人工智能驱动的云检测和响应 (CDR)

Cortex b y Palo Alto Networks目录了解云安全面临的挑战介绍云检测与响应CDR的工作原理CDR解决的问题CDR的5大业务优势CDR如何融入SecOps工作流程云检测与响应评估清单Cortex®CDR将云攻击扼杀在摇篮中 |云检测与响应(CDR)的核心精要34467789 Cortex b y Palo Alto Networks|云检测与响应(CDR)的核心精要了解云安全面临的挑战云安全团队和安全运营团队在检测和应对威胁时面临着一场艰苦的战斗。他们肩负着在威胁演变为漏洞之前及时发现和阻止的重要任务，但一系列层出不穷的挑战阻碍了他们的成功。过多的通知让团队疲于应付警报，不仅浪费了时间，而且几乎不可能进行像样的威胁分析和优先排序。可视性不足阻碍了有效性，传统的时间点扫描工具无法及时发现威胁，也无法立即保护易受攻击的云工作负载。甚至云环境的动态特性也带来了挑战，因为为静态网络基础设施设计的传统安全方法追赶不上持续变化的云工作负载。雪上加霜的是，许多现有的安全解决方案无法在成功识别出问题后采取行之有效的补救措施。传统工具可以说是云安全成功的最大障碍，因为它们留下了危险的缺口，让攻击者可以在几分钟内加以利用。这些工具的缺点很明显—它们依赖于间歇性的漏洞扫描。无代理扫描非常适合识别潜在的风险，但扫描的周期性为攻击者创造了危险的机会窗口。此外，轻量级传感器只能检测基本的可疑活动，比如文件完整性变化和网络扫描。它们完全错过了复杂的威胁，缺乏必要的拦截能力来防止零日漏洞、恶意软件执行和权限升级攻击。这些限制不仅拖慢了安全团队的速度，还让企业在错误的时刻暴露在威胁之下。资料来源：Global Security Operations Center Study Results, IBM and Morning Consult, 2023年3月手动调查威胁超过81%的受访者表示，手动调查威胁拖慢了整体响应时间。混合云环境的可视性差手动发起补救操作安全工具之间缺乏强大的集成工作流程与SOC团队以外的团队合作不力 图1：速度/响应时间%让我慢了很多+让我慢了一些以下各项在多大程度上拖慢了整体响应时间？38%43%17%32%46%20%32%45%21%32%44%22%30%46%23%太多低优先级/误报警报32%43%24%81%78%77%76%76%75%让我慢了很多让我慢了一些对我没有影响不知道/没有意见 Cortex b y Palo Alto Networks|云检测与响应(CDR)的核心精要要真正抵御当今复杂的威胁，安全运营需要的不仅仅是可视性和检测。他们需要能够跟上云的速度和规模的实时工作负载级保护。这正是云检测和响应(CDR)的用武之地。在本指南中，您将了解CDR如何应对云安全的核心挑战，以及为什么它正在成为现代SecOps战略中不可或缺的一层。从了解技术到评估其业务影响，以下部分将引导您了解如何才能自信地评估和采用CDR解决方案。介绍云检测与响应云检测与响应，也称为云原生检测与响应(CNDR)和云威胁检测与响应(CTDR)，为多云环境提供了威胁预防、检测和响应功能。它采用代理和无代理的部署选项来交付云安全保护、实时可视性以及威胁、漏洞、错误配置和合规缺口的识别，所有这些都不会干扰运营。CDR的工作原理CDR与云原生应用保护平台(CNAPP)和云工作负载保护平台(CWPP)等安全工具集成，可识别可疑活动，关联来自多个云环境来源的数据，并立即采取行动减轻威胁。CDR提供的防御包含四大支柱：1.运行时防护-通过持续监控在生产环境中活跃运行的工作负载，确保工作负载基础设施和云原生应用的安全，包括主机（虚拟机）、容器、Kubernetes和无服务器功能。当检测到攻击、异常或其他活跃的威胁时，它可以及时阻止或预防，并实时向SOC发出警报。 1.缺乏云情境：传统工具根本就不是为云而设计的，因此遗漏了关键的情境，例如云资产之间的关系以及哪些威胁影响了它们。