對于許多云安全團隊來說,每天確定警報的優先級可能非常困難,而且無法管理。每增加一個云應用、服務器和工作負載,警報的數量就會攀升。安全團隊根本無暇細看每個警報、深究每個發現結果、并確定警報的優先級,更不用說由于缺乏全面可視性而被疏忽的其他一些安全問題。
Gartner:必須對已識別的風險進行優先級劃分
為了解決此問題,Gartner 在其《2023 年云原生應用保護平臺市場指南》中強調了云原生應用(CNAPP) 解決方案中的上下文對風險管理的重要性。“為了實現 RiskOps 的愿景,必須深入了解云原生應用不同要素之間的關系。換句話說,為了確保風險識別修復的可操作性,CNAPP 工具必須能夠構建一個囊括應用代碼、庫、容器、腳本、配置和漏洞的模型,以幫助確定高風險位置。由于不存在無風險的應用,安全人員應根據業務上下文對發現結果的風險進行優先級劃分,確定根本原因,并讓開發人員首先關注風險最高以及潛在業務影響最高的發現結果。同樣,必須深入了解開發人員/開發團隊在應用整個生命周期中的關系,這對于確定合適的開發人員/開發團隊或工程團隊來修復已識別的風險(并為他們提供充足的上下文來快速、有效地了解和修復風險)意義重大。”——2023 年 Gartner 云原生應用保護平臺 (CNAPP) 市場指南
中國市場:近7成用戶對云原生安全表示擔憂
2022年7月,工信部直屬科研事業單位的中國信息通信研究院,發布了《云計算白皮書(2022年)》。白皮書顯示,中國云計算市場在2021年仍保持高速增長,市場規模達3,299億元,較2020年增長54.4%。而這一增長的技術背景則在于云原生正通過改進企業的IT技術和基礎設施,持續加速企業IT要素的變革,成為企業上云的新模式。具體來看,表現在云原生生態的日趨完善、能力模型的日漸豐富、與企業IT建設目標和要素深度融合三大方面。然而,云原生安全在現階段卻成為了其發展的最大阻礙。在一份第三方的《中國云原生用戶調查報告》中顯示,近7成用戶對云原生技術在大規模應用時的安全性、可靠性、性能、連續性心存顧慮。容器逃逸、微服務和API的安全是企業最關心的云原生安全問題。近六成的企業表示,容器及其編排系統自身的安全已成為最突出的云原生安全隱患。
解決方案:Check Point CloudGuard 的有效風險管理功能
面對云原生應用帶來的挑戰,Check Point CloudGuard 的有效風險管理 (ERM) 引擎有能力幫助企業用戶更加安全、靈活的管理云端應用。該引擎通過在云中應用的上下文來識別風險和安全漏洞(乃至未知工作負載中的風險和安全漏洞),并對其進行優先級劃分,安全團隊可輕松確定行動方向。CloudGuard 還可以根據企業確定的個性化需求進行優先級排序。這有助于安全團隊重點關注對其業務影響重大的風險,同時在整個云環境中實現安全防護自動化,從而快速解決問題。
借助 CloudGuard,安全管理團隊可以:
一、基于完整上下文對風險進行優先級劃分,包括:
1、配置風險
2、工作負載狀態
3、網絡暴露
4、權限
5、攻擊路徑
6、業務優先級
二、關注云端、工作負載和代碼中的威脅
三、基于降低風險的最快途徑,提供優化的修復指導
全面管理風險以提高運營效率
CloudGuard 的 ERM 引擎可自動整合企業的數據和輸入,以便對風險或漏洞進行優先級劃分并快速處理。這有助于消除云安全管理的整體復雜性。
首先,CloudGuard 會繪制每個云資產的攻擊面,然后結合使用這些攻擊面和上下文信息,評估每個資產的業務影響,并為安全團隊提供一份按優先級排序的風險資產清單以及清晰可行的修復步驟。所有這些均已整合到 CloudGuard ERM 風險儀表盤中:
圖 1.CloudGuard 的 ERM 儀表盤提供了一個簡單直觀的安全數據視圖。
快速深挖以確定亟需處理的問題
安全團隊能夠一目了然地看到哪些資產的風險更高。例如,下面的儀表盤突出顯示了公開暴露的或高危的通用漏洞和暴露 (CVE)。
