雲端偵測與回應(CDR)是一種全方位的雲原生方法,可偵測及處理雲端內的網絡威脅。
目錄
企業使用雲端方案的主要原因之一就是幾乎可以無限擴充。但規模越大,雲端環境就越複雜,更難防範網絡威脅。雲端偵測與回應結合了現有及新穎功能,為資訊保安團隊提供單一、整合的解決方案來偵測與回應雲端威脅。
重要的是,雲端偵測與回應採用雲原生技術,意味著它本身就是雲端,反映出雲端應用程式和基礎架構的獨特運作方式。它可在單一或多重雲端環境中提供防護。
有時,雲端偵測與回應又稱為雲端威脅偵測與回應(CTDR)或雲原生偵測與回應(CNDR)。
為何雲端偵測與回應很重要?
絕大多數的企業都依一個或多個雲端應用程式或雲端基礎架構執行個體來達成業務。雲端方案在營運與交易上的普及性與核心角色,令雲方案成為網絡攻擊的主要目標。
歹徒通常會竊取登入憑證來滲透雲端環境,進而取得帳號。一旦進入,他們會尋找「升級」權限的方法,以便存取越來越敏感的功能和資料。他們可能試圖竊取(外傳)私人或受保護的資訊,也可能挾持企業購買的雲資源,進而利用這些資源(如虛擬加密貨幣挖礦)。
專為傳統企業網絡/資訊科技環境設計的獨立網絡資訊保安工具,並不適合雲端的開放性、複雜性和規模,因此企業必須部署一套雲端偵測與回應方案。
雲端偵測與回應與傳統資訊保安方法有何不同?
有別於其他網絡資訊保安方案,雲端偵測及回應是雲原生的。正因如此,雲端偵測與回應工具就能以「雲端規模」的方式運作,並且跟上雲端本身不斷變化的(動態)特性。包括即時偵測威脅,以及利用雲端功能來自動回應威脅,速度遠遠超過人工作業團隊。
雲端偵測與回應如何運作?
雲端偵測與回應工具可提供即時威脅偵測與自動化威脅回應:
- 即時威脅偵測依賴雲端資料持續監控與分析,盡早發掘任何網絡資訊保安威脅徵兆或實際資料外洩事件(亦稱入侵指標)。例如用戶活動和行為、網絡流量等,可能牽涉到來自各種來源的大量資訊。目標是要讓雲端環境全面掌握可視性。
- 自動化威脅回應的重點是使用軟件工具來攔截可能遭到入侵的雲端資源、攔截可疑 IP 位址的流量,並提供事後分析,讓資訊保安團隊從雲端資訊保安實務中學習並調整雲端資訊保安實務,並且遵守風險評估與雲端合規要求。
如此一來,雲端偵測與回應方案就能與其他類型的現有網絡資訊保安方案發揮類似功能,包括延伸式偵測及回應(XDR) 與端點偵測及回應(EDR),儘管它們是採用雲原生方式。
雲端偵測與回應工具有哪些關鍵功能?
