隨著越來越多的企業(yè)將業(yè)務應用轉移到云端，制定有效的云安全防護措施正變得越來越重要。但遺憾的是，很多在本地環(huán)境中有效應用的安全措施難以被應用于云上，而目前的云安全工具側重于對已知風險的識別和管理，比如控制系統(tǒng)的錯誤配置、應用程序的漏洞監(jiān)測以及云上數(shù)據(jù)的合規(guī)管理。

(資料圖片僅供參考)

在云環(huán)境中，安全威脅可能有多個來源，包括惡意行為者、軟件漏洞和用戶錯誤。為了有效檢測和應對這些威脅，企業(yè)需要制定全面的安全策略，包括一系列用于監(jiān)控和保護其云環(huán)境的工具和技術。而CDR（云威脅檢測和響應）技術則被認為是一種有效的創(chuàng)新云安全方法。CDR技術是以云計算應用安全為目標，全面采集云環(huán)境下的應用負載、網(wǎng)絡流量、文件、日志信息等多維度數(shù)據(jù)，持續(xù)監(jiān)控云應用的運行狀態(tài)，實時發(fā)現(xiàn)各種潛在的安全威脅。通過智能化的威脅分析，CDR技術可以通過感知上下文，確定安全告警的優(yōu)先級并消除誤報，還可以幫助組織全面梳理云資產(chǎn)和工作負載數(shù)據(jù)，整體評估云上應用的安全態(tài)勢。

根據(jù)部署方式的差別，CDR解決方案主要可分為兩種類型：基于代理的CDR解決方案和無代理CDR解決方案，其中：

基于代理的CDR解決方案需要使用安裝在各種工作負載上代理，全面收集設備信息、流量數(shù)據(jù)、云流量、審計日志以及云服務商提供的其他數(shù)據(jù)。無代理CDR解決方案采用快照掃描方法，從工作負載的運行過程中實時收集各種數(shù)據(jù)信息，并通過API接口來檢索云配置的元數(shù)據(jù)。

通過應用部署CDR技術方案，企業(yè)可以在多個階段獲得更好的安全性：

威脅檢測——CDR可以為跨云服務的攻擊提供持續(xù)安全監(jiān)控，并提供事件警報；事件調(diào)查——通過CDR工具，企業(yè)可以審查攻擊步驟、技術、時間表和可用數(shù)據(jù)的分析結果，以確定對威脅做出最優(yōu)化的響應；應急響應——CDR的能力側重于幫助企業(yè)在云安全威脅造成實際破壞之前被發(fā)現(xiàn)并遏制，比如自動修復或自動轉發(fā)到工單系統(tǒng)；應用彈性——CDR可以幫助安全分析師進行溯源調(diào)查，并基于可用數(shù)據(jù)提供對潛在威脅的補救措施。

為了充分獲取CDR技術的應用價值，安全研究人員建議企業(yè)組織在開展CDR建設時遵循以下幾個步驟。

01為CDR提供全面的資產(chǎn)清單

有效的CDR應用需要全面的云資產(chǎn)清單數(shù)據(jù)。在這種情況下，組織應該優(yōu)先選擇具有無代理功能的CDR解決方案。這種解決方案不僅可以自動覆蓋所有云資產(chǎn)，還可以實時檢測和監(jiān)控出現(xiàn)異常的工作負載、孤島系統(tǒng)以及無法支持代理的設備。由于很難在每個資產(chǎn)上安裝代理，基于代理的CDR方案在云資產(chǎn)覆蓋度方面會受到很大限制。

02深入洞察云環(huán)境

企業(yè)要清晰地了解整個云環(huán)境內(nèi)部的各種運行情況，主要包括以下各層的現(xiàn)有風險和威脅：

云基礎設施層——組織需要深入了解哪些資產(chǎn)在哪些網(wǎng)絡上運行、誰有權訪問它們。操作系統(tǒng)層——除了檢查適當?shù)牟僮飨到y(tǒng)配置外，CDR方案還應該檢查用戶權限是否合規(guī)以及是否打上了所有必需的補丁。應用程序層——組織需要深入了解所有安裝的應用程序及其配置，它們應該掃描查找漏洞和不安全的補丁。身份層——組織需要深入了解云身份和訪問管理系統(tǒng)的權限和賬戶，以便發(fā)現(xiàn)用戶和角色在使用行為方面的異常情況。API層——組織必須深入了解并檢測可能惡意的API使用行為，并了解攻擊者如何利用環(huán)境中現(xiàn)有的API漏洞和風險。數(shù)據(jù)層——深入了解數(shù)據(jù)內(nèi)容對于保護組織含有敏感數(shù)據(jù)的核心資產(chǎn)和服務器至關重要。

03獲取全面的云監(jiān)控數(shù)據(jù)

有效的CDR解決方案應該能夠全面收集云監(jiān)控數(shù)據(jù)。主流云服務提供商（CSP）都會提供自己的內(nèi)置云威脅檢測功能，CDR解決方案需要能夠訪問其中的許多服務。大多數(shù)CSP會結合使用遙測數(shù)據(jù)源來識別攻擊，包括利用分析工具的網(wǎng)絡流量日志和補充性的威脅情報源。在比較CDR檢測和響應解決方案時，應重點考量其對海量數(shù)據(jù)信息的獲取和分析能力。

04智能分析上下文

一款有效的CDR安全平臺應該使用中央數(shù)據(jù)模型來收集和關聯(lián)每個云資產(chǎn)的上下文信息，比如關于云工作負載和配置的詳細信息，以及組織內(nèi)外云通信方面的潛在風險。這種上下文數(shù)據(jù)感知能力是確保企業(yè)安全團隊迅速識別和修復嚴重安全問題的關鍵，基于威脅嚴重性的評估可以幫助安全團隊將工作重心放在最容易被利用的攻擊路徑上。

05與現(xiàn)有的云安全運營流程整合

網(wǎng)絡攻擊者以越來越快的速度攻擊存儲在云端的應用程序和信息。因此，組織有必要確保云檢測和響應能力是其云安全運營工作的一個組成部分。為了快速評估和解決問題，安全團隊必須將CDR解決方案集成到現(xiàn)有的安全運營工作流程中，包括使用處置編排、警報服務、SIEM和工單系統(tǒng)。這些集成將幫助企業(yè)的安全運營中心提高自動化水平，縮短修復時間。此外，CDR技術必須提供有關活動威脅的詳細信息，幫助組織能夠快速開展調(diào)查和響應。

參考鏈接：https://orca.security/resources/blog/5-steps-to-effective-cdr/

關鍵詞：