传统终端是否会被云所取代?

茉冷
现代化的应用程序设计、威胁演变以及传统安全方法的弱点突出了对支持TDR和DFIR不同功能的需求。组织只有增强自己的能力才能成功地实施安全战略。

本文来自微信公众号数世咨询,作者/茉冷。

随着移动终端的广泛应用,传统终端的概念正在逐渐过时。云计算正不断促进着此项转变。数据是组织中最有价值的资产。当组织完全采用了云模式,那么传统的终端便失去了其效用价值。现代化的应用程序具有跨终端的特点,从而不再受到地理位置的限制。并且,应用程序的使用场景也不再局限在那些来自正规数据中心的受控办公点。终端的概念将不再是指台式机、笔记本电脑或服务器,其更有可能指的是API或服务。因此,必须针对这一改变,组织必须对其安全策略进行调整。否则,他们将会面临网络安全事故以及名誉受损的风险。

云攻击模式有所不同

由于云技术的广泛应用及其广阔的前景,网络攻击方式也随之发生了变化。那些危及到终端持久性的攻击模式更有可能会触发到安全监控机制,并向安全团队发出警报。攻击者不再需要进行那些不痛不痒的,例如网络钓鱼软件的攻击方式。他们可以通过许多其他方式来破坏凭证、滥用服务,或窃取那些有价值的重要数据。下面我们将举例一些无需接触终端的攻击方式:

·滥用权限升级与盗号

·利用数字供应链元素(例如程序依赖和存储库)

·加密劫持,或危害组织利益的比特币挖掘

·利用公开的云存储服务访问权限

·以机器身份为目标,而不是用户身份

·从云提供商的元数据api中抽取基础设施数据

收集与分析对云环境的交互为安全团队提供了上下文,也对威胁检测与响应、数字取证以及事件响应提供了支持。持续的分析为安全配置及工作内容提供了基线。一旦偏离这些基线也就意味着环境的异常或者存在潜在的攻击。当一系列看似相互关联的事件是组成复杂攻击链的一部分时,那么真相一定会很快浮出水面,以便安全团队能够对适当的响应进行优先考虑。然而,这在实践中是一个很难解决的问题,因为它需要进行跨环境以及跨技术堆栈的数据收集与关联。同时,攻击还可能会遍历本地环境和云环境,这取决于数据存在的位置或服务运行的位置。

组织使用传统工具的成功率很低

为了在现代化的体系结构中采用SecOps,组织往往会应用一系列的安全技术,然而这也给组织引入了一些安全漏洞。常见的技术方式包括:

·网络检测与响应(Network detection and response,NDR):网络检测与响应可以在传统环境中很好地发挥作用,但却无法适用于云环境。大部分业务流量的流动都需要经过组织外部的云服务。然而组织并没有完全掌握自己的云网络,所以组织无法将其作为真相的来源。

·端点检测与响应(Endpoint detection and response,EDR):终端可能根本不存在,工作负载的时间间隔只维持了很短一段时间。代理,特别是那些被视为重量级的代理在技术上是不可行的,往往会出现可用性的问题。组织不能像处理笔记本电脑或Windows工作站那样来处理容器的工作负载或云服务。

·扩展检测与相应(Extended detection and response,XDR)XDR旨在将所有类型的事件数据关联起来。实际上,XDR工具与笔记本电脑或台式电脑共享传统端点root。可以说,XDR就是下一代的EDR。

·安全信息和事件管理(Security information and event management,SIEM):作为SecOps的骨干,SIEM不幸地成为了收纳大量日志和事件流的“垃圾场“。组织依赖他们的SIEM来进行对勒索软件以及网络钓鱼攻击等事件的预警。然而,对于SIEM,组织往往会面临一个成本问题。并且分析人员在那些可能已经失去执行操作能力的数据上也浪费了过多的时间。SOC现代化工作通常强调要减少输入到SIEM实例的提要数量,以提高安全事件的信噪比。

云端检测与响应的特征

现代化的应用程序设计、威胁演变以及传统安全方法的弱点突出了对支持TDR和DFIR不同功能的需求。组织只有增强自己的能力才能成功地实施安全战略。数世咨询基于云主机的特殊性,定义了新的方向——主机检测与响应(host detection and response,HDR)贴上其特征的标签。HDR的特征包括:

·通过对主机遥测、工作负载遥测以及云事件源进行收集与分析,来统一跨传统环境、云环境以及云原生环境的可视性。

·通过基于服务分析、可扩展且定制化的规则以及基于ML的检测自动化,来改进平均检测时间(mean-time-to-detect,MTTD)安全事件。

·通过针对组织独特环境的指南,来改进平均响应时间(mean-time-to-respond,MTTR)。

·使用例如AWS CloudFormation、Terraform,、或者Kubernetes YAML等自动生成的代码格式,来加快补救速度,从而缩短修复时间。

·通过API同非安全和SecOps系统的集成,来构建将开发、操作以及安全团队连接起来的工作流桥梁。

SecOps的当前状态有时会不禁让人想起早期的应用程序安全和基础设施安全。那时,从业者第一次开始纠结起数字转型。DevOps的实践非常强调自动化。组织可以迅速地卸载并重新部署安全应用程序,但面对如今转变的现实,SecOps方式也需要进行不断的调整发展。对于那些必须在现代化体系结构中维护安全操作的组织来说,CDR功能是一个可行的道路。

数世点评:

如今“云计算”的时代,“上云”已经成为一种势不可挡的潮流,而越来越多的攻击也开始集中在云环境中。在没有合适的安全架构和策略的情况下,冒然“上云”势必会使组织面临各种新型的安全风险及其相关的合规法律问题。在将关键的工作负载以及数据部署到云端之前,云提供商的安全模型及其局限性、数据加密以及与云提供商之间的共同责任模型等问题,都是组织需要提前了解与考虑的内容。

THEEND

最新评论(评论仅代表用户观点)

更多
暂无评论