Search

Upptäcka och reagera på hot i molnet

woman-looking-at-a-touchpad

Upptäcka och reagera på hot. För att identifiera och motverka molnrelaterade attacker förbättrar leverantörerna av cybersäkerhet sina processer och teknologier, enligt Yann Carte, säkerhetsarkitekt.

Hur förändrar migration till molnet vårt förhållningssätt till att upptäcka och reagera på hot?

Att migrera till molnet medför nya risker, datan är nu exponerad direkt mot internet. En del av säkerheten baseras på en tredje part, molntjänstleverantören (CSP). Detta gör uppdelningen mellan privata och publika ytor mer porös än någonsin tidigare. Alltså står vi inför nya tekniska utmaningar. Den första är kopplad till den konstanta utvecklingen av molnmiljöer och deras gränssnitt, särskilt i integrerade säkerhetsfunktioner. Vi måste också bolla med en viss transparens hos molntjänstleveranörerna med avseende på inhämtning och fullständigheten hos de insamlade objekten för granskning – i detta fall loggar. Tillgång till de fullständiga posterna till en tredje part, antingen kunden eller dess MSSP (Managed Security Provider) är fortfarande komplext. Dessutom måste insamlingen av säkerhetshändelser gå genom internet, via ett publikt nätverk, vilket kräver ett motsatt förhållningssätt till SIEM-verktyg som traditionellt baseras på en säker arkitekturer, särskilt med avseende på frågan om integritet och konfidentialitet hos den insamlade datan. Slutligen gör multimoln-dimensionen insamlingen och standardiseringen av säkerhetshändelser än mer komplicerad.

Vad har molnet haft för inverkan på detektions-scenarier

Det var nödvändigt att definiera nya scenarier. En del av de existerande användarfallen var det nödvändigt att transformera, eftersom den insamlade informationen nu är heterogen eller t o m inkomplett jämfört med den tidigare situationen. Samtidigt tvingade nya attackmetoder, direkt länkade till riskerna med molnet, oss att göra dokumentationen över våra användarfall fullständiga. Dessutom möter vi en ny RACI[1]-modell. Varje intressents ansvar måste definieras för varje nytt fall. De har olika ansvar över metoder och resultat beroende på situationen. Analytikerna, särskilt på nivå N3, måste tillägna sig specifika färdigheter.

Hur kan vi anpassa våra resurser till molnets utmaningar?

För Security Operation Center (SOC) måste åtgärder och beslut på nivå 1 automatiseras så långt det är möjligt. Detta innefattar att hantera incidenter, kvalificera dem, och dirigera dem till nästa nivå analytiker-team. Vår profession är också att automatisera dirigeringen av säkerhetshändelser i ett ekosystem som berikas med ”mikro-SIEM” [2]-. På så sätt kan vi arbeta utifrån varningar och inte från loggar. Alla molntjänstleverantörer tillhandahåller SOC – eller SIEM-lösningar som t ex Microsofts Azure Sentinel. Detta innebär att våra experter måste lära sig nya verktyg och anpassa sina analysprocesser baserat på konsolerna som har gjorts tillgängliga av molntjänstleverantörerna. Detta visar att detektering baserade på statiska detekteringsregler innebär begränsningar i molnet: vi behöver överväga mer dynamiska metoder för detektering baserat på utnyttjandet av AI-motorer och inlärningsmaskinen.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.