spot_img
10.1 C
São Paulo
spot_img
HomeTop Global NewsAI5 Passos Cruciais para Melhorar a Segurança em Nuvem!

5 Passos Cruciais para Melhorar a Segurança em Nuvem!

Alegon
By Alegon

Introdução

Historicamente, a conexão entre práticas de detecção e resposta (DR) e a segurança em nuvem tem sido fraca. Com a adoção crescente de ambientes em nuvem por organizações globais, as estratégias de segurança se concentraram amplamente em práticas como “shift-left” — que envolvem a segurança do código, a garantia de uma postura de nuvem adequada e a correção de configuração inadequadas. No entanto, essa abordagem resultou em uma dependência excessiva de uma infinidade de ferramentas de DR que abrangem infraestrutura em nuvem, cargas de trabalho e até aplicações. Apesar dessas ferramentas avançadas, muitas organizações ainda levam semanas ou até meses para identificar e resolver incidentes.


Detection and Response

Além disso, os desafios relacionados à proliferação de ferramentas, os crescentes custos de segurança em nuvem e o volume esmagador de falsos positivos demonstram que as equipes de segurança estão esticadas ao limite. Muitas são forçadas a tomar decisões difíceis sobre quais brechas em nuvem podem realmente defender.

Cinco Passos para Melhorar a Detecção e Resposta em Tempo Real

Seguindo esses cinco passos direcionados, as equipes de segurança podem aprimorar significativamente suas capacidades de detecção e resposta em tempo real a ataques em nuvem.

Passo 1: Adicionar Visibilidade e Proteção em Tempo de Execução

Quando as equipes de segurança carecem de visibilidade em tempo real, elas operam essencialmente no escuro, incapazes de responder efetivamente a ameaças. Embora ferramentas de monitoramento nativas de nuvem, soluções de segurança para contêineres e sistemas EDR ofereçam insights valiosos, elas tendem a focar em camadas específicas do ambiente. Uma abordagem mais abrangente é alcançada com o uso de sensores eBPF (Extended Berkeley Packet Filter), que permite uma observabilidade profunda e em tempo real em toda a pilha — rede, infraestrutura, cargas de trabalho e aplicações — sem interromper os ambientes de produção.

A seguir estão algumas capacidades-chave a serem aproveitadas nesse passo:

  • Gráficos de Topologia: Mostram como os ativos híbridos ou multinuvem se comunicam e se conectam.
  • Visibilidade Total de Ativos: Exibem todos os ativos no ambiente, incluindo clusters, redes, bancos de dados, segredos e sistemas operacionais, tudo em um só lugar.
  • Insights de Conectividade Externa: Identificam conexões com entidades externas, incluindo detalhes sobre o país de origem e informações sobre DNS.
  • Avaliações de Risco: Avaliam o nível de risco de cada ativo, juntamente com seu impacto nos negócios.

Detection and Response

Passo 2: Usar uma Estratégia de Detecção em Múltiplas Camadas

À medida que os atacantes continuam a evoluir e a evadir a detecção, torna-se mais difícil identificar e conter brechas antes que elas ocorram. O maior desafio ao fazer isso é detectar tentativas de ataque em nuvem, onde os adversários são furtivos e exploram várias superfícies de ataque — desde a exploração da rede até a injeção de dados dentro de um serviço gerenciado — enquanto evitam a detecção por soluções de detecção e resposta em nuvem (CDR), detecção e resposta de cargas de trabalho em nuvem (CWPP/EDR), e soluções de detecção e resposta de aplicações (ADR).

A monitorização das camadas de nuvem, cargas de trabalho e aplicações em uma única plataforma proporciona a maior cobertura e proteção. Isso permite correlacionar a atividade da aplicação com mudanças na infraestrutura em tempo real, garantindo que ataques não escapem da detecção.

A seguir estão algumas capacidades-chave a serem aproveitadas nesse passo:

  • Detecção de Pilha Completa: Detecta incidentes de várias fontes através da nuvem, aplicações, cargas de trabalho, redes e APIs.
  • Detecção de Anomalias: Utiliza aprendizado de máquina e análise comportamental para identificar desvios dos padrões normais de atividade que podem indicar uma ameaça.
  • Detecção de Ameaças Conhecidas e Desconhecidas: Identifica eventos de acordo com assinaturas, IoCs, TTPs e táticas conhecidas do MITRE.
  • Correlação de Incidentes: Correlaciona eventos de segurança e alertas de diferentes fontes para identificar padrões e ameaças potenciais.

Detection and Response

Passo 3: Visualizar Vulnerabilidades na Mesma Janela que Seus Incidentes

Quando as vulnerabilidades estão isoladas dos dados de incidentes, o potencial para respostas atrasadas e sobrecargas aumentam. Isso ocorre porque as equipes de segurança acabam carecendo do contexto necessário para entender como as vulnerabilidades estão sendo exploradas ou a urgência de corrigi-las em relação aos incidentes em andamento.

Ademais, quando os esforços de detecção e resposta utilizam monitoramento em tempo de execução (como explicado acima), o gerenciamento de vulnerabilidades se torna muito mais eficaz, concentrando-se em riscos ativos e críticos para reduzir o ruído em mais de 90%.

