La velocità e la sofisticatezza degli attacchi cloud hanno rapidamente ridotto il tempo a disposizione dei team di sicurezza per rilevare e rispondere prima di subire una violazione. Lo dice il rapporto “Mandiant M-Trends 2023”., il tempo di permanenza per un ambiente locale è di 16 giorni. Al contrario, ci vuole solo 10 minuti per eseguire un attacco nel cloud dopo aver scoperto un obiettivo sfruttabile. Se si aggiunge la pressione di avere quattro giorni lavorativi per rivelare un incidente informatico materiale alla SEC, diventa chiaro che tutto si muove più velocemente nel cloud. Le squadre di sicurezza hanno bisogno di aiuto.
I sistemi legacy di rilevamento e risposta non possono proteggere adeguatamente le organizzazioni. La maggior parte dei benchmark esistenti sono progettati per ambienti incentrati sugli endpoint e sono semplicemente troppo lenti per i team di sicurezza che proteggono i moderni ambienti cloud.
Il settore ha bisogno di un benchmark moderno di rilevamento e risposta, progettato per il cloud. Per superare gli aggressori nel cloud è necessario che i team di sicurezza rispettino i requisiti 5/5/5 Punto di riferimento, che specifica cinque secondi per il rilevamento, cinque minuti per la valutazione e cinque minuti per rispondere alle minacce.
Quando il costo di una violazione del cloud è di 4.45 milioni di dollari, secondo il “Cost of a Data Breach Report 2023” di IBM, i team di sicurezza devono essere in grado di rilevare e rispondere agli attacchi alla velocità del cloud. In caso contrario, il raggio dell’esplosione si espanderà rapidamente e l’impatto finanziario aumenterà rapidamente. Rispettare il benchmark 5/5/5 aiuterà le organizzazioni a operare con sicurezza e protezione nel cloud.
Il benchmark di rilevamento e risposta del cloud 5/5/5
Operare nel cloud in modo sicuro richiede una nuova mentalità. I processi di sviluppo e rilascio cloud-native pongono sfide uniche per il rilevamento e la risposta alle minacce. I flussi di lavoro DevOps, incluso il codice impegnato, creato e distribuito per le applicazioni, coinvolgono nuovi team e ruoli come attori chiave nel programma di sicurezza. Piuttosto che sullo sfruttamento delle tradizionali vulnerabilità legate all’esecuzione di codice in modalità remota, gli attacchi cloud si concentrano maggiormente sulla compromissione della catena di fornitura del software e sull’abuso dell’identità, sia umana che meccanica. I carichi di lavoro temporanei richiedono approcci avanzati alla risposta agli incidenti e all'analisi forense.
Sebbene la gestione dell'identità e degli accessi, la gestione delle vulnerabilità e altri controlli preventivi siano necessari negli ambienti cloud, non è possibile garantire la sicurezza senza un programma di rilevamento e risposta alle minacce per affrontare exploit zero-day, minacce interne e altri comportamenti dannosi. È impossibile prevenire tutto.
Il benchmark 5/5/5 sfida le organizzazioni a riconoscere la realtà degli attacchi moderni e a portare avanti i propri programmi di sicurezza cloud. Il benchmark è descritto nel contesto delle sfide e delle opportunità che gli ambienti cloud presentano ai difensori. Il raggiungimento del livello 5/5/5 richiede la capacità di rilevare e rispondere agli attacchi cloud più velocemente di quanto gli aggressori riescano a completarli.
5 secondi per rilevare le minacce
La sfida Le fasi iniziali degli attacchi cloud sono fortemente automatizzate a causa dell'uniformità delle API e delle architetture di un provider cloud. Il rilevamento a questa velocità richiede la telemetria da istanze di computer, orchestratori e altri carichi di lavoro, che spesso non sono disponibili o sono incompleti. Un rilevamento efficace richiede una visibilità granulare su molti ambienti, comprese implementazioni multicloud, applicazioni SaaS connesse e altre origini dati.
L'opportunità: L'uniformità dell'infrastruttura del fornitore di servizi cloud e gli schemi noti degli endpoint API semplificano inoltre l'acquisizione dei dati dal cloud. La proliferazione di tecnologie di rilevamento cloud di terze parti come eBPF ha reso possibile ottenere una visibilità approfondita e tempestiva su istanze IaaS, contenitori, cluster e funzioni serverless.
5 minuti per correlare e triage
La sfida Anche nel contesto di un singolo fornitore di servizi cloud, la correlazione tra componenti e servizi lo è
stimolante. L'enorme quantità di dati disponibili nel cloud spesso non dispone di un contesto di sicurezza, lasciando agli utenti la responsabilità dell'analisi. Da solo, è impossibile comprendere appieno le implicazioni sulla sicurezza di un dato segnale. Il piano di controllo del cloud, i sistemi di orchestrazione e i carichi di lavoro distribuiti sono strettamente interconnessi, rendendo facile per gli aggressori spostarsi tra di loro.
L'opportunità: La combinazione di punti dati all'interno e tra i tuoi ambienti fornisce informazioni utili al team di rilevamento delle minacce. L'identità è un controllo chiave nel cloud che consente l'attribuzione dell'attività oltre i confini dell'ambiente. La differenza tra “avviso su un segnale” e “rilevamento di un attacco reale” sta nella capacità di collegare rapidamente i punti, richiedendo il minor sforzo manuale possibile da parte dei team addetti alle operazioni di sicurezza.
5 minuti per avviare la risposta
La sfida Le applicazioni cloud sono spesso progettate utilizzando funzioni e contenitori serverless, che durano in media meno di 5 minuti. Gli strumenti di sicurezza tradizionali si aspettano sistemi longevi e prontamente disponibili per le indagini forensi. La complessità degli ambienti moderni rende difficile identificare l’intera portata dei sistemi e dei dati interessati e determinare azioni di risposta adeguate tra fornitori di servizi cloud, fornitori SaaS, partner e fornitori.
L'opportunità: L’architettura cloud ci consente di abbracciare l’automazione. I meccanismi basati su API e infrastruttura come codice per la definizione e l'implementazione delle risorse consentono azioni di risposta e riparazione rapide. È possibile distruggere e sostituire rapidamente le risorse compromesse con versioni pulite, riducendo al minimo le interruzioni dell'attività. Le organizzazioni in genere richiedono strumenti di sicurezza aggiuntivi per automatizzare la risposta ed eseguire indagini forensi
Passi successivi
Per immergerti più a fondo nel mondo degli attacchi cloud, ti invitiamo a svolgere il ruolo di attaccante e difensore e a provare il nostro Kraken Discovery Lab. I punti salienti del Kraken Lab SCARLACCIALE, una rinomata operazione di attacco informatico mirata agli ambienti cloud. I partecipanti scopriranno le complessità della raccolta delle credenziali e dell'escalation dei privilegi, il tutto all'interno di un framework cloud completo. Registrati il prossimo Kraken Discovery Lab.
L'autore
Ryan Davis è il direttore senior del marketing del prodotto di Sysdig. Ryan è concentrato sulla promozione della strategia di go-to-market per le principali iniziative e casi d'uso di sicurezza cloud.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cloud/5-5-5-benchmark-cloud-detection-and-response
