De snelheid en verfijning van cloudaanvallen hebben de tijd die beveiligingsteams hebben om te detecteren en te reageren voordat er sprake is van een inbreuk, snel verkort. Volgens het rapport “Mandiant M-Trends 2023”., de verblijftijd voor een on-prem omgeving bedraagt 16 dagen. Daarentegen, het vereist alleen 10 minuten om een aanval uit te voeren in de cloud nadat een exploiteerbaar doelwit is ontdekt. Voeg daarbij de druk van vier werkdagen om een materieel cyberincident aan de SEC te melden, en het wordt duidelijk dat alles sneller gaat in de cloud. Beveiligingsteams hebben hulp nodig.
Verouderde detectie- en responsframeworks kunnen organisaties niet adequaat beschermen. De meeste bestaande benchmarks zijn ontworpen voor endpoint-centrische omgevingen en zijn simpelweg te traag voor beveiligingsteams die moderne cloudomgevingen beschermen.
De industrie heeft behoefte aan een moderne detectie- en responsbenchmark, ontworpen voor de cloud. Om aanvallers in de cloud voorbij te streven, zijn beveiligingsteams nodig om aan de eisen te voldoen 5/5/5 Benchmark, dat vijf seconden specificeert om te detecteren, vijf minuten om te triageen en vijf minuten om op bedreigingen te reageren.
Wanneer de kosten van een cloudinbreuk 4.45 miljoen dollar bedragen, volgens IBM's “Cost of a Data Breach Report 2023”), moeten beveiligingsteams aanvallen met cloudsnelheid kunnen detecteren en erop kunnen reageren. Als ze dat niet doen, zal de straal van de explosie snel toenemen en zullen de financiële gevolgen snel groter worden. Door te voldoen aan de 5/5/5 Benchmark kunnen organisaties vol vertrouwen en veilig in de cloud opereren.
De 5/5/5 benchmark voor clouddetectie en respons
Veilig opereren in de cloud vereist een nieuwe mindset. Cloud-native ontwikkelings- en releaseprocessen vormen unieke uitdagingen voor het detecteren en reageren op bedreigingen. Bij DevOps-workflows – inclusief vastgelegde, gebouwde en geleverde code voor applicaties – zijn nieuwe teams en rollen betrokken als sleutelspelers in het beveiligingsprogramma. In plaats van de traditionele kwetsbaarheden bij het uitvoeren van code op afstand uit te buiten, richten cloudaanvallen zich meer op het compromitteren van de softwaretoeleveringsketen en op identiteitsmisbruik, zowel door mensen als door machines. Kortstondige werklasten vereisen een verbeterde aanpak van incidentrespons en forensisch onderzoek.
Hoewel identiteits- en toegangsbeheer, kwetsbaarheidsbeheer en andere preventieve controles noodzakelijk zijn in cloudomgevingen, kunt u niet veilig blijven zonder een bedreigingsdetectie- en responsprogramma om zero-day exploits, insider-bedreigingen en ander kwaadaardig gedrag aan te pakken. Het is onmogelijk om alles te voorkomen.
De 5/5/5 benchmark daagt organisaties uit om de realiteit van moderne aanvallen te erkennen en hun cloudbeveiligingsprogramma's vooruit te helpen. De benchmark wordt beschreven in de context van de uitdagingen en kansen die cloudomgevingen bieden aan verdedigers. Het bereiken van 5/5/5 vereist de mogelijkheid om cloudaanvallen sneller te detecteren en erop te reageren dan de aanvallers ze kunnen voltooien.
5 seconden om bedreigingen te detecteren
Uitdaging: De beginfase van cloudaanvallen is sterk geautomatiseerd vanwege de uniformiteit van de API's en architecturen van een cloudprovider. Voor detectie met deze snelheid is telemetrie van computerinstances, orkestrators en andere workloads vereist, die vaak niet beschikbaar of onvolledig zijn. Effectieve detectie vereist gedetailleerd inzicht in veel omgevingen, waaronder multicloud-implementaties, verbonden SaaS-applicaties en andere gegevensbronnen.
Opportunity: De uniformiteit van de infrastructuur van de cloudprovider en bekende schema’s van API-eindpunten maken het ook gemakkelijker om gegevens uit de cloud te halen. De proliferatie van clouddetectietechnologieën van derden, zoals eBPF, heeft het mogelijk gemaakt om diepgaand en tijdig inzicht te krijgen in IaaS-instances, containers, clusters en serverloze functies.
5 minuten om te correleren en te beoordelen
Uitdaging: Zelfs binnen de context van één enkele cloudserviceprovider is er sprake van correlatie tussen componenten en services
uitdagend. De overweldigende hoeveelheid data die beschikbaar is in de cloud ontbeert vaak een beveiligingscontext, waardoor gebruikers verantwoordelijk zijn voor de analyse. Op zichzelf is het onmogelijk om de veiligheidsimplicaties van een bepaald signaal volledig te begrijpen. Het cloudcontrolevlak, de orkestratiesystemen en de geïmplementeerde workloads zijn nauw met elkaar verweven, waardoor aanvallers gemakkelijk tussen beide kunnen schakelen.
Opportunity: Het combineren van datapunten binnen en buiten uw omgevingen biedt bruikbare inzichten voor uw bedreigingsdetectieteam. Identiteit is een belangrijke controle in de cloud die de toewijzing van activiteiten over de grenzen van de omgeving heen mogelijk maakt. Het verschil tussen ‘waarschuwing bij een signaal’ en ‘detectie van een echte aanval’ ligt in het vermogen om snel de punten met elkaar te verbinden, waarbij zo weinig mogelijk handmatige inspanning van beveiligingsteams nodig is.
5 minuten om een reactie te initiëren
Uitdaging: Cloudapplicaties zijn vaak ontworpen met serverloze functies en containers, die gemiddeld minder dan 5 minuten meegaan. Traditionele beveiligingstools verwachten systemen met een lange levensduur en direct beschikbare systemen voor forensisch onderzoek. De complexiteit van moderne omgevingen maakt het moeilijk om de volledige reikwijdte van de getroffen systemen en gegevens te identificeren en om passende responsacties te bepalen bij cloudserviceproviders, SaaS-providers en partners en leveranciers.
Opportunity: Cloudarchitectuur stelt ons in staat om automatisering te omarmen. Op API- en infrastructuur-als-code gebaseerde mechanismen voor de definitie en inzet van assets maken snelle respons- en herstelacties mogelijk. Het is mogelijk om aangetaste assets snel te vernietigen en te vervangen door schone versies, waardoor verstoring van de bedrijfsvoering tot een minimum wordt beperkt. Organisaties hebben doorgaans aanvullende beveiligingstools nodig om de respons te automatiseren en forensisch onderzoek uit te voeren
Volgende stappen
Om dieper in de wereld van cloudaanvallen te duiken, nodigen we je uit om de rol van aanvaller en verdediger te spelen en ons Kraken Discovery Lab uit te proberen. Hoogtepunten van het Kraken Lab SCHARLETEEL, een gerenommeerde cyberaanvaloperatie gericht op cloudomgevingen. Deelnemers ontdekken de fijne kneepjes van het verzamelen van inloggegevens en het escaleren van privileges, allemaal binnen een uitgebreid cloudframework. Aanmelden het volgende Kraken Discovery Lab.
Over de auteur
Ryan Davis is Senior Director Product Marketing van Sysdig. Ryan richt zich op het stimuleren van de go-to-market-strategie voor kerninitiatieven en gebruiksscenario's op het gebied van cloudbeveiliging.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud/5-5-5-benchmark-cloud-detection-and-response
