使用Amazon Inspector和SentinelOne對AWS工作負載進行主動攻擊面管理
在過去十年中,數字化轉型主要是通過采用云服務來推動的,與傳統的本地基礎設施相比,這些服務提供了無與倫比的敏捷性并縮短了上市時間。大多數組織都投資于公共和混合云架構以保持競爭力,近 94% 的組織至少使用一種云服務。新冠疫情只是加速了向云轉移的計劃,因為安全、高優先級和IT團隊的規模擴大,以滿足遠程勞動力對IT資源的需求。
強調迭代和速度可能會讓安全團隊不堪重負,DevOps(Development和Operations的組合詞)和 SecOps(一種旨在通過將安全團隊和ITOps團隊結合在一起來自動化安全任務的方法。通過自動化這些關鍵的任務,將安全性注入產品的整個生命周期中)之間存在一種天然的矛盾,這會讓安全團隊規避安全和運行流程。因此,負責確保云環境安全的安全團隊往往存在工作盲點。
云錯誤配置呈上升趨勢
工作負載的治理通常在部署工作負載時執行一次,有時甚至根本不執行。而且工作負載的特定配置是不一致的,許多實例部署時沒有關鍵控制。根據《2021 年云安全狀況報告》,錯誤配置仍然是云環境中數據泄露的第一大原因。
超過 36% 的組織在去年遭遇了云安全漏洞或漏洞,80% 的組織認為他們容易受到與錯誤配置的云資源相關的漏洞的影響。
在AWS共享責任模型下,客戶負責配置資源,以確保資源的安全性。雖然云采用率正在上升,但為本地環境設計的傳統安全工具未能跟上步伐并且不適合云環境。其中一項技術是傳統的漏洞掃描和評估工具,它嚴重依賴本地設備部署和帶寬密集型掃描。這種方法對于希望使用云的安全團隊來說是不夠的,因為他們確信自己的關鍵應用程序和服務是以安全的方式配置的。
即使是在其云環境中部署了漏洞掃描工具的組織,通常也會在以下三個方面遇到困難:
可觀察性:從應用程序工作負載中提取基礎設施漏洞數據并與 EDR Telemetry技術相關聯,Telemetry是一項遠程的從物理設備或虛擬設備上高速采集數據的技術。設備通過推模式(Push Mode)周期性的主動向采集器上送設備的接口流量統計、CPU或內存數據等信息,相對傳統拉模式(Pull Mode)的一問一答式交互,提供了更實時更高速的數據采集功能。
可操作性:可視化最關鍵的漏洞,以確定補救的優先級。
可補救性:大規模地在云環境中執行補救。
基于云的漏洞評估方法
隨著Amazon Inspector的發布,對 AWS 工作負載的漏洞評估才變得簡單。
Amazon Inspector 是一項漏洞管理服務,可不斷掃描 AWS 工作負載以查找軟件漏洞和意外的網絡暴露。只需在 AWS 管理控制臺中單擊幾下,就可以跨組織中的所有帳戶啟用Inspector。啟用后,Inspector 會自動發現任何規模的 Amazon Elastic Container Registry (ECR) 中所有正在運行的 Amazon EC2 實例和容器映像,并立即開始評估它們是否存在已知漏洞。
通過將常見漏洞和暴露 (CVE) 信息與網絡訪問和可利用性等因素相關聯,為每個發現創建 Inspector 風險評分。該分數用于對最關鍵的漏洞進行優先排序,以幫助提高修復響應效率。
所有調查結果都匯總在新設計的 Inspector 控制臺中,并推送到 AWS Security Hub 和 Amazon EventBridge 以自動化工作流程。在容器映像中發現的漏洞會發送到 Amazon ECR,供資源所有者查看和修復。借助 Inspector,即使是小型安全團隊和開發人員也可以確保跨 AWS 工作負載的基礎設施工作負載安全性和合規性。
Inspector 會為安全團隊創建一個優先發現列表,以便根據漏洞的影響和嚴重程度確定修復的優先級。這些報告可以為安全和云團隊減少整體云攻擊面的機會提供寶貴的見解。
Amazon Inspector 的 SentinelOne 集成
最近推出的Amazon Inspector 推出 SentinelOne 集成,它通過 SentinelOne 數據平臺為 Amazon Inspector 調查結果提供支持。SentinelOne數據平臺是一個大規模可擴展的、基于AWS的云本地日志和分析平臺,旨在吸收、標準化、關聯和操作無限的數據集。
