Tốc độ và mức độ phức tạp của các cuộc tấn công trên nền tảng đám mây đã nhanh chóng thu hẹp thời gian mà các nhóm bảo mật phải phát hiện và ứng phó trước khi bị xâm phạm. Theo báo cáo “Mandiant M-Trends 2023”, thời gian lưu giữ đối với môi trường tại chỗ là 16 ngày. Ngược lại, nó chỉ mất 10 phút để thực hiện một cuộc tấn công trong đám mây sau khi phát hiện ra mục tiêu có thể khai thác được. Thêm áp lực khi có bốn ngày làm việc để tiết lộ một sự cố mạng quan trọng cho SEC và rõ ràng là mọi thứ sẽ diễn ra nhanh hơn trên đám mây. Đội an ninh cần giúp đỡ.

Các khung phát hiện và phản hồi cũ không thể bảo vệ tổ chức một cách đầy đủ. Hầu hết các điểm chuẩn hiện có đều được thiết kế cho môi trường tập trung vào điểm cuối và đơn giản là quá chậm đối với các nhóm bảo mật bảo vệ môi trường đám mây hiện đại.

Ngành công nghiệp cần một tiêu chuẩn phát hiện và phản hồi hiện đại, một tiêu chuẩn được thiết kế cho đám mây. Những kẻ tấn công vượt xa trên đám mây đòi hỏi các nhóm bảo mật phải đáp ứng Điểm chuẩn 5/5/5, chỉ định XNUMX giây để phát hiện, XNUMX phút để phân loại và XNUMX phút để ứng phó với các mối đe dọa.

Khi chi phí của một vụ vi phạm đám mây là 4.45 triệu USD, theo “Báo cáo chi phí vi phạm dữ liệu năm 2023” của IBM, các nhóm bảo mật cần có khả năng phát hiện và ứng phó với các cuộc tấn công ở tốc độ đám mây. Nếu không, bán kính vụ nổ sẽ nhanh chóng mở rộng và tác động tài chính sẽ nhanh chóng tăng lên. Đáp ứng Tiêu chuẩn 5/5/5 sẽ giúp các tổ chức hoạt động tự tin và an toàn trên đám mây.

Điểm chuẩn phản hồi và phát hiện đám mây 5/5/5

Hoạt động trên đám mây một cách an toàn đòi hỏi một tư duy mới. Quá trình phát triển và phát hành trên nền tảng đám mây đặt ra những thách thức đặc biệt cho việc phát hiện và ứng phó với mối đe dọa. Quy trình làm việc DevOps — bao gồm mã được cam kết, xây dựng và phân phối cho ứng dụng — liên quan đến các nhóm và vai trò mới là người đóng vai trò chủ chốt trong chương trình bảo mật. Thay vì khai thác các lỗ hổng thực thi mã từ xa truyền thống, các cuộc tấn công trên đám mây tập trung nhiều hơn vào việc xâm phạm chuỗi cung ứng phần mềm và lạm dụng danh tính, cả con người và máy móc. Khối lượng công việc tạm thời đòi hỏi các phương pháp tiếp cận tăng cường để ứng phó sự cố và điều tra.

Mặc dù việc quản lý danh tính và quyền truy cập, quản lý lỗ hổng bảo mật và các biện pháp kiểm soát phòng ngừa khác là cần thiết trong môi trường đám mây nhưng bạn không thể giữ an toàn nếu không có chương trình ứng phó và phát hiện mối đe dọa để giải quyết các hoạt động khai thác zero-day, các mối đe dọa nội bộ và hành vi độc hại khác. Không thể ngăn chặn mọi thứ.

Điểm chuẩn 5/5/5 thách thức các tổ chức thừa nhận thực tế của các cuộc tấn công hiện đại và thúc đẩy các chương trình bảo mật đám mây của họ phát triển. Điểm chuẩn được mô tả trong bối cảnh những thách thức và cơ hội mà môi trường đám mây mang lại cho người bảo vệ. Để đạt được 5/5/5 đòi hỏi khả năng phát hiện và phản ứng với các cuộc tấn công trên đám mây nhanh hơn mức mà kẻ tấn công có thể hoàn thành.

5 giây để phát hiện mối đe dọa

Thử thách: Các giai đoạn đầu của các cuộc tấn công đám mây được tự động hóa rất nhiều do tính đồng nhất của kiến ​​trúc và API của nhà cung cấp đám mây. Việc phát hiện ở tốc độ này đòi hỏi phải đo từ xa từ các phiên bản máy tính, bộ điều phối và các khối lượng công việc khác, thường không khả dụng hoặc không đầy đủ. Việc phát hiện hiệu quả đòi hỏi khả năng hiển thị chi tiết trên nhiều môi trường, bao gồm triển khai trên nhiều đám mây, ứng dụng SaaS được kết nối và các nguồn dữ liệu khác.

