云威胁检测与响应的“555”基准

云攻击的速度和复杂性大大收窄了安全团队检测和响应威胁的时间窗口。Mandiant M-Trends 2023报告显示，本地环境的驻留时间为16天。而相比之下，云环境中发现可利用目标后执行攻击却只需要10分钟。SEC规定重大网络事件必须在四个工作日之内披露的要求更是进一步加大了安全团队的压力，而且，云中一切进展更快也是不争的事实。
传统检测与响应框架不足以保护企业。大多数现有基准是为以端点为中心的环境设计的，用来保护现代云环境实在是太慢了。
业界需要现代检测与响应基准，为云环境设计的那种。想要在云端快攻击者一步，安全团队就得达到“555”基准，即：五秒钟检测、五分钟分类、五分钟响应威胁。
最新的报告显示，云数据泄露事件成本达到445万美元，安全团队检测与响应攻击的速度也需达到云速度。若达不到，攻击波及范围就会迅速扩大，财务影响将快速加剧，达到”555”基准有助于企业有把握地在云端实现安全运营。

01

云检测与响应“555”基准

云安全运营需要新思维。云原生开发与发布流程给威胁检测与响应带来了独特的挑战。DevOps工作流程包含应用程序代码提交、构建和交付，涉及在安全计划中发挥重要作用的新团队和职位。相较于利用传统远程代码执行漏洞，云攻击更注重软件供应链入侵和身份滥用，无论是人员还是机器，瞬时工作负载需要更强大的事件响应与取证方法。
虽然身份标识与访问管理（IAM）、漏洞管理，以及其他预防性控制措施是云环境必需品，但若缺了威胁检测与响应计划来应对零日漏洞利用、内部威胁和其他恶意行为，企业也是无法保持安全的。毕竟，防住一切是不可能的。
“555”基准要求企业认清现代攻击的现实情况，并推动自身云安全计划向前发展。该基准依据云环境给防御人员带来的挑战和机会而制定，只有具备在攻击者完成云攻击之前并响应攻击的能力才能达到“555”基准。

02

五秒钟检测威胁

挑战：由于云提供商API和架构的统一性，云攻击初始阶段是高度自动化的。以这个速度进行检测需要来自计算机实例、协调器和其他工作负载的遥测数据，而这些数据往往是不可用或不完整的。有效检测需要跨多个环境的细粒度可见性，包括多云部署、联网SaaS应用，以及其他数据源。
机会：云提供商基础设施的统一性和API端点的已知模式也使得从云端获取数据变得更容易。eBPF等第三方云检测技术的激增令及时深入了解IaaS实例、容器、集群和无服务器功能成为可能。

03

五分钟关联并分类

挑战：即使只面对单一云服务提供商，跨组件和服务关联也颇具挑战性。云中大量可用数据往往缺乏安全上下文，用户必须分析这些数据。孤立来看是无法完全了解任何给定信号的安全含义的。云控制平面、编排系统和部署的工作负载紧密交织在一起，攻击者很容易在其间跳转。
机会：关联环境内和环境间的数据点可为威胁检测团队提供可操作的洞察。身份是云中关键控制之一，可供跨环境边界归因活动。“信号警报”和“检测到真实攻击”之间的区别在于能够快速连接各个节点，不需要安全运营团队过多手动操作。

04

五分钟启动响应

挑战：云应用通常采用无服务器功能和容器设计，平均存在时间不到5分钟。传统安全工具可以对长期存在的现成系统进行取证调查，而现代环境的复杂性导致很难确定受影响系统和数据的全部范围，也很难跨云服务提供商、SaaS提供商以及合作伙伴和供应商确定恰当的响应行动。
机会：云架构适合自动化。基于API和基础设施即代码的资产定义和部署机制支持快速响应和修复行动。可以快速销毁受损资产并以干净版本加以替换，尽量减少业务中断。企业通常需要额外的安全工具来自动响应和执行取证调查。

* 本文为nana编译，原文地址：https://www.darkreading.com/cloud/5-5-5-benchmark-cloud-detection-and-response

注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

原文始发于微信公众号（数世咨询）：云威胁检测与响应的“555”基准