当网络攻击跨越网络时,从网络流量中获取高质量的相关数据对安全操作至关重要。这是特别相关的云环境在这种情况下,安全团队的交通可见性有限或没有可见性,使他们对恶意攻击视而不见。如果没有对网络流量的普遍可见性和深度洞察,威胁搜索和事件响应团队就无法有效工作。乐动体育菠菜Garland Technology最近采访了Corelight的高级产品总监Vijit Nair,讨论威胁狩猎的重要性,以及如何通过正确的工具和方向,使其比你想象的更容易实现。
1.你如何定义事件响应过程?
事件响应是组织响应入侵的过程。安全团队必须有明确的计划和定义良好的剧本,以帮助他们快速应对事故,并限制损失。为此,他们必须拥有高保真度的数据,使他们能够对警报进行分类、排除误报、升级实际事件并深入调查。
2.在深入研究特定的云环境之前,让我们从更大的角度来了解安全性。你能解释一下威胁追捕和事件反应之间的区别吗?
威胁搜索是一种假设驱动的活动,搜索那些目前隐藏在网络中未被发现的威胁。威胁搜索通常始于对网络中潜在问题的假设,然后深入数据以寻找有趣的东西。当入侵检测系统检测到问题并生成警报时,事件响应就发挥作用了,这是一种反应性的方法,而威胁查找则是主动的。如果检测到恶意的东西,威胁搜索可能会触发事件响应。这是一个Corelight的威胁狩猎指南围绕MITRE ATT&CK框架组织。
3.AWS、谷歌和Azure等云平台的转变带来了许多安全问题。在处理这些云环境时,是什么让搜索威胁变得如此困难?
在云环境中,共享责任模型限制了可见性,而分布式云服务和混合环境扩大了攻击面。自动化和规模化放大了错误配置,使其成为云安全的最大威胁。在所有数据泄露事件中,70-80%是由IAM(特权身份和访问管理)造成的。将工作负载迁移到云中的企业负责应用程序的安全性,但不具备保护应用程序所需的可见性。
云环境中的威胁查找需要全面的可见性,这在IaaS(基础设施即服务)环境中具有挑战性。Security Op团队需要确保在每个服务上配置(并保持配置)日志,将每个服务的日志类型吸收到他们的SIEM中,导航设计糟糕的模式,并在不同云环境的日志之间进行关联。
>> Read Now: How to Overcome Packet Visibility Challenges
在云端[免费白皮书]
4.安全团队如何减轻云风险带来的困难?
安全团队必须使用网络监控来补充应用程序级别的可见性。通过对云环境的鸟瞰,组织可以关注高价值资产、多云环境之间的特权边界以及其他瓶颈。网络监控提供了一个无判断的环境视图,与云提供商、应用程序和服务无关。像Zeek这样的开源工具早已成为持续网络安全监控的事实标准,其模式是专门为SOC团队构建的。Zeek的可扩展性及其社区开发的内容允许您轻松地使用上下文和相关性来丰富数据。
5.目前,每个云平台都有不同的安全方式。Azure环境是如何让安全和威胁查找变得具有挑战性的?
缺乏应用程序级别的可见性和全面的日志记录是组织寻求网络监控以获得其环境的规范化视图的原因。数据包不会撒谎,IT和安全专业人员需要这种级别的可见性和对其连接应用程序的访问,以检测安全异常并分析网络性能。这种可见性在Azure中明显缺失,使得IT团队只能使用过时的工具(如tcpdump和Microsoft Network Monitor)来检查单个主机的小数据包捕获,而不是使用本机解决方案。
6.像Garland Prism vTAP这样的包级可见性如何在云环境中扩展Corelight解决方案?
云计算存在的一个主要挑战是将包级数据交付给工具。当数据跨越公共互联网电路时,可能会有某种程度的数据包丢失。Corelight要求能够看到环境中所有的交通数据。这就是我们和加兰德合作的原因,在这个例子中花环棱镜,帮助驱动精确的高级数据包数据,Corelight传感器需要检测和响应恶意数据。
7.威胁搜索团队如何使用这种可见性来保护他们的云环境?
一个很好的开始是最近发布的MITRE ATT&CK云计算矩阵为企业。这个矩阵涵盖了对手使用的基于云的ttp。此外,Corelight还进行了整合一个工具在at&ck矩阵中识别ttp, Corelight数据可用于发现和挫败攻击者。
例如:
- T1020 -自动退出:数据从云存储exfil是最常见的来源之一的数据泄露经验在云。“生产者-消费者比率”包帮助防御者识别两个主机之间的数据传输的典型方向和量,并确定它何时发生变化。
- T1110 -蛮力: IAM帐户泄露使得攻击者可以在不被察觉的情况下穿越云环境,造成严重破坏。Corelight的数据可以帮助监控通过SSH进行的密码猜测或暴力强制攻击。即使是加密的通信, Corelight依靠用户行为而不是内容从流量中收集不可恢复的见解。
8.你提到了Corelight平台的新威胁搜索能力。你能告诉我更多关于Corelight最近在你们现有产品中的扩张吗?
是的!我们最近根据云中加密数据的变化更新了Corelight云传感器的功能。加密流量继续上升。当解密不是一个选项时,防御者需要配备威胁查找工具来将合法行为与恶意活动分开。该扩展被称为Corelight加密流量收集(ETC),它扩展了防御者在加密环境中的事件响应和威胁搜索能力。Corelight ETC非常棒,因为它包含了许多由Corelight研究团队开发的包,比如通过SSH连接推断击键的能力,以及来自开源Zeek社区的策划包。我们很高兴能在今年早些时候推出这款产品。
9.随着云环境和威胁搜索的不断发展,我们显然还没有看到尽头——您认为云安全的新趋势是什么?
随着企业加速迁移,对云的采用将有增无减。随着微服务和无服务器架构的采用,云服务将变得更加普遍和分布式。我们预计云安全挑战将以同样的速度增长。组织将被迫从以遵从/预防为中心的思维模式转向建立成熟的SOC团队,能够进行威胁搜索和事件响应,以应对云安全中出现的威胁。
想要添加这个Corelight解决方案到您的云部署,但不确定从哪里开始?和我们一起简要介绍一下网络设计- it咨询或演示。没有义务-这是我们喜欢做的事!
