Skip to content
Detecção e Resposta em Cloud - CDR - Obsidian

A Detecção e Resposta em Cloud é o elemento que falta na segurança

O uso de SaaS e serviços públicos na nuvem aumentou bastante na última década. As organizações moveram ou estão movendo seus sistemas de negócios, incluindo e-mails, ferramentas de colaboração, RH, vendas, marketing e operações para a nuvem, o que traz a necessidade de maior proteção no ambiente como uma solução de Detecção e Resposta em Cloud (CDR). Em uma pesquisa de 2019 da ESG, dois terços (67%) dos participantes relataram que mais de 20% das suas aplicações agora são SaaS, enquanto mais de 58% das organizações relataram usar IaaS em 2019.

A segurança cibernética está aprendendo a se adaptar a um panorama de ameaça muito mais radical na nuvem. Sua equipe de segurança tem menos controle sobre redes e infraestrutura sobre quais sistemas críticos são executados e os atacantes estão usando cada vez mais os métodos de roubo de credenciais, engenharia social e phishing contra usuários e serviços para ter acesso legitimo aos recursos na nuvem.

Independentemente da sua organização usar SaaS, PaaS ou IaaS, você ainda é responsável por proteger a informação na nuvem.

Então, como fazer isso? Você pode tentar empregar uma estratégia de prevenção usando uma solução como um Cloud Access Security Brokers (CASBs). CASBs são como firewalls para a nuvem. Eles agem como mediadores entre a infraestrutura da organização e os serviços de nuvem, examinando todo o tráfego indo e saindo da nuvem. Os CASBs focam principalmente em prevenir perda de dados e exfiltração além de exposição a malware bloqueando o acesso quando ocorre.

Mas controles preventivos por si não são o suficiente para assegurar ambientes na nuvem. Mesmo com as melhores soluções preventivas de segurança no lugar, os atacantes ainda podem penetrar defesas e ganhar acesso aos ativos da nuvem. Na nuvem, as equipes de segurança precisam detectar, investigar e responder rapidamente as ameaças e vazamentos. Isso significa ter visibilidade e contextualização enriquecida do usuário para observar e responder a atividade suspeita a todo instante. Isso está em falta no mundo do SaaS e dos serviços na nuvem de hoje. Como um líder de uma equipe de resposta a incidentes perguntou recentemente, “Como executar a detecção e resposta em sistemas que não são seus?

Como executar a detecção e resposta em sistemas que não são seus? Este é o desafio.

– Líder de resposta a incidentes em uma companhia de tecnologia

Nós já vimos isso anteriormente com a detecção e resposta de Endpoint

Alguns anos atrás, um grande aumento na força de trabalho móvel esticou o perímetro de rede seguro para além do datacenter e do escritório de milhares de dispositivos móveis e notebooks em redes WiFi em lanchonetes, aeroportos e hotéis. As equipes de segurança não conseguiam ver o que os usuários estavam acessando e executando em seus dispositivos pessoais, o mesmo dispositivo que eles usavam para acessar os e-mails e serviços do negócio. Mesmo em organizações com antivírus e outras medidas preventivas postas, os atacantes usavam técnicas inovadoras para comprometer o endpoint sem engatilhar os alarmes. A solução para o problema crescente foi a Detecção e Resposta de Endpoint (EDR). Os EDRs deram as equipes de segurança a capacidade que lhes faltavam antes: A telemetria, visibilidade contextual e detecção automatizada. Essas capacidades permitiu que as equipes de segurança investigassem e respondessem rapidamente aos incidentes, dando a eles uma vantagem contra a nova onda de ameaças.

Leia também:  Segurança do Cloud: Escolhendo as Ferramentas Certas

Desafios de visibilidade na nuvem

O problema de visibilidade nos ambientes da nuvem é diferente e mais complexo do que os dispositivos de endpoint. Aplicações SaaS como o Salesforce e o Gsuite mantém o gerenciamento de autorização dentro de suas plataformas, então as funções e direitos ficam espalhados em aplicações diferentes. Se um administrador de segurança quiser ver o que um usuário tem acesso no Salesforce ou o que ele está fazendo no Gsuite, o administrador deve buscar as permissões e os logs de atividade desse usuário e entender o modelo de autorização e o formato do log de atividade de cada serviço antes de determinar se algo suspeito está ocorrendo.

