企业正处于向云迁移的早期阶段。随着他们的迁移,最初的网络安全重点往往是合规和减少潜在的攻击面。随着迁移的发展,重点可能会扩展到保护身份和访问管理(IAM)策略、简单存储服务(S3)桶等。
在云迁移中丢失的是可见性的。可见性是网络安全的关键,必须在云迁移中占用。网络可见性概念是否相同,无论您有虚拟还是在预售的部署。只有一个在您的网络内部发生的事情源 - 以及单个来源是您的数据包。以及用于保护您的组织的每一个安全策略和工具,都必须以此“真理来源”归档。
让我们查看威胁狩猎概念,最好的做法,以确保您的威胁表面得到宽松的守卫,以及挑战云环境中的可见性。
云是安全吗?
对云确保的云有很多误解,我认为误解来自你不触摸云中很多这些组件的事实。许多客户可能会陷入云端,认为他们不需要应用某些安全实践,因为他们认为它已经安全。我们需要始终如一地教育人们,即它是共同责任模式。
云提供商必须保护网络的物理元素,这些物理元素被提供访问其数据中心、服务器和交换机的权限。作为一个云消费者,你必须考虑你正在部署什么,你在使用什么,你在配置什么。
您必须考虑访问您的设备,无论是公开的Web服务器,数据库服务器,您允许的端口和协议。此外,您必须关注从软件修补和身份验证到协议访问和端口访问的安全性。
特别是当访问对公众开放时,它会使窗口打开,以便在交通中伪装威胁。因此,了解您对云端的负责并呈现内容非常重要并不会让您免于任何安全实践。
云中的威胁追踪,事件和响应
有效的黑客的目标不是进入并挥动他们征服您的网络的旗帜。黑客的目标是渗透你的网络并坐在周围,观看发生的事情。在没有你的情况下收集数据。如果没有你知道,大多数成功的黑客都将在你的网络中一直在你的网络中,没有你知道的几天,几周或几个月。
云环境中使用的两个工具是对抗这一点是“事件响应”和“威胁狩猎”或网络检测和响应(NDR)解决方案。
事件响应是一种反应性网络安全程序,有助于识别,调查和响应试图最小化影响的潜在事件,并确保尽可能快速地恢复。当事件触发了一个设置警报时,您正在通过数据查找发现发生的事情,并且仍在发生。
威胁狩猎是一种积极主动的方法,您可以从假设开始,并确定我在环境中有什么可能的漏洞。然后从网络和数据集收集数据以验证或无效该假设。
无论是事件响应还是威胁追踪,数据都是推动解决方案的燃料。如果你需要对威胁狩猎进行任何形式的推理,你需要大量高密度,高信噪比的数据。高效访问数据的能力、高级查询功能和日志管理(能够将这些数据关联起来以进行异常检测)非常重要。一个优秀的信息安全团队将使用这些数据来确定某些东西是恶意的,或者某些东西在该环境中是没有问题的,然后能够在需要时采取任何行动。
云环境中可见性和访问的挑战
在云环境中成功的威胁狩猎和事件响应需要适当的可见性,而IT团队需要确切地理解他们负责确保的原因。并且往往被忽视的部分责任模型正在为各种安全解决方案提供可见性。
每个云提供商都有数百种服务,而且它变得非常复杂。云提供商可能以深度登录的形式提供可见性,但挑战在于规模、聚合和更深入的洞察力。例如,一些提供商让您手动打开日志记录等功能。SecOps工程师可能必须确保日志记录功能始终处于开启状态,并且攻击者不能恶意关闭它们。这将成为一个规模问题。另一个问题是日志的聚合,因为其中一些服务将它们的日志发送到Azure安全中心。
这适用于平台内的许多不同服务。数据“规范化”很重要,因为你想让你的流量处于你的组织习惯查看的结构中。这里不能有不同的结构,那里也不能有不同的结构。这会降低你的效率。当数据未规范化时,它会降低您的主动性。
遗憾的是,所有云环境都面临不同挑战,以实现数据包可视性,因为应用程序变得越来越小,更轻,它们是集装箱化和灵活的。大多数公共云提供商都具有某种形式的Limited Native VTAP可见性选项,如AWS,或者根本没有选项,因为Azure目前尚未。
我们一直听到我们合作伙伴的故事,客户试图“Macgyver”他们的云可见性解决方案,在TCP转储和NET Mont中的数据包捕获和主机或其他组合。这一切都不是一个理想的解决方案。他们不可避免地进入网络盲点,而且通常在他们带来花环时。
现代云可见性解决方案花环棱镜提供基于VM的流量的访问。它为东部地区集装箱和Kubernetes基础交通提供了可视性,并提供了允许团队桥接该漏洞的灵活性,以便在Azure或AWS中部署各种云环境中的网络检测和响应(NDR)解决方案。有效地规范化数据,因此归属于单一的真理来源,为保护组织提供安全策略和工具可见性,可扩展性和聚合。
威胁追踪和事件响应是现代云安全策略的未来。为了使这些策略获得成功,on-prem和云中的包可见性仍然是网络内部情况的单一来源或真相。
希望添加对云部署的可见性,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务-这是我们喜欢做的!
