雲端偵測及回應 (CDR) 是一種發掘和處理雲端內部資安威脅的全方位雲端原生方法。
目錄
企業之所以導入雲端解決方案的主要原因之一,就是它幾乎可以無限擴充。然而規模越大,雲端環境就越複雜,反而更難防範資安威脅。雲端偵測及回應 (CDR) 結合了既有與全新功能,為資安團隊提供單一整合式解決方案來偵測、發掘及回應雲端威脅。
最重要的是,CDR 採用雲端原生技術,這意味著它本身就在雲端,因此也具備雲端應用程式和基礎架構特有的運作方式,能為單一或多重雲端環境提供防護。
有些時候,雲端偵測及回應亦稱為「雲端威脅偵測及回應」(CTDR) 或「雲端原生偵測及回應」(CNDR)。
為何雲端偵測及回應很重要?
絕大多數的企業都需要仰賴一個或多個雲端應用程式或雲端基礎架構來營運。雲端解決方案在企業營運與交易上的普遍採用與其扮演的核心角色,使得雲端解決方案已成為網路攻擊的一項主要目標。
駭客滲透雲端環境的方式,通常是竊取登入憑證,進而盜取帳號。他們一旦進入,就會想盡辦法來「升級」自己的權限,以便存取更加敏感的功能和資料。他們可能試圖竊取 (外傳) 私密或受到保護的資訊,也可能挾持企業付費使用的雲端資源,將資源用於自身用途 (例如虛擬加密貨幣挖礦)。
那些專為傳統企業網路/IT 環境設計的獨立式網路資安工具,無法應付雲端的開放性、複雜性以及規模,因此企業有必要部署一套 CDR 解決方案。
CDR 與傳統資安方法有何不同?
有別於其他網路資安解決方案,雲端偵測及回應是雲端原生解決方案。正因如此,CDR 工具能以「雲端規模」來運作,並且跟上雲端本身不斷變化 (也就是動態) 的特性,包括即時偵測威脅,以及利用雲端的功能來自動回應威脅,速度遠遠超過人力作業所能及。
雲端偵測及回應如何運作?
CDR 工具可提供即時威脅偵測與自動化威脅回應:
- 即時威脅偵測是透過雲端資料的持續監控和分析來盡早發掘任何資安威脅或實際入侵的跡象 (亦稱為入侵指標)。這牽涉到來自各種來源的大量相關資訊,如:使用者活動和行為、網路流量等等,最終的目標是要全面掌握雲端環境的可視性。
- 自動化威脅回應是指使用軟體工具來隔離可能遭到入侵的雲端資源、攔截來自可疑 IP 位址的流量,並提供事件後續分析,好讓資安團隊從中學到教訓並調整雲端防護實務,此外也達成風險評估與雲端合規的要求。
CDR 解決方案在這些方面與其他類型的現有網路資安解決方案運作起來很像,例如:延伸式偵測及回應 (XDR) 與端點偵測及回應 (EDR),只不過是以雲端原生的方式。
CDR 工具有哪些主要功能?
