제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

클라우드용으로 설계된 탐지 및 대응 벤치마크

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 125

클라우드 공격의 속도와 정교함으로 인해 보안 팀이 침해를 당하기 전에 이를 감지하고 대응해야 하는 시간이 급격히 단축되었습니다. “Mandiant M-Trends 2023” 보고서에 따르면, 온프레미스 환경의 체류 시간은 16일입니다. 대조적으로, 그것은 단지 소요됩니다 공격을 실행하는 데 10분 악용 가능한 대상을 발견한 후 클라우드에서. 중요한 사이버 사고를 SEC에 공개하는 데 영업일 기준 XNUMX일이 소요된다는 압박감을 더하면 모든 것이 클라우드에서 더 빠르게 진행된다는 것이 분명해집니다. 보안팀에는 도움이 필요합니다.

기존 탐지 및 대응 프레임워크로는 조직을 적절하게 보호할 수 없습니다. 대부분의 기존 벤치마크는 엔드포인트 중심 환경을 위해 설계되었으며 최신 클라우드 환경을 보호하는 보안 팀에게는 너무 느립니다.

업계에는 클라우드용으로 설계된 최신 탐지 및 대응 벤치마크가 필요합니다. 클라우드에서 공격자를 앞지르려면 보안팀이 다음 요구 사항을 충족해야 합니다. 5/5/5 벤치마크는 위협 탐지에 XNUMX초, 분류에 XNUMX분, 위협에 대응하는 데 XNUMX분을 지정합니다.

IBM의 "4.45년 데이터 침해 비용 보고서"에 따르면 클라우드 침해 비용이 2023만 달러인 경우 보안 팀은 클라우드 속도로 공격을 감지하고 대응할 수 있어야 합니다. 그렇지 않으면 폭발 반경이 빠르게 확장되고 재정적 영향이 빠르게 커질 것입니다. 5/5/5 벤치마크를 충족하면 조직이 클라우드에서 자신감 있고 안전하게 운영하는 데 도움이 됩니다.

5/5/5 클라우드 탐지 및 대응 벤치마크

클라우드에서 안전하게 운영하려면 새로운 사고방식이 필요합니다. 클라우드 네이티브 개발 및 릴리스 프로세스는 위협 탐지 및 대응에 있어 고유한 과제를 제기합니다. 애플리케이션을 위한 코드 커밋, 구축 및 제공을 포함한 DevOps 워크플로에는 보안 프로그램의 핵심 플레이어로서 새로운 팀과 역할이 포함됩니다. 클라우드 공격은 기존의 원격 코드 실행 취약점을 악용하는 대신 인간과 기계 모두의 소프트웨어 공급망 손상과 ID 남용에 더 중점을 둡니다. 임시 워크로드에는 사고 대응 및 포렌식에 대한 강화된 접근 방식이 필요합니다.

클라우드 환경에서는 ID 및 액세스 관리, 취약성 관리 및 기타 예방 제어가 필요하지만 제로데이 공격, 내부자 위협 및 기타 악의적인 행동을 해결하기 위한 위협 탐지 및 대응 프로그램 없이는 안전을 유지할 수 없습니다. 모든 것을 예방하는 것은 불가능합니다.

5/5/5 벤치마크는 조직이 최신 공격의 현실을 인식하고 클라우드 보안 프로그램을 발전시키도록 요구합니다. 벤치마크는 클라우드 환경이 방어자에게 제시하는 과제와 기회의 맥락에서 설명됩니다. 5/5/5를 달성하려면 공격자가 완료할 수 있는 것보다 더 빠르게 클라우드 공격을 탐지하고 대응할 수 있는 능력이 필요합니다.

5초 만에 위협 탐지

과제 : 클라우드 공격의 초기 단계는 클라우드 공급자의 API 및 아키텍처의 균일성으로 인해 크게 자동화됩니다. 이 속도로 탐지하려면 컴퓨터 인스턴스, 오케스트레이터 및 기타 워크로드의 원격 분석이 필요하며 이는 종종 사용할 수 없거나 불완전합니다. 효과적인 탐지를 위해서는 멀티클라우드 배포, 연결된 SaaS 애플리케이션, 기타 데이터 소스를 비롯한 다양한 환경에 대한 세부적인 가시성이 필요합니다.