Cơ hội: Tính đồng nhất của cơ sở hạ tầng của nhà cung cấp đám mây và các lược đồ điểm cuối API đã biết cũng giúp việc lấy dữ liệu từ đám mây trở nên dễ dàng hơn. Sự phổ biến của các công nghệ phát hiện đám mây của bên thứ ba như eBPF đã giúp có thể đạt được khả năng hiển thị sâu và kịp thời về các phiên bản IaaS, bộ chứa, cụm và các chức năng không có máy chủ.

5 phút để tương quan và phân loại

Thử thách: Ngay cả trong bối cảnh của một nhà cung cấp dịch vụ đám mây duy nhất, mối tương quan giữa các thành phần và dịch vụ vẫn

thách thức. Lượng dữ liệu quá lớn có sẵn trên đám mây thường thiếu bối cảnh bảo mật, khiến người dùng phải chịu trách nhiệm phân tích. Trong sự cô lập, không thể hiểu đầy đủ ý nghĩa bảo mật của bất kỳ tín hiệu nhất định nào. Mặt phẳng điều khiển đám mây, hệ thống điều phối và khối lượng công việc được triển khai có mối liên hệ chặt chẽ với nhau, khiến kẻ tấn công dễ dàng xoay vòng giữa chúng.

Cơ hội: Việc kết hợp các điểm dữ liệu từ bên trong và trên các môi trường của bạn sẽ cung cấp thông tin chi tiết hữu ích cho nhóm phát hiện mối đe dọa của bạn. Danh tính là một biện pháp kiểm soát quan trọng trong đám mây cho phép phân bổ hoạt động xuyên qua các ranh giới môi trường. Sự khác biệt giữa “cảnh báo về tín hiệu” và “phát hiện một cuộc tấn công thực sự” nằm ở khả năng kết nối nhanh chóng các dấu chấm, đòi hỏi ít nỗ lực thủ công nhất có thể của các nhóm vận hành an ninh.

5 phút để bắt đầu phản hồi

Thử thách: Các ứng dụng đám mây thường được thiết kế bằng cách sử dụng các chức năng và vùng chứa không có máy chủ, hoạt động trung bình dưới 5 phút. Các công cụ bảo mật truyền thống mong đợi các hệ thống tồn tại lâu dài và sẵn có để điều tra pháp y. Sự phức tạp của môi trường hiện đại gây khó khăn cho việc xác định phạm vi đầy đủ của hệ thống và dữ liệu bị ảnh hưởng cũng như xác định các hành động ứng phó thích hợp giữa các nhà cung cấp dịch vụ đám mây, nhà cung cấp SaaS cũng như các đối tác và nhà cung cấp.

Cơ hội: Kiến trúc đám mây cho phép chúng tôi tận dụng tự động hóa. Các cơ chế dựa trên API và cơ sở hạ tầng dưới dạng mã để xác định và triển khai nội dung cho phép thực hiện các hành động khắc phục và phản hồi nhanh chóng. Có thể nhanh chóng tiêu hủy và thay thế các tài sản bị xâm phạm bằng phiên bản sạch, giảm thiểu tình trạng gián đoạn kinh doanh. Các tổ chức thường yêu cầu các công cụ bảo mật bổ sung để tự động phản hồi và thực hiện điều tra pháp y

Bước tiếp theo

Để tìm hiểu sâu hơn về thế giới tấn công trên nền tảng đám mây, chúng tôi mời bạn đóng vai kẻ tấn công và người phòng thủ và dùng thử Kraken Discovery Lab của chúng tôi. Điểm nổi bật của Phòng thí nghiệm Kraken SCARLETEEL, một hoạt động tấn công mạng nổi tiếng nhằm vào môi trường đám mây. Những người tham gia sẽ khám phá những điểm phức tạp của việc thu thập thông tin xác thực và leo thang đặc quyền, tất cả đều nằm trong khuôn khổ đám mây toàn diện. Tham gia Phòng thí nghiệm khám phá Kraken tiếp theo.

Lưu ý

Ryan Davis là Giám đốc Tiếp thị Sản phẩm Cấp cao của Sysdig. Ryan tập trung vào việc thúc đẩy chiến lược tiếp cận thị trường cho các sáng kiến ​​và trường hợp sử dụng bảo mật đám mây cốt lõi.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/cloud/5-5-5-benchmark-cloud-detection-and-response