Bagaimana pendekatan berlapis dan berpusat pada data untuk keamanan menghilangkan batasan yang sudah ketinggalan zaman

Melakukan serangan terhadap penjahat dunia maya

meteran keamanan

Melihat keamanan sebagai tantangan data modern adalah sesuatu yang berbeda dari sekadar mengenali peran penting data. Keamanan TI selalu tentang mengumpulkan, menganalisis, dan bertindak berdasarkan data. Tetapi tantangan data cloud modern adalah tentang menangani jumlah data yang berbeda, berstruktur berbeda, dan tidak terstruktur yang semakin meningkat, dari campuran sumber dinamis yang terus berubah.

Tantangannya bukan tentang berjuang untuk menangani kelebihan data. Melainkan, memikirkan kembali teknologi data dasar yang Anda gunakan sebagai inti dari platform keamanan Anda, sehingga semakin banyak data yang masuk, itu membuat keamanan Anda lebih ketat dan lebih efektif.

Banyak dari pilihan terberat seputar pendekatan keamanan TI yang berbeda adalah dikotomi palsu. Pelanggan dipaksa untuk memilih salah satu/atau pendekatan karena keterbatasan arsitektur warisan vendor. Arsitektur ini dikunci ke model data tertentu: tampilan Dunia terbatas dan statis. Dan, terlalu sering, ini adalah model yang tidak berskala.

Dengan memanfaatkan teknologi data yang lebih canggih, kuat, dan tidak terlalu kaku, banyak dari dilema “salah satu/atau” ini menghilang, menawarkan kepada pengguna opsi yang jelas dan paling masuk akal untuk memanfaatkan keduanya.

Agent v’s Agentless — Debat Lelah

Perdebatan “agen versus tanpa agen”, adalah contoh utama dari jenis dikotomi palsu ini. Dengan platform keamanan modern yang kuat, organisasi harus dapat menggunakan gabungan logis dari keduanya.

Untuk organisasi di tahap awal kematangan cloud, dan mereka yang tidak memiliki waktu atau sumber daya untuk menyebarkan agen keamanan di seluruh infrastruktur yang luas, metode tanpa agen menawarkan awal yang cepat dan mudah, mendapatkan visibilitas ke dalam aset cloud, kemungkinan risiko, dan permukaan serangan. Dengan platform keamanan cloud khusus, yang diperlukan hanyalah koneksi satu kali yang sederhana dari akun cloud Anda.

Pendekatan tanpa agen juga bermanfaat untuk mendapatkan cakupan penuh di mana agen tradisional tidak dapat menjangkau, atau dengan cepat menilai postur keamanan di seluruh lingkungan. Misalnya, shadow IT host dan akun baru yang mungkin dibawa oleh perusahaan karena merger dan akuisisi.

Agentless menawarkan overhead serendah mungkin bagi organisasi untuk mengumpulkan data tentang kerentanan, kesalahan konfigurasi, anomali log audit cloud, dan aktivitas akun yang tidak biasa. Ini mempersenjatai organisasi tersebut dengan data penting untuk memenuhi pedoman kepatuhan, mendeteksi penyusupan akun, dan banyak lagi.

Diimplementasikan dengan mudah, pendekatan tanpa agen dapat mengidentifikasi risiko yang berasal dari kerentanan dan kesalahan konfigurasi di lingkungan cloud Anda selama waktu pembuatan. Itu kemudian dapat memindai dan mendeteksi risiko kerentanan di semua host, wadah, dan perpustakaan bahasa Anda. Tim keamanan dapat mendeteksi aktivitas anomali, seperti pengguna baru yang mencoba membuat atau menghapus instans EC2 atau S3, mengubah kunci atau kebijakan di akun cloud, atau menambahkan pengguna istimewa baru.

Pendekatan tanpa agen cepat dan sederhana. Namun, itu hanya bisa sejauh ini. Untuk mendapatkan gambaran terbaik tentang lingkungan cloud Anda, penting untuk memantau beban kerja selama runtime. Ini penting untuk mengungkap ancaman aktif, seperti serangan yang mengeksploitasi kerentanan yang tidak diketahui atau zero-day.

Hanya mengandalkan pemindaian tanpa agen membuat organisasi berpotensi kehilangan aktivitas dan informasi penting. Untuk keamanan runtime terkuat, Anda memerlukan agen yang melacak aktivitas untuk menyelidiki dan merespons lebih cepat. Tidak seperti pendekatan tanpa agen, agen diposisikan secara unik untuk melakukan aktivitas seperti deteksi ancaman runtime dari ancaman yang dikenal dan tidak dikenal, pemantauan integritas file, deteksi intrusi berbasis host, pemeriksaan konfigurasi, dan pemindaian kerentanan host.

