当网络攻击交叉网络时,从网络流量抓取质量和相关数据对于安全操作至关重要。这尤其涉及云环境在这些地方,安全团队的交通能见度很低,甚至没有,这使得他们无法防范恶意攻击。如果没有对网络流量的普遍可见性和深度洞察,威胁追踪和事件响应团队就无法发挥作用。乐动体育菠菜Garland Technology最近采访了Corelight的高级产品总监Vijit Nair,讨论威胁狩猎的重要性,以及如何使用正确的工具和方向,这比你想象的要容易。
1.你怎么定义事件响应过程?
事件响应是组织响应入侵的过程。安全团队必须具有明确的计划和明确定义的剧本,帮助他们快速移动以响应事件并限制损坏。为此,他们必须掌握高保真数据,使他们允许他们进行分类警报,驳回误报,升级实际事件,深入潜入调查。
2.在深入研究特定的云环境之前,让我们先从更大的角度来看看安全性。你能解释一下威胁狩猎和事件反应的区别吗?
威胁狩猎是一个假设驱动的活动,寻找未被发现并目前隐藏在网络中的威胁。威胁狩猎通常从网络中的潜在问题的假设开始,然后您潜入数据以寻找有趣的东西。当入侵检测系统检测到问题并产生警报时,事件响应发挥作用,并且是一种反应方法,而威胁狩猎是积极主动的。如果检测到恶意的东西,威胁狩猎可能会触发事件响应。这里有一个Corelight的威胁狩猎指南围绕临床ATT&CK框架组织。
3.AWS、谷歌和Azure等云平台的转变带来了许多安全问题。在处理这些云环境时,是什么让猎杀威胁变得如此困难?
在云环境中,共享责任模型限制了可见性,而分布式云服务和混合环境则扩大了攻击面。自动化和规模放大了错误配置,使其成为云安全的最大威胁。IAM (privilege Identity and Access Management)数据泄露占所有数据泄露的70-80%。将工作负载迁移到云中的企业负责应用程序的安全性,但不具备保护应用程序所需的可见性。
云环境中的威胁搜索需要全面的可见性,这在IaaS(基础设施即服务)环境中具有挑战性。安全操作团队需要确保在每个服务上配置(并保持配置)日志,从每个服务中获取日志类型到它们的SIEM中,导航设计糟糕的模式,并跨不同云环境的日志进行关联。
>> Now Read: How to Overcome Packet Visibility Challenges
在云中[免费白皮书]
4.安全团队如何减轻云风险的困难?
安全团队必须使用网络监控来补充应用程序级别的可见性。通过对云环境的鸟瞰,组织可以了解高价值资产、多云环境之间的特权边界和其他瓶颈。网络监控提供了环境的自由判断视图,并且是云提供商、应用程序和服务不可知的。像Zeek这样的开源工具早已成为持续网络安全监控的事实上的标准,其模式是专门为SOC团队构建的。Zeek及其社区开发的内容的可扩展性允许您通过上下文和相关性轻松地丰富数据。
5.目前,每个云平台都有不同的安全方式。Azure环境使安全和威胁查找具有挑战性是什么?
缺乏应用级别可见性和全面的日志记录是为什么组织期望网络监控的对其环境的标准化视图。数据包不是谎言,它和安全专业人员需要这种级别的可见性和访问它们的连接应用程序来检测安全异常和分析网络性能。Azure中显着缺席此可见性,将其团队审视使用TCPDUMP和Microsoft网络监视器等过时的工具来检查单个主机的小型数据包捕获,而不是本机解决方案。
6.包级可见性(如Garland Prism vTAP)如何在云环境中扩展Corelight解决方案?
云存在的一个主要挑战是将包级数据传递给工具。当数据通过公共互联网电路时,可能会有一定程度的数据包丢失。Corelight要求能看到环境中所有的交通数据。这就是我们和加兰合作的原因,在这个例子中花环棱镜,帮助驱动准确的高级数据包数据,CoreCight传感器需要检测和响应恶意数据。
7.威胁狩猎团队如何利用这种可见性来保护他们的云环境呢?
一个很棒的开始是最近发布的斜线att&ck云计算矩阵为企业。这个矩阵涵盖了对手使用的基于云的TTPs。此外,Corelight已经把它们放在一起一个工具它可以识别攻击与ck矩阵中的ttp,其中corerelight数据可以用来发现和挫败攻击者。
例如:
- T1020 -自动撤退:来自云存储的数据EXFIL是云中最常见的数据泄露源之一。“生产者 - 消费者比率”包有助于防守者识别两个主机之间的数据传输的典型方向和体积,并确定何时更改。
- T1110 - 蛮力: IAM帐户妥协允许攻击者在云环境中移动而不被发现,同时造成破坏。Corelight的数据可以帮助监控SSH上的密码猜测或强制暴力攻击。即使使用加密通信, Corelight依赖于用户行为,而不是内容,从流量中收集不可恢复的见解。
8.您提到了Corelight平台的新威胁狩猎能力。你能告诉更多关于Corelight最近在目前的产品中的扩张吗?
是的!我们最近根据云中的加密数据的变化更新了Corelight云传感器的功能。加密流量继续上升。当解密不可行时,防御者需要配备威胁搜索工具,将合法行为与恶意活动分离开来。扩展被称为Corelight加密流量收集(ETC),它扩展了防御者在加密环境中的事件响应和威胁狩猎能力。Corelight ETC非常棒,因为它包含了许多由Corelight的研究团队开发的包,例如通过SSH连接推断击键的能力,以及来自开源Zeek社区的策划包。我们很高兴能在今年早些时候推出这款游戏。
9.随着云环境的不断发展和威胁搜索,我们显然还没有看到终结——您认为云安全的新趋势是什么?
随着企业加速迁移,云的采用将继续不减。随着微服务和无服务器架构的采用,云服务将变得更加普遍和分布式。我们预计云安全挑战将以同样的速度增长。组织将被迫从以合规/预防为中心的思维转向建立成熟的SOC团队,有能力进行威胁追踪和事件响应,以应对云安全中出现的威胁。
想要添加这个Corelight解决方案到您的云部署,但不确定从哪里开始?加入我们的简短介绍网络设计- it咨询或演示。没有义务 - 这是我们喜欢做的!