A seguir estão algumas capacidades-chave a serem aproveitadas nesse passo:

  • Prioritização de Risco: Avalia vulnerabilidades de acordo com critérios críticos — como se estão carregadas na memória das aplicações, se estão executadas, se são voltadas ao público, exploráveis ou corrigíveis — para se concentrar nas ameaças que realmente importam.
  • Descoberta da Causa Raiz: Encontra a causa raiz de cada vulnerabilidade (em profundidade até a camada de imagem) para lidar com o problema o mais rápido possível e corrigir múltiplas vulnerabilidades de uma só vez.
  • Validação de Correções: Realiza análises ad-hoc de imagens antes de serem implantadas para garantir que todas as vulnerabilidades foram tratadas.
  • Conformidade Regulatória: Lista todas as vulnerabilidades ativas como um SBOM para cumprir com a conformidade e regulamentos regionais.

Passo 4: Incorporar Identidades para Compreender o “quem”, “quando” e “como”

Os atores de ameaça costumam utilizar credenciais comprometidas para executar seus ataques, participando de roubos de credenciais, tomas de conta de contas, entre outras ações. Isso lhes permite disfarçar-se como usuários legítimos dentro do ambiente e passar despercebidos por horas ou até dias. A chave é ser capaz de detectar essa impersonação e a maneira mais eficaz de fazer isso é estabelecendo uma linha de base para cada identidade, humana ou não.

Uma vez que o padrão de acesso típico de uma identidade é compreendido, detectar comportamentos incomuns torna-se uma tarefa mais simples. A seguir estão algumas capacidades-chave a serem aproveitadas para este passo:

  • Monitoramento de Linha de Base: Implementa ferramentas de monitoramento que capturam e analisam o comportamento padrão tanto de usuários quanto de aplicações, rastreando padrões de acesso, uso de recursos e interações com dados.
  • Segurança de Identidades Humanas: Integra-se com provedores de identidade para visibilidade sobre o uso de identidades humanas, incluindo horários de login, locais, dispositivos e comportamentos, permitindo a rápida detecção de tentativas de acesso não autorizadas.
  • Segurança de Identidades Não Humanas: Rastreia o uso de identidades não humanas, fornecendo insights sobre suas interações com recursos em nuvem e destacando qualquer anomalia que poderia sinalizar uma ameaça à segurança.
  • Segurança de Segredos: Identifica cada segredo em seu ambiente de nuvem, rastreando como ele é usado em tempo de execução e destacando se está sendo gerenciado de forma segura ou em risco de exposição.

Passo 5: Ter uma Multidão de Ações de Resposta Disponíveis para Intervenções Contextuais

Cada tentativa de violação apresenta seus próprios desafios únicos, o que torna essencial ter uma estratégia de resposta flexível que se adapte à situação específica. Por exemplo, um atacante pode implantar um processo malicioso que requer uma terminação imediata, enquanto um outro evento em nuvem pode envolver uma carga de trabalho comprometida que precisa ser colocada em quarentena para evitar mais danos.

Uma vez que um incidente é detectado, as equipes de segurança também precisam do contexto para investigar rapidamente, como histórias de ataques abrangentes, avaliações de danos e manuais de resposta.

A seguir estão algumas capacidades-chave a serem aproveitadas nesse passo:

  • Manuais de Resposta: Fornecem respostas passo a passo para cada incidente detectado, permitindo intervenções confiantes e a terminação da ameaça.
  • Intervenção de Ataque Personalizada: Oferece a capacidade de isolar cargas de trabalho comprometidas, bloquear tráfego de rede não autorizado ou terminar processos maliciosos.
  • Análise da Causa Raiz: Determina a causa subjacente do incidente para prevenir recorrências, analisando o vetor de ataque, vulnerabilidades exploradas e fraquezas nas defesas.
  • Integração com SIEM: Integra-se com sistemas de Gerenciamento de Informação e Eventos de Segurança (SIEM) para aprimorar a detecção de ameaças com dados contextuais.

Conclusão

Ao implementar esses cinco passos, as equipes de segurança podem aumentar suas capacidades de detecção e resposta e efetivamente parar violação de dados em nuvem em tempo real com total precisão. O momento para agir é agora – Comece hoje com a Sweet Security.

Achou este artigo interessante? Este artigo é uma contribuição de um dos nossos parceiros valorizados. Siga-nos no Twitter e no LinkedIn para ler mais conteúdos exclusivos que postamos.

#Segurança #Nuvem #DetecçãoEResposta #Cibersegurança #Vulnerabilidades #Monitoramento #RespostaARisco

Fonte:https://thehackernews.com/2024/10/5-steps-to-boost-detection-and-response.html

Previous article
Desmascarando o Perigo Oculto na Segurança do Software!
Next article
Descubra a Nova Revolução da Peanut para Gestantes!

latest articles

explore more

Bem-vindo ao meu site! Aqui você encontrará assuntos que fazem parte do meu dia a dia, com temas variados que refletem meus interesses e experiências. Sente-se, pegue um café e aproveite o conteúdo que preparei com carinho. Tenho certeza de que você vai curtir!

most viewed

trending right now

Copyright © Alegon.

Disclaimer

FAQ

Cookies

Privacy

About

Contact us