这使得SecOps团队很难知晓威胁是否存在或如何应对。2.无效的检测机制：大多数解决方案都无法检测到现代的云原生威胁。相反，它们会产生大量噪音和误报，让分析人员浪费时间去纠结错误的警报。3.遏制能力有限：当检测到威胁时，分秒必争。但团队往往缺乏快速遏制问题的能力，使企业面临泄露或业务中断的风险。三大CDR挑战1.利用实时防护功能，在威胁发生时立即识别并阻止其发生，在发生泄露之前阻止云漏洞。2.利用情境式云情报揭示关键警报并准确定位根本原因，更快地确定事故的优先级并解决。3.利用预构建的剧本在攻击升级为重大事故之前及时遏制，加快威胁响应速度并使其自动化。三大CDR机会 Cortex b y Palo Alto Networks|云检测与响应(CDR)的核心精要2.实时检测-从各种检测器收集威胁信号，同时由AI助力的模型提供即时的威胁识别。通过结合来自云、工作负载、网络、基础设施和运行时代理等不同来源的数据，可以发现现有的和新出现的云威胁。一些CDR解决方案还将检测到的事件直接映射到MITREATT&CK（对抗性战术、技法和常识）框架，以了解网络攻击者在攻击生命周期的不同阶段是如何运作的。3.情境丰富的调查-将大量零散的警报转化为高度优先的事故，为安全团队提供完整的攻击情境，使他们能够专注于调查，而不是手动收集和关联数据。有了情境信息，还可以从源头遏制威胁或补救风险。4.自动响应事故-通过自动化大大加快响应速度，减少分析师的工作量。自动化事故响应使用预构建的剧本或安全编排、自动化和响应(SOAR)工具来自动化工作流程、补救和漏洞遏制。借助AI，从过去的事故中持续汲取经验，提高了未来响应的自动化水平。 Cortex b y Palo Alto NetworksCDR解决的问题攻击者不区分云基础设施和企业结构。他们将企业视为一个单一的攻击面，在不同环境之间自由移动来窃取敏感数据、造成运营中断，并在相互连接的系统中部署恶意软件。由于云资源和内部部署资源已变得如此密不可分，攻破其中一个就意味着攻破另一个，从而植入勒索软件或外流数据。例 如 ， 如 果 黑 客 使 用 从 公 共 存 储 库 中 窃 取 的A P I密 钥 访 问云账户，就可以渗透到其他云资源中，从而提升权限、外泄数据、植入恶意软件或安装加密劫持软件。一旦云资源被攻破，对手很可能会发现与企业基础设施连接的应用程序、服务和身份之间的相互联系，从而发起跨域攻击，深入到企业的内部资源当中。要识别这种入侵后的横向移动，SOC需要具备扩展到整个IT基础架构的可视性和补救能力，而这些能力只有CDR才能提供。问题缺乏云安全态势的可视性。云的开发和部署速度手动流程延误调查并妨碍响应。无法确定警报的优先级。 |云检测与响应(CDR)的核心精要SOC分析师不知晓所有的云资产、漏洞、配置更改、运行的应用程序等。这就给调查大量警报带来了挑战，因为这些警报往往看起来毫不相干，也增加了遗漏跨域攻击的几率。开发人员不断部署新代码，基础设施不断变化，容器和虚拟机等主机也经常创建和销毁。攻击者的行动速度甚至比这还快。仅仅是每24小时扫描一次，更新资产清单态势和已知漏洞列表，就会给攻击者横向移动、提升权限和外泄数据留下可乘之机。迥然不同的工具导致安全团队需要手动的协作和工作流程，削弱了他们了解威胁范围和严重程度的能力。这显著延迟了MTTR，使企业面临持续不断的风险。缺乏情境信息使得安全团队无法识别高风险攻击路径，也无法确定影响业务关键数据和应用程序的活跃攻击和漏洞的警报优先级。 80%的安全暴露是在云中发现的188%在过去三年中，针对云的攻击增加了资料来源：Unit 42攻击面威胁研究，2023年9月 描述 Cortex b y Palo Alto Networks|云检测与响应(CDR)的核心精要CDR的5大业务优势CDR的目标有两个：在攻击成为漏洞之前阻止攻击，以及尽快检测和响应问题。这有助于企业：1.