技术领域的一个普遍真理是,安全总是落后于创新。企业在寻求创新、提高效率以及在日益拥挤的市场中制造混乱时,必须迅速采取行动。生活在最前沿意味着你会得到一些削减,但是不采用新技术的风险比一些系统故障或者缺陷的风险更大。一个挑战是,在界限被打破之前,新的风险往往并不明显。以现代汽车为例。最早的无马马车没有座位限制的概念或需要。随着车速的提高,需要系上安全带。随着伤亡人数的攀升,安全性开始迎头赶上,安全气囊的发明、随后的碰撞预警系统、现代自动紧急制动和自动驾驶汽车开始出现。
我们要去的地方,不需要道路吗
由于云的高速运行,虚拟伤害非常频繁。云操作的新方式正在将企业推向极限。我们曾经把安全工作的重点放在保护单一的单一应用程序和服务器上,而新的现代应用程序分布在容器、微服务和不同的云提供商之间。几乎所有的东西都是由供应商提供给企业的“作为服务”。从 IaaS、 PaaS 和 FaaS 到 NaaS 和 SaaS,只要选择一个字母,可能就会有相应的云供应商提供匹配的服务。随着这些云计算资源变得更加分布式和抽象,人们要操作和维护的东西实在太多了。因此,开发人员采用了“一切作为代码”的方法,将丰富的 API 与脚本和配置相结合。这种方法将基础设施、操作、组态管理和安全视为“代码”,所有这些都推动了自动化、规模和弹性的提高。但是,在这个云计算的时代,“力量越大,责任越大”这句格言是非常恰当的。
这种以一切为代码的方法是现代可观测性的根源,它是从传统的简单日志监视、应用程序性能监视(APM)和基础设施指标发展而来的,用于重新定义开发人员如何从可观测性设计方法编写应用程序。可观测性驱动的设计框架帮助开发人员在设计和探索期间理解并清晰地将操作和安全用例转化为功能性和非功能性需求。这促使开发人员开发与其他框架(如 GitOps 和零信任)具有最高兼容性的应用程序,并为 IT 和业务中所有涉众的分析需求提供服务。这自然而然地演变为优化遥测管道和自动化控制平面的体系结构。现代服务和基础设施被编写成与广泛采用的以标准为基础的声明性遥测管道(CNCF 景观、开放遥测)和自动控制(Sensu)相结合,这释放了该组织加速 AIOps 和数字转型的能力。
在一个开发人员被授权以比他们的支持者更快的速度开发新资源和部署新代码的环境中,我们如何保护分布在这么多云服务中的应用程序和数据?这就像试图在一个道路自动改变路线,地图每分钟都被重新绘制的世界里导航。随着这种数字化转变带来的所有变化,公司继续考虑这种演变的安全影响和重新工具以保护这个新的无服务器世界是至关重要的。
对无服务器应用程序的新威胁
最近,Cado 实验室发现了第一个专门针对 AWS Lambda 服务的恶意软件。AWS Lambda 是一个事件驱动的无服务器计算服务,可以执行任何定义的计算任务,从服务 页到处理数据,再到调用其他 API 或与各种 AWS 服务交互。Cado 将这个新变种的恶意软件命名为“ Denonia”他们描述了保护这些函数的下列挑战: “短的运行时间,大量的执行,以及 Lambda 函数的动态性和短暂性,可能会使检测、调查和响应潜在的妥协变得困难。在 AWS 共享责任模型下,AWS 保护底层的 Lambda 执行环境,但是由客户自己来保护功能。[ Denonia ]展示了攻击者如何使用先进的云特定知识来利用复杂的云基础设施,并且预示着未来潜在的、更加邪恶的攻击。”[缪尔,马特。“ Cado 发现 Denonia: 第一个专门针对 Lambda 的恶意软件”卡多博客。卡多安保2022年4月6日]
现代应用程序的现代安全
Sumo Logic 已经运营并帮助客户应对这些挑战超过12年。最初只是一小群机器数据狂人的团队已经发展起来了。利用云来增强企业实时分析服务能力的初步想法现在是一个先进的云本地平台,它为云计算的几乎所有方面提供了可观察性、安全性和自动化。我们的驱动任务的关键是跨 ITOps、 DevOps 和 SecOps 的数据和遥测的民主化,以及通过我们的云分析和云安全数据湖“将光明带入黑暗”。我们相信只有可靠的信息和背景才能产生更好的决策并消除不确定性。为了实现这一目标,我们构建了一个作为安全 SaaS 交付和使用的应用程序可靠性和安全性平台。
Sumo Logic SIEM 相关 AWS 检测的时间线视图
Sumo Logic Cloud SIEM 提供了一个受管理的规则库,涵盖了主要的云服务提供商及其服务。
面对像 Denonia 这样的新威胁,组织必须有一个平台来关联由现代信息技术堆栈生成的许多不同的服务和机器数据流。对于 AWS 来说,这意味着与 AWS CloudTrail、 CloudWatch、 VPC Flow、 GuardTax 和 SecurityHub 等无缝集成。
安全和开发团队可以利用 Sumo Logic 的统一平台来实现真正的 DevSecOps,以便“左移”并改善他们的安全态势。它足够灵活,可以跟踪配置和服务中的更改,而不需要花费数小时的手动跟踪和发现工作。它将安全警 和应用程序警 及故障分流到单个组织队列中。这得益于检测内容的更新以及对不断变化的威胁环境的响应ーー对于像 Denonia 这样的威胁来说再好不过了。SUMO Logic Cloud SIEM 管理着数百条开箱即用的检测和相关规则,我们平均每周两次在全球范围内更新这些规则。作为一个示例,我们分析并部署了在 Log4Shell 漏洞公开发布后24小时内检测所有 Cloud SIEM 客户的攻击尝试的规则。由于攻击者会更新 JNDI 字符串的模糊处理,因此我们迅速而持续地更新规则以捕捉其他技术。
就 Denonia 而言,其有效载荷的设计目的是通过利用受感染的资源运行加密软件(有时被称为加密窃取) ,将攻击货币化。但损失可能会更严重。组织应该问自己,如果他们的 AWS 凭证或密钥被盗,他们需要多长时间来确定妥协的指标?云服务及其产生的 络流量是否具有足够的可见性,例如与 Denonia 的 Monero 服务器的通信?CPU 和内存使用的峰值会被开发团队注意到吗? 或者这些异常值会在度量噪声中丢失吗?需要多少工具才能将应用程序跟踪数据、度量数据、日志数据和安全信 联系起来?这种相关性本身往往需要时间、成本和降低 络弹性。Sumo Logic 的云本地分析解决方案的优势在于,它在单一平台内提供可观察性、跟踪、 SIEM 和 SOAR 功能。
本人抖音账 :里面有最新最流行的automation devops等技术的介绍,欢迎大家一键三连。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!