最后更新于2023年11月20日星期一17:22:21 GMT
又到了每年的这个时候! AWS Re:发明, 亚马逊网络服务(Amazon Web 服务)的年度大型会议即将在拉斯维加斯拉开帷幕,整个星期肯定会有大量新的云安全创新产品亮相. 从Rapid7的角度来看,我们推出了一项令人兴奋的新功能——云异常检测.
现在可以为Rapid7客户提供早期访问, 云异常检测可帮助安全团队检测云环境中的未知威胁,而传统的基于规则的检测会遗漏这些威胁, 更精确地避免过多的噪音和误报.
利用人工智能在大海捞针
由于云计算固有的速度和复杂性,在云环境中检测恶意活动对网络安全构成了巨大挑战. 云基础设施是动态的, 不断变化的虚拟资产, 这使得我们很难准确定位并有效应对威胁. 云配置的复杂性, 资产的短暂性, 产生的大量数据可以掩盖恶意活动, 需要先进的监测和分析工具.
另外, 独特的云威胁景观, 与传统IT环境相比,检测和响应的不同动态, 涉众的多样性使安全形势进一步复杂化. 由于数据访问效率低下和缺乏受影响云资产的背景,云事件调查常常受到阻碍. 这种复杂性, 再加上技能差距和向云技术的持续过渡, 这使得云安全特别具有挑战性.
一段时间以来,Rapid7的客户已经受益于从云提供商那里获取本地威胁检测并将它们整合到一个地方的能力. 云异常检测代表了一个重大飞跃,在Rapid7专有的AI检测引擎的推动下,增加了本地威胁检测,以分析客户云环境中的控制平面API活动和表面异常行为. 当与deep结合时, 实时了解环境, 该平台允许安全团队快速响应威胁,并提供确定根本原因和潜在影响所需的上下文.
驯服与异常检测相关的噪声
试图检测异常用户和实体行为所带来的持久挑战之一是,它通常会呈现大量的多余噪声, 通常伴随着大量的误报. 这在很大程度上是由于我们前面概述的复杂性和变化速度. 不仅是环境的整体构成在不断变化, 但是,用户和服务相互交互的方式也在不断变化. 通常,安全团队面临着在广泛撒网和处理追捕良性活动的不可避免的情况之间进行权衡,或者进一步钻研并冒着未被发现的实际恶意活动的风险.
Rapid7的云异常检测连接到您的云环境-无需代理-通过分析审计日志来监控API活动, 为每个云主体创建活动配置文件, 比如用户, 机器, 存储桶, 和更多的. 该引擎的独特之处在于它能够根据历史数据在不到10分钟的时间内自动搜索行为异常并优先考虑潜在风险. 重要的是, 该引擎经过校准,通过专注于检测恶意活动而不依赖于特定的预配置攻击指标来减少误报警报. 它还考虑可疑活动的背景, 考虑同一主体最近的操作,并自动适应总体活动概要文件和云环境的变化.
将云威胁检测集成到SOC工作流程中
当与SOC分析师交谈时, 在开发过程的早期,Rapid7团队非常清楚的一件事是,希望将威胁检测和响应活动整合到团队现有的工作流程中, 包括SOC团队所依赖的SIEM/XDR工具(并且已经投入了大量资金). 集成云威胁检测, 包括本地和第三方解决方案, 在当前的SOC工作流程中,包括制定云威胁发现本身以及通过API访问的所有相关环境细节来丰富这些发现所需的上下文,以便于将其纳入SIEM/XDR工具.
为此目的, 我们确保团队可以通过API轻松地将云异常检测中的检测发送到他们目前使用的任何工具中. 云上下文丰富API, 这是今年早些时候发布的, 提供与云属性相关的广泛数据, 的见解, 配置错误, 漏洞, 风险, 和更多的, 加快调查进程, 提高保安行动的效率. 云异常检测和云上下文丰富的结合确保SOC团队拥有将云纳入其现有检测和响应工作流程所需的工具.
有兴趣了解更多? 来看看我们的AWS Re:发明!
我们将展示云异常检测 在AWS Re:发明所以如果你去了,一定要去1270号展位看看!
