A ligação entre as práticas de detecção e resposta (DR) e a segurança na nuvem tem sido historicamente fraca. À medida que as organizações globais adotam cada vez mais ambientes de nuvem, as estratégias de segurança têm se concentrado principalmente em práticas de “mudança para a esquerda” — protegendo o código, garantindo a postura adequada da nuvem e corrigindo configurações incorretas. No entanto, esta abordagem levou a uma dependência excessiva de uma multiplicidade de ferramentas de DR que abrangem infraestruturas de nuvem, cargas de trabalho e até mesmo aplicações. Apesar dessas ferramentas avançadas, as organizações geralmente levam semanas ou até meses para identificar e resolver incidentes.
Adicione a isso os desafios da expansão de ferramentas, dos crescentes custos de segurança na nuvem e dos volumes esmagadores de falsos positivos, e fica claro que as equipes de segurança estão sobrecarregadas. Muitos são forçados a tomar decisões difíceis sobre quais violações da nuvem podem se defender de forma realista.
Seguindo essas cinco etapas específicas, as equipes de segurança podem melhorar muito seus recursos de detecção e resposta em tempo actual para ataques na nuvem.
Etapa 1: adicionar visibilidade e proteção em tempo de execução
Quando as equipes de segurança não têm visibilidade em tempo actual, elas operam essencialmente às cegas, incapazes de responder de forma eficaz às ameaças. Embora as ferramentas de monitoramento nativas da nuvem, as soluções de segurança de contêineres e os sistemas EDR ofereçam insights valiosos, eles tendem a se concentrar em camadas específicas do ambiente. Uma abordagem mais abrangente é alcançada usando sensores eBPF (Prolonged Berkeley Packet Filter). O eBPF permite observabilidade profunda e em tempo actual em toda a pilha (rede, infraestrutura, cargas de trabalho e aplicativos) sem interromper os ambientes de produção. Ao operar no nível do kernel, ele oferece visibilidade sem aumentar a sobrecarga de desempenho, tornando-o uma solução poderosa para segurança em tempo de execução.
Aqui estão alguns recursos principais a serem aproveitados nesta etapa:
- Gráficos de topologia: Exibe como os ativos híbridos ou multinuvem se comunicam e se conectam.
- Visibilidade complete dos ativos: Exibe todos os ativos do ambiente, incluindo clusters, redes, bancos de dados, segredos e sistemas operacionais, tudo em um só lugar.
- Insights de conectividade externa: Identifica conexões com entidades externas, incluindo detalhes sobre o país de origem e informações de DNS.
- Avaliações de risco: Avalie o nível de risco de cada ativo, juntamente com o seu impacto no negócio.
Etapa 2: use uma estratégia de detecção em várias camadas
À medida que os invasores continuam a evoluir e a evitar a detecção, fica mais difícil encontrar e impedir violações antes eles se desdobram. O maior desafio ao fazer isso reside na detecção de tentativas de ataque na nuvem, onde os adversários são furtivos e exploram múltiplas superfícies de ataque – desde a exploração da rede até a injeção de dados dentro de um serviço gerenciado – ao mesmo tempo em que evitam a detecção por detecção e resposta na nuvem (CDR), detecção de carga de trabalho na nuvem e resposta (CWPP/EDR) e soluções de detecção e resposta de aplicativos (ADR). Esta estratégia fragmentada revelou-se inadequada, permitindo que os atacantes explorassem as lacunas entre as camadas para passarem despercebidos.
O monitoramento da nuvem, das cargas de trabalho e das camadas de aplicativos em uma única plataforma oferece a mais ampla cobertura e proteção. Ele torna possível correlacionar a atividade dos aplicativos com as mudanças na infraestrutura em tempo actual, garantindo que os ataques não passem mais despercebidos.
Aqui estão alguns recursos principais a serem aproveitados nesta etapa:
- Detecção de pilha completa: detecta incidentes de diversas fontes na nuvem, aplicativos, cargas de trabalho, redes e APIs.
- Detecção de anomalias: utiliza aprendizado de máquina e análise comportamental para identificar desvios dos padrões normais de atividade que podem indicar uma ameaça.
- Detecta ameaças conhecidas e desconhecidas: Identifica eventos de acordo com assinaturas, IoCs, TTPs e táticas conhecidas do MITRE.
- Correlação de Incidentes: Correlaciona eventos e alertas de segurança em diferentes fontes para identificar padrões e ameaças potenciais.
Comece hoje mesmo com detecção e resposta em várias camadas.
