当网络攻击跨越网络时,从网络流量中获取质量和相关数据对于安全操作至关重要。这一点在中国尤其重要云环境在那里,安全团队的交通能见度有限或没有,使他们对恶意攻击视而不见。如果没有对网络流量的普遍可见性和深入洞察,威胁搜索和事件响应团队就无法发挥作用。乐动体育菠菜Garland Technology最近采访了Corelight的产品高级总监Vijit Nair,讨论威胁狩猎的重要性,以及如何在正确的工具和方向下,使其比你想象的更容易实现。
1.你如何定义事件响应过程?
事件响应是组织响应入侵的过程。安全团队必须有明确的计划和明确的行动手册,以帮助他们快速应对事件并限制损失。为此,他们必须配备高保真数据,以便对警报进行分类、排除误报、上报实际事件并深入调查。
2.在深入研究特定的云环境之前,让我们先看看安全性的更大的图景。你能解释一下威胁捕猎和事件反应之间的区别吗?
威胁搜寻是一种假设驱动的活动,搜索未被发现且目前隐藏在网络中的威胁。威胁搜寻通常从网络中潜在问题的假设开始,然后深入数据寻找有趣的东西。当入侵检测系统检测到问题并生成警报时,事件响应起作用,它是一种反应式方法,而威胁搜索是主动的。如果检测到恶意内容,威胁搜寻可能会触发事件响应。这是一个Corelight的威胁狩猎指南围绕MITRE ATT&CK框架组织。
3.AWS、谷歌和Azure等云平台的转变带来了许多安全问题。在处理这些云环境时,是什么让威胁捕猎变得如此困难?
在云环境中,共享责任模型限制了可见性,而分布式云服务和混合环境则扩大了攻击面。自动化和规模化放大了错误配置,使其成为云安全的最大威胁。特权身份和访问管理(IAM)占所有数据泄露的70-80%。将工作负载迁移到云的企业负责应用程序的安全性,但不具备保护它们所需的可视性。
云环境中的威胁搜索需要全面的可见性,这在IaaS(基础设施即服务)环境中是一个挑战。安全Op团队需要确保在每个服务上配置(并保持配置)日志记录,将每个服务的日志类型导入SIEM,导航设计糟糕的模式,并跨不同云环境的日志进行关联。
>>现在阅读:如何克服数据包可见性的挑战
云端[免费白皮书]
4.安全团队如何减轻云风险带来的困难?
安全团队必须使用网络监控来补充应用程序级别的可见性。有了云环境的鸟瞰图,组织就可以看到高价值资产、多云环境之间的特权边界和其他瓶颈。网络监视提供了对环境的一个无需判断的视图,并且与云提供商、应用程序和服务无关。开源工具,如Zeek,长期以来一直被认为是持续网络安全监控的实际标准,其模式是专门为SOC团队构建的。Zeek及其社区开发的内容的可扩展性允许您轻松地使用上下文和相关性来丰富数据。
5.目前,每个云平台都有不同的安全方式。Azure环境如何使安全和威胁搜索具有挑战性?
缺乏应用程序级别的可见性和全面的日志记录是组织希望通过网络监视来获得其环境的规范化视图的原因。数据包不会说谎,IT和安全专业人员需要这种级别的可视性和访问能力来检测连接的应用程序的安全异常并分析网络性能。Azure中明显缺乏这种可见性,这使得IT团队使用过时的工具(如tcpdump和Microsoft Network Monitor)而不是本机解决方案来检查单个主机的小数据包捕获。
6.如Garland Prism vTAP这样的包级可见性如何在云环境中扩展Corelight解决方案?
云存在的一个主要挑战是将包级数据传递给工具。当数据通过公共互联网电路时,可能会出现一定程度的丢包。Corelight需要对整个环境中所有交通数据的可见性。这就是为什么我们和加兰合作,在这个例子中花环棱镜,以帮助驱动Corelight传感器检测和响应恶意数据所需的精确高级数据包数据。
7.威胁狩猎团队如何利用这种可见性来保护他们的云环境?
一个很好的起点是最近发布的MITRE ATT&CK云计算矩阵为企业。这个矩阵涵盖了对手采用的基于云的ttp。除此之外,Corelight还将其整合在一起一个工具在ATT&CK矩阵中识别ttp,其中Corelight数据可用于发现和挫败攻击者。
例如:
- T1020 -自动撤离:云存储中的数据泄露是云计算中最常见的数据泄露源之一。“生产者-消费者比率”软件包有助于维护者确定两台主机之间数据传输的典型方向和数量,并确定数据传输何时发生变化。
- T1110–蛮力: IAM帐户泄露使得攻击者可以在不被发现的情况下通过云环境,造成严重破坏。Corelight的数据可以帮助监控通过SSH进行的密码猜测或暴力强制攻击。即使是加密的通信在美国,Corelight依靠用户行为而不是内容从流量中收集不可恢复的见解。
8.您提到了Corelight平台中的新威胁搜寻功能。您能否详细介绍Corelight最近在您当前产品中的扩展?
是的!我们最近根据云加密数据的变化更新了Corelight云传感器的功能。加密流量继续上升。防御者需要配备威胁搜索工具,以便在没有解密选项时将合法行为与恶意活动分开。扩展称为Corelight加密流量收集(ETC),它扩展了防御者在加密环境中的事件响应和威胁搜索能力。Corelight ETC非常棒,因为它包含了许多由Corelight研究团队开发的包,比如通过SSH连接推断按键的能力,以及来自开源社区Zeek的管理包。今年早些时候,我们很兴奋地推出了这项服务。
9.随着云环境和威胁搜索的持续发展,我们显然还没有看到终结——您认为云安全的新兴趋势是什么?
随着企业加速迁移,云应用将继续有增无减。随着微服务和无服务器架构的采用,云服务将变得更加普遍和分布式。我们预计云安全挑战将以同样的速度增长。组织将被迫从以合规/预防为中心的思维模式转变为建立成熟的SOC团队,以应对云安全中出现的威胁。
想补充一下吗Corelight溶液到您的云部署,但不确定从哪里开始?加入我们来了解一下网络设计信息技术咨询或演示. 没有义务-这是我们喜欢做的事!