在搜尋及回應雲端威脅方面,CDR 解決方案通常都提供下列功能:
- 持續監控雲端環境,隨時留意異常活動或行為,例如資料的存取方式、由誰存取、是否符合政策等等。此外,CDR 解決方案也必須能在偵測到可疑活動時自動即時警報。
- 整合威脅情報以確實能夠隨時監控最新的威脅,然後再搭配 AI 和機器學習來發掘可能有已知威脅在雲端環境內活動的徵兆。CDR 結合了威脅情報與歷史分析和預判式機器學習,讓資安團隊採取積極主動的作為來保護雲端。
- 報表與政策強制執行,協助企業隨時符合其自身的政策,並遵守外部的隱私權和安全規範或法律 (包括:支付交易適用的 PCI DSS、醫療資料適用的 HIPAA,以及歐盟適用的 GDPR 通用資料保護法)。由於 CDR 解決方案會自動追蹤、消化、分析大量的資料並採取對應行動,因此很適合用來產生報表和情報以支援合規作業。
- 自動化的資料與隱私保護,確保資料根據其安全與隱私的要求來妥善分類和儲存,例如:存放在適當的雲端地點或司法管轄區,或是給予適當強度的加密與存取控管。
- 蒐集並交叉關聯監測資料,包括有代理程式 (如 EDR、CWPP) 與無代理程式 (如 CSPM、雲端 API 記錄檔) 的來源,提供雲端工作負載與基礎架構的完整可視性。藉由交叉關聯這些不同資料來源的事件,CDR 就能為混合雲和多重雲端環境提供更快的威脅偵測、情境分析,以及按優先次序執行的回應動作。
建置雲端偵測及回應
在許多方面,網路資安正逐漸成為企業策略的一環,不僅更融入企業的整體管理,而且與業務目標更密切息息相關。如同雲端技術為資安團隊帶來了複雜性一樣,這樣的策略思維轉變也是。
CDR 可歸類為「策略性網路資安」,因為其重點在於保護業務關鍵雲端資源,而且是整體資安風險管理的必要一環。因此,建置一套 CDR 解決方案需要深思熟慮的策略性規劃。
實務上,企業必須確定自己擁有適當的技能和知識來應付持續變化、不斷適應的雲端防護,並且有效運用機器學習和 AI 來降低誤判,避免團隊因為警報數量的增加而疲於奔命。
由於 CDR 是一種精密、高規格的策略性雲端網路資安方法,因此企業也必須確定自己擁有足夠的預算來成功建置並長期維護。
雲端偵測及回應的未來
企業正不斷調整其雲端防護方法來因應新的威脅,同時也反映出雲端對企業營運的重要性。許多企業正在導入雲端原生應用程式防護平台 (CNAPP) 以獲得一種更全方位、並且涵蓋整個生命週期的雲端防護。
藉由提供偵測及回應功能,CDR 已成為任何 CNAPP 實作的重要一環,當雲端環境的複雜性以及威脅的特性都在不斷演變時,CDR 將是未來網路資安的要角。
哪裡可以取得有關雲端偵測及回應的協助?
Trend Vision One™ Cloud Security 能為多重雲端及混合雲環境提供 CDR 的威脅偵測及回應功能,並提供其他高價值的功能,例如:即時風險評估、攻擊路徑預測、曝險管理等等。
Cloud Security 不僅可提供最大可視性,還能提供持續的資安風險監控、評估及優先次序判斷,藉由一套全方位的解決方案來簡化事件回應與雲端資安合規。
常見問題:
雲端回應是什麼意思?
「雲端回應」是指網路資安團隊針對可能危害雲端資源的潛在威脅做出回應的能力。
偵測及回應流程為何?
偵測及回應會持續監控技術環境來偵測威脅,並採取適當措施來回應這些威脅,以盡可能降低潛在的損害。
XDR 與 CDR 有何差別?
XDR (延伸式偵測及回應) 與 CDR (雲端偵測及回應) 皆提供了偵測及回應功能。XDR 負責的是企業網路/IT 環境的各個防護層,CDR 則是專為保護雲端環境而設計。
雲端偵測是什麼?
雲端偵測是指任何在雲端內運作並使用雲端功能來偵測網路威脅的技術。
電信業的 CDR 和 EDR 是什麼?
CDR 代表雲端偵測及回應,EDR 代表端點偵測及回應,兩者都是網路資安整體的重要面向。
EDR 與 CDR 有何差別?
EDR (端點偵測及回應) 主要負責保護企業 IT 環境內的實體裝置 (端點)。CDR (雲端偵測及回應) 則是保護雲端應用程式和基礎架構。
偵測及回應與 SOC 有何差別?
SOC 是資安營運中心,是一個專門負責網路資安的中央團隊或辦公室。偵測及回應是 SOC 用來保護企業的功能,也就是發掘及處理潛在威脅。
網路資安當中的偵測及回應是指什麼?
「偵測及回應」正如其名,就是偵測 (尋找和發掘) 潛在的資安威脅並加以回應以降低其損害的過程。
成為 SOC 的要素是什麼?
資安營運中心 (SOC) 可以設在企業內部 (也就是由企業內部人員自行負責營運),也可以委外處理 (也就是由託管服務供應商來提供其功能)。但不論哪一種情況,成為 SOC 的要素是它必須是一個負責執行網路資安營運的中央單位。
SOC 在事件回應時的主要目標為何?
所謂「事件回應」就是採取行動來遏制或降低資安威脅 (如網路攻擊) 所造成的損害。資安營運中心 (SOC) 的目標就是確保事件回應能迅速、有效執行。