기회 : 클라우드 제공업체 인프라의 균일성과 API 엔드포인트의 알려진 스키마 덕분에 클라우드에서 데이터를 더 쉽게 얻을 수 있습니다. eBPF와 같은 타사 클라우드 감지 기술의 확산으로 IaaS 인스턴스, 컨테이너, 클러스터 및 서버리스 기능에 대한 심층적이고 시기적절한 가시성을 확보할 수 있게 되었습니다.

상관 관계 분석 및 분류에 5분 소요

과제 : 단일 클라우드 서비스 제공업체의 맥락 내에서도 구성요소와 서비스 간의 상관관계는 매우 중요합니다.

도전적인. 클라우드에서 사용할 수 있는 엄청난 양의 데이터에는 보안 컨텍스트가 부족한 경우가 많아 사용자에게 분석 책임이 있습니다. 개별적으로는 특정 신호의 보안 영향을 완전히 이해하는 것이 불가능합니다. 클라우드 제어 플레인, 오케스트레이션 시스템, 배포된 워크로드는 긴밀하게 얽혀 있어 공격자가 쉽게 이들 사이를 오갈 수 있습니다.

기회 : 환경 내부 및 환경 전체의 데이터 포인트를 결합하면 위협 탐지 팀에 실행 가능한 통찰력을 제공합니다. ID는 환경 경계를 넘어 활동의 귀속을 가능하게 하는 클라우드의 핵심 제어입니다. "신호에 대한 경고"와 "실제 공격 탐지"의 차이점은 보안 운영 팀의 수동 작업을 최대한 최소화하여 점을 빠르게 연결하는 능력에 있습니다.

응답 시작까지 5분

과제 : 클라우드 애플리케이션은 평균 5분 미만의 수명을 갖는 서버리스 기능과 컨테이너를 사용하여 설계되는 경우가 많습니다. 기존 보안 도구는 포렌식 조사를 위해 수명이 길고 쉽게 사용할 수 있는 시스템을 기대합니다. 현대 환경의 복잡성으로 인해 영향을 받는 시스템과 데이터의 전체 범위를 식별하고 클라우드 서비스 공급자, SaaS 공급자, 파트너 및 공급업체 전반에 걸쳐 적절한 대응 조치를 결정하기가 어렵습니다.

기회 : 클라우드 아키텍처를 통해 자동화를 수용할 수 있습니다. 자산 정의 및 배포를 위한 API 및 코드형 인프라 기반 메커니즘을 통해 신속한 대응 및 문제 해결 조치가 가능합니다. 손상된 자산을 신속하게 폐기하고 깨끗한 버전으로 교체하여 비즈니스 중단을 최소화할 수 있습니다. 조직에서는 일반적으로 대응을 자동화하고 포렌식 조사를 수행하기 위해 추가 보안 도구가 필요합니다.

다음 단계

클라우드 공격의 세계에 대해 더 깊이 알아보기 위해 공격자와 방어자의 역할을 맡아 Kraken Discovery Lab을 사용해 보시기 바랍니다. 크라켄 연구소 하이라이트 스칼렛틸, 클라우드 환경을 겨냥한 유명한 사이버 공격 작전입니다. 참가자는 포괄적인 클라우드 프레임워크 내에서 자격 증명 수집 및 권한 에스컬레이션의 복잡성을 모두 알게 됩니다. 가입하기 다음 크라켄 발견 연구소.

저자에 관하여

라이언 데이비스

Ryan Davis는 Sysdig의 제품 마케팅 부문 수석 이사입니다. Ryan은 핵심 클라우드 보안 이니셔티브 및 사용 사례에 대한 시장 진출 전략을 추진하는 데 중점을 두고 있습니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.