Etapa 3: visualize as vulnerabilidades no mesmo painel dos seus incidentes
Quando as vulnerabilidades são isoladas dos dados de incidentes, aumenta o potencial de atrasos nas respostas e na supervisão. Isso ocorre porque as equipes de segurança acabam não tendo o contexto necessário para entender como as vulnerabilidades estão sendo exploradas ou a urgência de corrigi-las em relação a incidentes contínuos.
Além disso, quando os esforços de detecção e resposta aproveitam o monitoramento do tempo de execução (conforme explicado acima), o gerenciamento de vulnerabilidades se torna muito mais eficaz, concentrando-se nos riscos ativos e críticos para reduzir o ruído em mais de 90%.
Aqui estão alguns recursos principais a serem aproveitados nesta etapa:
- Priorização de riscos – Avalia vulnerabilidades de acordo com critérios críticos — como se elas estão carregadas na memória dos aplicativos, são executadas, voltadas ao público, exploráveis ou corrigíveis — para focar nas ameaças que realmente importam.
- Descoberta da causa raiz – Encontra a causa raiz de cada vulnerabilidade (tão profunda quanto a camada da imagem) para atacar a raiz o mais rápido possível e corrigir múltiplas vulnerabilidades de uma só vez.
- Validação de correções – Aproveita a verificação advert hoc de imagens antes de serem implantadas para garantir que todas as vulnerabilidades foram resolvidas.
- Aderência ao Regulamento – Lista todas as vulnerabilidades ativas como um SBOM para cumprir a conformidade e os regulamentos regionais.
Etapa 4: incorporar identidades para entender “quem”, “quando” e “como”
Os agentes de ameaças muitas vezes aproveitam credenciais comprometidas para executar seus ataques, envolvendo-se em roubo de credenciais, tomada de controle de contas e muito mais. Isso permite que eles se disfarcem como usuários legítimos dentro do ambiente e passem despercebidos por horas ou até dias. A chave é ser capaz de detectar essa personificação e a maneira mais eficaz de fazer isso é estabelecer uma linha de base para cada identidade, humana ou não. Uma vez compreendido o padrão de acesso típico de uma identidade, é fácil detectar comportamentos incomuns.
Aqui estão alguns recursos principais a serem aproveitados nesta etapa:
- Monitoramento de linha de base: Implementa ferramentas de monitoramento que capturam e analisam o comportamento básico de usuários e aplicativos. Essas ferramentas devem rastrear padrões de acesso, uso de recursos e interação com dados.
- Segurança de Identidades Humanas: Integra-se com provedores de identidade para visibilidade do uso da identidade humana, incluindo horários de login, locais, dispositivos e comportamentos, permitindo a detecção rápida de tentativas de acesso incomuns ou não autorizadas.
- Segurança de identidades não humanas: Rastreia o uso de identidades não humanas, fornecendo insights sobre suas interações com os recursos da nuvem e destacando quaisquer anomalias que possam sinalizar uma ameaça à segurança.
- Segurança de segredos: Identifica todos os segredos do seu ambiente de nuvem, rastreia como eles são usados em tempo de execução e destaca se eles são gerenciados com segurança ou se correm risco de exposição.
Passo 5: Tenha uma infinidade de ações de resposta disponíveis para intervenção contextual
Cada tentativa de violação tem os seus próprios desafios a superar, por isso é essencial ter uma estratégia de resposta flexível que se adapte à situação específica. Por exemplo, um invasor pode implantar um processo malicioso que exija encerramento imediato, enquanto um evento de nuvem diferente pode envolver uma carga de trabalho comprometida que precisa ser colocada em quarentena para evitar maiores danos. Depois que um incidente é detectado, as equipes de segurança também precisam do contexto para investigar rapidamente, como histórias abrangentes de ataques, avaliações de danos e manuais de resposta.
Aqui estão alguns recursos principais a serem aproveitados nesta etapa:
- Manuais: Forneça respostas passo a passo para cada incidente detectado para intervir com confiança e encerrar a ameaça.
- Intervenção de ataque personalizada: Oferece a capacidade de isolar cargas de trabalho comprometidas, bloquear tráfego de rede não autorizado ou encerrar processos maliciosos.
- Análise de causa raiz: Determina a causa subjacente do incidente para evitar recorrência. Isso envolve a análise do vetor de ataque, das vulnerabilidades exploradas e dos pontos fracos das defesas.
- Integração com SIEM: integra-se a sistemas de gerenciamento de eventos e informações de segurança (SIEM) para aprimorar a detecção de ameaças com dados contextuais.
Ao implementar essas cinco etapas, as equipes de segurança podem aumentar seus recursos de detecção e resposta e impedir efetivamente violações na nuvem em tempo actual com complete precisão. A hora de agir é agora – comece hoje mesmo com Candy Safety.