圖 2.CloudGuard 的 ERM 按風險評分對已知資產進行優先級排序,并提供指導以幫助安全團隊采取最高效的措施,從而縮短修復時間。
按風險評分對資產進行優先級排序
CloudGuard 按風險評分排列和顯示資產,該評分基于各列中明確列出的幾個因素,例如業務優先級、公開暴露、錯誤配置的數量等。
需要首先關注的風險最高的資產顯示在頂部:
圖 3.CloudGuard 的 ERM 引擎分析來自平臺內部的輸入和外部輸入,以在上下文中識別風險并準確地進行優先級劃分。
在計算風險評分時將以下多個因素納入考量:
配置錯誤
CloudGuard 可以被配置為只考慮特定的錯誤配置,默認情況下會將狀態管理模塊中的所有發現結果都考慮在內。
相關漏洞
漏洞有三種:CVE、威脅(如機器上的惡意文件)和密鑰(暴露的憑證)。借助Check Point的無代理工作負載狀態,可以在 CloudGuard 中原生獲取漏洞信息,也可以通過與外部漏洞掃描工具(如 AWS Inspector)相集成來獲取漏洞信息。
資產暴露
互聯網暴露會增加資產遭到惡意利用的幾率。CloudGuard 利用其圖形數據庫分析資產之間的連接,并為用戶的云網絡創建拓撲圖。
IAM 敏感度
企業風險管理不僅要考慮遭到攻擊的概率,還要考慮其可能產生的影響。IAM 敏感度是與影響有關的因素之一。CloudGuard 的 ERM 引擎可計算 IAM 敏感度,衡量具有 IAM 權限的資產可能造成的損害。舉例來說,如果攻擊者能夠訪問具有高級權限的 IAM 角色的實例,后果可能會很嚴重。
業務優先級
業務優先級是另一個重要的考慮因素,因為它衡量受損資產對業務的整體影響。可以選擇使用一系列參數(例如持有資產的云帳戶、標簽或命名慣例)為資產定義業務優先級。團隊還可以定義哪些資產至關重要,哪些不太重要,以確保在發現問題時優先處理重要資產所面臨的風險。
舉例來說,企業可以將最高優先級分配給其關鍵應用,并確保測試環境中僅包含模擬數據的資產具有較低優先級。當關鍵資產配置錯誤或易受攻擊時,其風險評分就會升高,成為企業需要優先處理的緊急風險。
圖 5.使用 CloudGuard ERM 來定義業務優先級,例如低、高或緊急,并相應地對具體資產進行排序。
通過每個資產的詳細信息深入了解風險。
匯總所有這些數據,便可獲得公司云環境中特定資產的完整風險視圖。要想獲取更多詳情,安全團隊可以從 ERM 儀表盤或“受保護資產”列表深入了解任何特定資產。
下面的示例顯示了在一個云資產上發現的漏洞的詳細信息。左側顯示了 CVE(按軟件包索引)、威脅和密鑰選項卡。此外,集成到 CloudGuard CNAPP 平臺中的無代理工作負載保護 (AWP) 組件允許訪問“修復摘要 (Remediation Summary)”選項卡,以獲取必要修復操作列表。其中可能包括需要升級的軟件包、需要從特定代碼行中刪除的憑證或其他建議。
圖 6.CloudGuard 的 ERM 儀表盤支持團隊分析各個資產,查看風險類型、修復操作、暴露的密鑰以及所需的軟件包更新,以獲得上下文和高效解決措施。
借助基于風險評分的資產優先級排序和基于人工智能 (AI) 的可行洞察,安全團隊能夠集中精力防范對業務影響最大的威脅,同時確保妥善維護整個云環境的安全性。
CloudGuard ERM:更出色地管理實際風險
如今,云安全態勢比以往任何時候都更加復雜,企業安全團隊往往深感力不從心。用戶不僅需要更出色的可視性,還需要能夠更快速地無縫遷移的安全工具。與此同時,安全廠商必須轉變思維模式:從“鎖定一切”轉變為簡化云安全保護和支持更輕松、靈活的管理策略。CloudGuard CNAPP(包括集成式 ERM 功能)的發布,使Check Point 有能力通過無代理部署和無縫集成,在理解上下文環境后,為用戶提供了切實可行的安全指導,實現了流暢的使用體驗。用戶安全團隊可獲得所需的資源,以主動管理風險、集中精力于關鍵業務優先事項,確保一切盡在掌握之中。