SentinelOne 與 Amazon Inspector 集成以提供 AWS 基礎設施內漏洞的統一可見性。SentinelOne 從 Amazon EventBridge 中提取 Amazon Inspector 結果,并與來自其他安全性和 DevOps 數據源的日志相關聯。SentinelOne 數據平臺提供強大的查詢和威脅搜尋功能,使安全和云團隊可以輕松地在數據集中進行搜索和透視。
SentinelOne 數據平臺提供強大的查詢和威脅查找功能
在 SentinelOne 中,分析師可以使用預構建的控制面板從 Amazon Inspector 查看高優先級漏洞。Inspector 中的數據通過鏈接進行了豐富,這些鏈接可用于查看來自 MITRE 國家漏洞數據庫的 CVE 的其他信息。借助這些數據,分析師可以從單一管理平臺查看其環境中最常見的漏洞、最嚴重的漏洞以及與給定 CVE 相關的附加上下文。
在 Inspector 中排序和查看漏洞很容易
當需要修復漏洞時,SentinelOne 數據平臺的警報已準備就緒,并提供對 AWS Lambda、EventBridge、SQS 和 SNS 的本地支持,讓你不僅可以快速識別問題,還可以加速漏洞修復。
通過與 AWS 本地交互,你可以利用現有的修復模式并在需要時管理它們以適應業務規則。
利用現有的修復模式來適應你的業務規則
連接工作負載保護和漏洞評估
漏洞管理是維護良好安全衛生的關鍵活動,雖然確定漏洞的優先級并對其進行修復對緩解總的攻擊面有很大幫助,但被提升并轉移到云的遺留自定義應用程序可能無法足夠快地更新以解決公開漏洞。無論應用程序如何,云環境中的工作負載都應采取措施來保護、檢測和響應可能已被利用的漏洞的主動威脅。
云虛擬機、云實例和容器與用戶終端一樣容易受到已知漏洞、零日攻擊和惡意軟件的攻擊。運行時保護、檢測和響應對于有效的云工作負載安全至關重要。Singularity Cloud Workload Security 包括企業級保護、EDR 和應用程序控制,以保護你的云應用程序在任何地方運行。SentinelOne的 Linux Sentinel 和 Windows Server Sentinel 為虛擬機提供運行時安全性,而SentinelOne的 Kubernetes Sentinel 為托管和自我管理的 Kubernetes 集群提供運行時安全性。
一個單一的、資源高效的Sentinel代理在混合云環境中提供自動運行時保護、檢測和響應。SentinelOne為Amazon EKS、Amazon EKS Anywhere、Amazon ECS和Amazon ECS Anywhere帶來運行時安全性,具有自動終止和隔離、應用程序控制以及完整的遠程shell取證。
SentinelOne Singularity 使用行為 AI 實時評估威脅,無需人工干預即可提供高質量檢測。SentinelOne的解決方案自動將單個事件關聯到上下文豐富的 Storylines? 以重構攻擊,并輕松集成威脅情報以提高檢測效率。分析人員只需單擊一下即可修復所有受影響的終端和云工作負載,無需編寫任何新腳本,從而簡化并縮短平均響應時間。
保持運行云工作負載的不可變狀態是保護它們免受惡意軟件(如加密劫持硬幣礦工和零日攻擊)的關鍵控制。所有預期的進程都在工作負載映像中定義。當要進行更改時,DevOps會將舊映像退役并發布一個新映像,而不是更新已經在生產環境中的映像。
SentinelOne 應用程序控制引擎通過自動檢測和終止映像中未找到的任何可執行文件來防止你的工作負載被流氓進程劫持,從而降低成功利用漏洞的可能性。
通過SentinelOne集成,你可以將云工作負載保護與Amazon Inspector的漏洞檢測統一起來。
總結
使用SentinelOne集成將Amazon Inspector的發現與AWS工作負載的本地云保護聯系起來,組織可以使用同類最佳的解決方案主動識別漏洞并檢測和響應對易受攻擊的應用程序的主動攻擊。
參考及來源:
https://www.sentinelone.com/blog/sentinelone-launches-support-for-amazon-inspector/