大幅降低泄露成本在复杂的攻击影响关键业务运营或危及敏感数据之前加以防范。2.提高安全团队的效率实现精确的威胁检测，消除警报疲劳，将MTTR从几天缩短至几分钟。3.做出更有战略性的业务决策以清晰、综合的方式将攻击可视化，从而促进更快、更明智的安全响应。4.更有效地分配资源自动确定高风险威胁的优先级，以便团队专注于高优先级的计划。5.降低运营成本自动化响应工作流程，减少人工干预，削减补救成本，最大限度减少业务中断。CDR如何融入SecOps工作流程CDR利用实时监控、高级分析和自动响应机制来检测云中的异常和潜在的安全事故，因此是SOC技术栈的理想补充。CDR和端点检测与响应(EDR)•除端点防护外，还关注特定于云的威胁，从而与EDR相辅相成•打造统一的安全方案，同时保护云基础设施和端点•消除云工作负载与端点之间的可视性差距CDR和安全信息及事件管理(SIEM)•利用特定于云的遥测和情境式洞察丰富SIEM数据集•通过集成的警报系统实现协调响应机制•提供跨云、混合和内部部署环境的统一可视性CDR和云原生应用保护平台(CNAPP)•在运行时提供实时的威胁检测和响应，从而更快地遏制活跃的云攻击。•确保整个应用生命周期（代码、构建、部署、运行）的安全。CNAPP通过部署保护开发环境，而CDR则在运行时保护工作负载，确保了从代码到云的持续安全性。•利用CNAPP的深度风险情境（错误配置、漏洞、暴露）与CDR的实时检测相结合，更快、更准确地确定威胁的优先级并做出响应。 认为，如果有一个解决方案能够自动发现相互关联的云安全缺陷，那么企业将受益匪浅。资料来源：2024年云原生安全现状报告 Cortex b y Palo Alto Networks|云检测与响应(CDR)的核心精要CDR和云工作负载保护平台(CWPP)•将CWPP针对特定工作负载的保护扩展至更广泛的云环境•通过对服务、应用程序和网络的持续监控增强安全性•从开发到运行时提供端到端防护云检测与响应评估清单要选择合适的CDR解决方案，就要考虑能够在云中实现强大的威胁预防、精确的威胁检测、更快的调查和自动化响应的关键特性和功能。以下是一些关键标准的清单，可帮助您评估CDR解决方案：1.全面的运行时防护›实时保护：在行为威胁、漏洞利用、恶意进程、勒索软件和恶意软件等复杂攻击升级之前就将其阻止。›端到端工作负载保护：在虚拟机、容器、Kubernetes和无服务器工作负载之间建立一致的安全性，无缝集成到各种云架构中。›漏洞利用防御：拦截Log4Shell和SpringShell等漏洞利用。›恶意软件防御：防止恶意软件、勒索软件和无文件攻击。2.精确的威胁检测›威胁情报：借鉴可靠的威胁研究，这些研究在加速检测新威胁方面有着良好的口碑。›威胁检测：将机器学习(ML)模型和代码到云情境与威胁情报相结合，从而发现传统工具忽略的威胁。使用ML模型聚合专有和公共威胁情报、云控制平面、数据平面和管理平面的广泛数据集。›MITREATT&CK映射：通过将检测结果映射到MITREATT&CK框架，提供对攻击生命周期的清晰洞察。利用分析和ML自动检测高级云威胁，将检测结果映射到MITREATT&CK战术。3.加快调查速度›攻击路径分析：将零散的警报整合为统一、连贯的攻击叙述，从第一个入侵指标开始提供对事故的整体视图。›根本原因分析：通过对云环境的全面洞察，快速确定事故的根本原因，减少人工调查的时间。›智能风险评分：提供基于AI的风险优先级排序，首先显示高风险事故，消除警报疲劳，使团队能够根据严重性处理警报，覆盖相关资产、威胁情报和历史模式。›情境化可视性：利用情境和遥测进行威胁检测和分析，从而加速调查。将云情境整合到整个企业的威胁活动全局中。›事故管理：提供事故管理视图，将相关警报归类为事故，描述攻击的所有要素，包括受影响的主机、用户和关键证物。4.自动响应›自动化剧本：支持广泛的自动化工作流程库，无需人工干预即可遏制事故、解决误报并修复风险。›更快的响应时间：自动执行重复性任务，接收关于补救策略的指