在多云环境中增强安全检测和响应的5个步骤

检测和响应（DR）实践与云安全之间的联系历来很薄弱。随着全球组织越来越多地采用云环境，安全策略主要集中在“左移”实践上——保护代码、确保适当的云态势和修复错误配置。然而，这种方法导致过度依赖涵盖云基础设施、工作负载甚至应用程序的众多DR工具。尽管有这些先进的工具，但组织通常需要几周甚至几个月的时间来识别和解决事件。

再加上工具蔓延、云安全成本飞升和大量误报的挑战，很明显，安全团队被捉襟见肘。许多人被迫做出艰难的决定，决定他们可以现实地防御哪些云漏洞。

通过遵循这五个有针对性的步骤，安全团队可以大大提高他们对云攻击的实时检测和响应能力。

第1步：添加运行时可见性和保护

当安全团队缺乏实时可见性时，他们基本上是盲目运作，无法有效应对威胁。虽然云原生监控工具、容器安全解决方案和EDR系统提供了有价值的见解，但它们往往专注于环境的特定层。通过使用eBPF（扩展伯克利数据包过滤器）传感器，实现了更全面的方法。eBPF可以在不破坏生产环境的情况下实现整个堆栈（网络、基础设施、工作负载和应用程序）的深度、实时可观察。通过在内核级别运行，它在不增加性能开销的情况下提供可见性，使其成为运行时安全的强大解决方案。

以下是此步骤需要利用的一些关键功能：

拓扑图：显示混合或多云资产如何通信和连接。
完整的资产可见性：在一个地方展示环境中的每项资产，包括集群、网络、数据库、机密和操作系统。
外部连接洞察：识别与外部实体的连接，包括有关原产国和DNS信息的详细信息。
风险评估：评估每项资产的风险水平，以及其对业务的影响。

第2步：使用多层检测策略

随着攻击者不断进化和逃避检测，在漏洞展开之前发现和阻止漏洞变得更加困难。这样做的最大挑战在于检测对手隐身的云攻击尝试，并利用多个攻击表面——从网络利用到托管服务内的数据注入——同时逃避云检测和响应（CDR）、云工作负载检测和响应（CWPP/EDR）以及应用程序检测和响应（ADR）解决方案的检测。事实证明，这种分散的策略是不充分的，允许攻击者利用层之间的间隙而不被注意到。

在单个平台上监控云、工作负载和应用程序层提供了最广泛的覆盖范围和保护。它使应用程序活动与基础设施变化实时相关化成为可能，确保攻击不再从裂缝中溜走。

以下是此步骤需要利用的一些关键功能：