo, nesposobni da efikasno odgovore na pretnje. Dok alati za nadzor koji su izvorni u cloud-u, rješenja za sigurnost kontejnera i EDR sistemi nude vrijedne uvide, oni se obično fokusiraju na specifične slojeve okruženja. Sveobuhvatniji pristup postiže se korištenjem eBPF (Extended Berkeley Packet Filter) senzora. eBPF omogućava duboku vidljivost u realnom vremenu kroz čitav stog – mrežu, infrastrukturu, radna opterećenja i aplikacije – bez ometanja proizvodnog okruženja. Radeći na nivou kernela, pruža vidljivost bez dodavanja dodatnih troškova performansi, što ga čini moćnim rješenjem za sigurnost tokom izvršavanja.
Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:
- Grafovi topologije: Prikazuje kako hibridna ili multi-cloud sredstva komuniciraju i povezuju se.
- Potpuna vidljivost imovine: prikazuje svako sredstvo u okruženju, uključujući klastere, mreže, baze podataka, tajne i operativne sisteme, sve na jednom mjestu.
- Uvid u eksternu povezanost: identifikuje veze sa spoljnim entitetima, uključujući detalje o zemlji porekla i DNS informacije.
- Procjena rizika: Procijenite nivo rizika svake imovine, zajedno sa njenim uticajem na poslovanje.
Korak 2: Koristite višeslojnu strategiju otkrivanja
Nadgledanje cloud-a, radnih opterećenja i slojeva aplikacija na jednoj platformi pruža najširu pokrivenost i zaštitu. Omogućuje korelaciju aktivnosti aplikacije sa infrastrukturnim promjenama u realnom vremenu, osiguravajući da napadi više ne prolaze kroz pukotine.
Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:
- Full-Stack Detection : Otkriva incidente iz više izvora širom oblaka, aplikacija, radnih opterećenja, mreža i API-ja.
- Detekcija anomalija : Koristi mašinsko učenje i analizu ponašanja za identifikaciju odstupanja od normalnih obrazaca aktivnosti koji mogu ukazivati na pretnju.
- Otkriva poznate i nepoznate prijetnje: Određuje događaje prema potpisima, IoC-ovima, TTP-ovima i poznatim taktikama MITER-a.
- Korelacija incidenata: Povezuje sigurnosne događaje i upozorenja u različitim izvorima kako bi se identificirali obrasci i potencijalne prijetnje.
Korak 3: Pregledajte ranjivosti u istom oknu kao i vaši incidenti
Kada se ranjivosti izoluju iz podataka o incidentima, povećava se potencijal za odložene odgovore i nadzor. To je zato što sigurnosni timovi na kraju nemaju kontekst koji im je potreban da shvate kako se ranjivosti iskorištavaju ili hitnost njihovog zakrpanja u vezi s tekućim incidentima.
Pored toga, kada napori za otkrivanje i reagovanje koriste praćenje vremena izvršavanja (kao što je gore objašnjeno), upravljanje ranjivostima postaje mnogo efikasnije, fokusirajući se na aktivne i kritične rizike kako bi se smanjila buka za više od 90% .
Evo nekoliko ključnih sposobnosti koje treba Korak 5: Imajte na raspolaganju mnoštvo akcija odgovora za kontekstualnu intervenciju iskoristiti za ovaj korak:
- Određivanje prioriteta rizika – Procjenjuje ranjivosti prema kritičnim kriterijima – kao što su da li su učitane u memoriju aplikacije, da li su izvršene, javno suočene, iskoristive ili popravljive – da se fokusira na prijetnje koje su stvarno važne.
- Otkrivanje korijenskog uzroka – Pronalazi korijenski uzrok za svaku ranjivost (dubokhttps://thehackernews.com/2024/10/5-steps-to-boost-detection-and-response.htmlo kao sloj slike) kako bi se što prije riješio korijen i popravio više ranjivosti odjednom.
- Validacija popravki – Koristi ad-hoc skeniranje slika prije njihove primjene kako bi se osiguralo da su sve ranjivosti riješene.
- Poštovanje propisa – navodi sve aktivne ranjivosti kao SBOM za pridržavanje usklađenosti i regionalnih propisa.
Korak 4: Uključite identitete da biste razumjeli “ko”, “kada” i “kako”
Hakeri često koriste kompromitovane akredative kako bi izvršili svoje napade, upuštajući se u krađu akreditiva, preuzimanje računa i još mnogo toga. To im omogućava da se maskiraju u legitimne korisnike unutar okruženja i ostanu neprimijećeni satima ili čak danima. Ključ je u mogućnosti da otkrijete ovo lažno predstavljanje, a najefikasniji način za to je uspostavljanje osnovne linije za svaki identitet, ljudski ili drugi. Jednom kada se shvati tipičan obrazac pristupa identitetu, otkrivanje neobičnog ponašanja je lako.
Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:
- Praćenje osnovnog stanja: Implementira alate za praćenje koji hvataju i analiziraju osnovno ponašanje i za korisnike i za aplikacije. Ovi alati bi trebali pratiti obrasce pristupa, korištenje resursa i interakciju s podacima.
- Sigurnost ljudskih identiteta: Integrira se sa dobavljačima identiteta radi vidljivosti korištenja ljudskog identiteta, uključujući vrijeme prijave, lokacije, uređaje i ponašanja, omogućavajući brzo otkrivanje neobičnih ili neovlaštenih pokušaja pristupa.
- Sigurnost ne-ljudskih identiteta: Prati korištenje ne-ljudskih identiteta, pružajući uvid u njihovu interakciju s resursima u cloud-u i naglašavajući sve anomalije koje bi mogle signalizirati sigurnosnu prijetnju.
- Secrets Security: Identifikuje svaku tajnu u vašem okruženju u cloud-u, prati kako se koristi tokom rada i ističe da li se njima bezbjedno upravlja ili postoji rizik od izlaganja.
Korak 5: Imajte na raspolaganju mnoštvo akcija odgovora za kontekstualnu intervenciju
Svaki pokušaj kršenja ima svoje jedinstvene izazove koje treba prevazići, zbog čega je bitno imati fleksibilnu strategiju odgovora koja se prilagođava specifičnoj situaciji. Na primjer, napadač može primijeniti maliciozni proces koji zahtijeva trenutni prekid, dok drugačiji događaj u cloud-u može uključivati ugroženo radno opterećenje koje treba staviti u karantin kako bi se spriječila daljnja šteta. Jednom kada se otkrije incident, timovima za sigurnost također je potreban kontekst kako bi brzo istražili, kao što su sveobuhvatne priče o napadima, procjene štete i vodiči za reagovanje.
Evo nekoliko ključnih sposobnosti koje treba iskoristiti za ovaj korak:
- Priručnici: Pružajte odgovore igranja po igri za svaki otkriveni incident kako biste pouzdano intervenirali i uklonili prijetnju.
- Prilagođena intervencija napada: Nudi mogućnost izolacije ugroženih radnih opterećenja, blokiranja neovlaštenog mrežnog prometa ili prekidanja zlonamjernih procesa.
- Analiza osnovnog uzroka: Određuje osnovni uzrok incidenta kako bi se spriječilo ponavljanje. Ovo uključuje analizu vektora napada, iskorišćenih ranjivosti i slabosti u odbrani.
- Integracija sa SIEM-om : Integrira se sa sigurnosnim informacijama i sistemima za upravljanje događajima (SIEM) radi poboljšanja otkrivanja prijetnji pomoću kontekstualnih podataka.
Izvor:The Hacker News