在搜尋及回應雲端威脅時,雲端偵測與回應方案通常提供以下功能:
- 持續監控雲端環境,隨時留意異常活動或行為,例如資料存取方式、存取對象、是否遵守政策等。此外,雲端偵測與回應方案也應能在偵測到可疑活動時即時自動發出警示。
- 整合威脅情報來確保隨時監控最新威脅,再搭配人工智能和機器學習來發掘已知威脅在雲端環境中活躍的徵兆。雲端偵測與回應結合了威脅情報與歷史分析與預判機器學習,讓資訊保安團隊採取主動的雲端防護。
- 協助企業隨時遵守自身政策及外部私隱權與安全規範或法律(包括支付交易適用的 PCI DSS、健康資料適用的 HIPAA 以及歐盟通用資料保護法規)的報告與政策。由於雲端偵測與回應方案會自動追蹤、消化、分析及處理大量資料,因此他們有能力產生報表和情報來支援合規。
- 自動化的資料和私隱保護,確保資料根據其安全與私隱要求進行適當分類和儲存,例如在適當的雲端地點或司法管轄區,或是適當的加密與存取控管。
- 從代理程式(如 EDR、CWPP)與無代理程式(如 CSPM、雲端 API 記錄檔)來源蒐集監測資料並交叉關聯,提供雲端工作負載與基礎架構的完整可視性。透過關聯這些不同資料源的事件,雲端偵測與回應就能提供更快威脅偵測、情境分析,以及涵蓋混合雲與多重雲環境的優先回應動作。
建置雲端偵測與回應
在許多方面,網絡資訊保安正逐漸成為企業的策略,更融入企業的整體管理中,並且與企業目標更密切相關。如同雲端技術為資訊保安團隊帶來了複雜性一樣,這也會轉向另一種策略思維模式。
雲端偵測與回應屬於「策略性網絡資訊保安」類別,因為它的重點是保護關鍵業務雲端資源,而且是整體網絡資訊保安風險管理不可或缺的一環。因此,建置一套雲端偵測與回應方案需要深思熟慮的策略規劃。
其實,企業必須確實具備適當的技能與知識來應付持續不斷的雲端防護,並且有效運用機器學習與人工智能來降低誤判,避免團隊因為警示數量增加而感到不知所措。
由於雲端偵測與回應是雲端精密、高規模的策略性網絡資訊保安方法,因此企業也必須確定自己擁有足夠的預算才能成功建置並長期維持。
雲端偵測及回應的未來
企業正不斷調整雲端防護的方式來對應新的威脅,反映出雲端對企業營運的重要性。許多企業都採用雲端應用程式防護平台(CNAPP)來獲得更全方位的端對端生命週期雲端防護。
透過提供偵測與回應功能,雲端偵測與回應是任何 CNAPP 實際應用的重要一環, 網絡資訊保安在雲端環境的複雜性與威脅的共同性質中,扮演著未來網絡資訊保安的重要角色。
哪裡可以取得雲端偵測及回應的協助?
Trend Vision One™ Cloud Security 能為多重雲端與混合雲環境提供雲端偵測與回應功能,並提供高價值的額外功能,例如即時風險評估、攻擊路徑預測、曝險管理等。
Cloud Security 提供了最大的可視性,並提供持續的網絡資訊保安風險監控、評估與優先次序判斷,提供一套能簡化事件回應與雲端合規的全方位方案。
常見問題
甚麼是雲端回應?
「雲端回應」是指網絡資訊保安團隊有能力回應可能危害雲端資源的潛在威脅。
偵測與回應流程為何?
偵測與回應需要持續監控技術環境來偵測威脅,並採取適當措施來回應這些威脅,盡可能降低潛在的傷害。
XDR 與雲端偵測與回應有何差別?
XDR 與雲端偵測與回應皆能執行偵測與回應功能。XDR 能處理企業網絡/資訊科技環境的不同防護層。雲端偵測與回應是專為保護雲端環境而設計。
甚麼是雲端偵測?
雲端偵測是指任何在雲端內運作並使用雲端功能來偵測網絡威脅的技術。
甚麼是雲端偵測與回應和 EDR?
雲端偵測與回應代表雲端偵測與回應,EDR 代表用戶端偵測與回應。兩者都是整體網絡資訊保安的重要一面。
EDR 與雲端偵測與回應有何差別?
EDR 主要負責保護企業資訊科技環境內的實體裝置(用戶端)。雲端偵測與回應能保護雲端應用程式和基礎架構。
偵測與回應與保安運作中心有何差別?
保安運作中心是一個負責網絡資訊保安的中央化團隊或辦公室。偵測與回應是保安運作中心用來保護企業的功能,也就是偵測及處理潛在威脅。
甚麼是網絡保安上的偵測與及回應?
正如名稱所示,「偵測與回應」是指偵測(尋找及發掘)潛在網絡威脅並加以回應以限制其損害的過程。
甚麼是保安運作中心的必要條件?
保安運作中心可以是企業內部(企業人員自行負責營運)或外判(由託管服務商負責營運)。無論是哪種情況,保安運作中心的成立目標就是建立一個中央化的網絡資訊保安營運據點。
保安運作中心事件回應的主要目標為何?
「事件應變」就是要採取行動來遏止或減少網絡攻擊這類資訊保安威脅所造成的傷害。保安運作中心負責確保迅速且有效的事件回應。