A visão fragmentada do acesso e da atividade torna as investigações dos incidentes e a caça proativa de ameaças não existente. Outro problema comum é o volume bruto de fluxo de dados dessas aplicações com terabytes de dados para analisar, as ameaças inevitavelmente se escondem em um mar de irrelevância.

Introduzindo a Resposta e Detecção em Cloud (CDR)

As soluções de Resposta e Detecção em Cloud (CDR) dá aos profissionais de segurança a visibilidade que eles precisam para detectar, investigar e mitigar ameaças na nuvem coletando, normalizando e analisando de forma contínua um grande volume de dados e dados de atividades do SaaS e dos serviços de nuvem.

Assim como o EDR e as soluções de monitoramento de rede/análise de tráfego de rede endereçam as necessidades de visibilidade nas redes e nos endpoints, as soluções de CDR oferecem um painel de visibilidade do que está acontecendo no ambiente da nuvem com contexto relevante sobre os acessos e privilégios.

  Prevenção Detecção e resposta
Rede Firewall Análise de Tráfego de rede
Endpoints Antivírus EDR
Nuvem CASB CDR

Para fazer isso, o CDR começa com uma visualização normalizada e consolidada do seu ambiente que é constantemente atualizado. Essa visualização é então enriquecida com informações de ameaças e IPs que podem significar más pessoas, malwares e usuários de risco. Os CDRs tem uma camada de informação sobre os usuários como suas funções e comportamento esperado. A combinação da visibilidade com o contexto enriquecido do usuário permite que as equipes detectem e cacem ameaças e conduzam a resposta ao incidente.

Leia também:  Proteção para o SaaS de forma eficiente

Detecção e Resposta em Cloud

Principais capacidades de CDR

Para que a solução de CDR sejam úteis para assegurarem ambientes na nuvem eles precisam oferecer essas seguintes capacidades:

  • Visibilidade consolidada: Os CDRs oferecem visibilidade continua e consolidada nos acessos do usuário e na atividade em diferentes serviços de nuvem. Em um mundo com múltiplas aplicações SaaS e serviços de nuvem, isso inclui agregar o estado e a atividade dos dados, normalizá-los e enriquecê-los com inteligência contra ameaças e contexto (como localidades, dispositivos, navegadores etc.). A visibilidade fortalece as equipes de segurança a detectarem riscos e ameaças em todos os estágios e a investigar e responder a eles mais rapidamente.
  • Detecções automáticas construídas com base em regras e análises: O CDR analisa uma grande quantidade de dados de diferentes serviços de nuvem para identificar padrões de risco e ameaça. O problema com os ambientes de nuvem modernos é que as ameaças estão no meio de um mar de informações irrelevantes. Ao alertar as violações de política e comportamentos de risco informados por analises e regras de machine learning, os CDRs podem ajudar os SOCs a distinguir o que é realmente relevante para que eles possam priorizar seus esforços.
  • Detecção estendida para monitoramento de risco: Os melhores CDRs vão além das capacidades de detecção para antecipar problemas como privilégios não utilizados e obsoletos e serviços configurados de forma ineficiente. Isso permite que os administradores de segurança continuem a manter uma postura de segurança robusta e mitiguem os vetores de ataque preventivamente.

Os profissionais de segurança, caçadores de ameaça e as equipes do centro de operação de segurança (SOC) podem usar esse fluxo de atividade para descobrir novos padrões que podem revelar novas ameaças ou indicadores de comprometimento. Os CDRs também têm análises aprimoradas por machine learning para automatizar a detecção de atividade suspeita ou perigosa além de encontrar configuração malfeitas e identificar riscos. Indo além da prevenção, as capacidades de CDR ajudam as equipes de segurança de todos os tamanhos a identificar e investigar incidentes preventivamente.

Conclusão

A visibilidade compreensiva e continua (normalmente chamada de observabilidade) fica no coração de uma boa segurança. As organizações precisam de um único painel sobre o que está acontecendo no ambiente. Quanto mais os dados são enriquecidos com inteligência ao redor das ameaças e riscos conhecidos, mais valiosos eles serão para detectar, investigar e responder a ameaças.

O CDR é o elemento faltante na segurança da nuvem. As soluções de CDR dão visão completa do ambiente na forma de inventário de acessos e privilégios, dados de atividade consolidados e alertas acionáveis.

Caso você tenha interesse em proteger o seu ambiente SaaS de maneira adequada, a AIQON tem a solução ideal para você, entre em contato e solicite uma demonstração.

Texto original: Obsidian Security

Detecção e Resposta em Cloud

Comente o que achou do artigo