Pendekatan Keamanan Berlapis

Laporan Ancaman Cloud Lacework terbaru, mengungkapkan bagaimana penyerang meningkat pesat dalam kecanggihan, dengan fokus khusus pada infrastruktur. Penyerang terus-menerus mencari jalan yang paling tidak tahan untuk mengkompromikan sistem, bersembunyi dalam kerumitan risiko yang tampaknya berbeda dan mengeksploitasinya jika memungkinkan. Meskipun adopsi cloud hampir ada di mana-mana di seluruh industri, banyak perusahaan masih kekurangan visibilitas yang diperlukan untuk benar-benar mengelola dan memahami kerentanan canggih yang ada atau muncul di lingkungan cloud mereka sendiri.

Untuk mengidentifikasi ancaman dan kerentanan, organisasi perlu mengumpulkan dan menghubungkan informasi sebanyak mungkin dari semua sumber yang tersedia. Opsi terbaik yang mungkin adalah mengadopsi metodologi berlapis untuk pemantauan keamanan yang memungkinkan perusahaan memanfaatkan keuntungan relatif dari pendekatan agen dan tanpa agen. Namun di sinilah kemampuan penanganan data dari platform keamanan menyeluruh sangat berperan.

Jika platform keamanan awalnya dibuat untuk menangani data terstruktur atau data deret waktu dari agen miliknya sendiri, platform tersebut akan kesulitan menangani file log yang tidak terstruktur, atau data lain dari alat dan integrasi eksternal. Sebaliknya, platform yang secara khusus dibangun di sekitar satu cloud API, mungkin kesulitan dengan yang lain dan kemungkinan tidak memiliki model data dasar dan kemampuan penanganan data waktu nyata untuk menggabungkan agen yang lebih canggih. Upaya apa pun untuk memperbarui platform asli kemungkinan besar akan menghasilkan fungsionalitas dan kinerja di bawah standar, dipasang dengan baut, atau “gaffer tape”.

Untuk solusi nyata apa pun, platform keamanan cloud harus dibangun dari bawah ke atas untuk menangani dan menganalisis beragam tipe data dari berbagai sumber. Ini melihat keamanan sebagai tantangan data.

Pembelajaran Mesin — Menulis Ulang Aturan

Tetapi kemampuan untuk menangani beragam tipe data dalam inti, platform keamanan cloud hanyalah bagian pertama dari solusi nyata apa pun. Pengguna mungkin memiliki kemampuan untuk menarik lebih banyak data dari sumber yang lebih beragam. Namun, memperdebatkan volume tinggi dari data yang beragam dan kompleks ini secara manual dalam platform yang sudah ketinggalan zaman tidak dapat dipertahankan, jika bukan tidak mungkin. Sistem apa pun yang bergantung pada administrator keamanan yang mempertahankan aturan tertulis, dengan cepat menjadi kewalahan yang mengakibatkan kelebihan beban data dan kelelahan peringatan dari peringatan positif palsu.

Penggunaan model pembelajaran mesin yang efektif mengubah aturan permainan, dengan menghilangkan kebutuhan akan aturan keamanan. Platform keamanan yang baik harus tetap mengaktifkan aturan untuk tujuan regulasi dan kepatuhan, atau misalnya untuk menerapkan konfigurasi platform yang dipesan lebih dahulu. Namun, pendekatan keamanan berlapis adalah tentang korelasi silang kompleks dari beragam tipe data. Mengandalkan aturan manual bukanlah pilihan yang realistis.

Alih-alih, pembelajaran mesin dapat dilatih untuk membuat model perilaku “normal” khusus organisasi. Ini dapat mencakup perilaku pengguna, administrator, beban kerja, host, platform: singkatnya setiap elemen sistem manusia dan non-manusia. Dengan model yang ada, sistem keamanan menghasilkan peringatan keamanan ketika ada perilaku yang berbeda dari norma. Ini menghasilkan akurasi peringatan yang luar biasa, lebih sedikit kesalahan positif, dan cakupan keamanan yang lebih komprehensif. Selain itu, pembelajaran mesin memungkinkan untuk mengidentifikasi vektor serangan baru saat muncul, eksploitasi zero-day, dan kerentanan multi-tingkat yang kompleks.

Model pembelajaran mesin yang kuat akan dengan mudah mengkorelasikan permutasi tak berujung dari berbagai elemen data, seperti metrik deret waktu, log, pengaturan konfigurasi, dan banyak lagi. Cakupan dan akurasi dari apa yang dapat dicapai oleh model pembelajaran mesin dalam beberapa hari, tidak mungkin bahkan untuk tim analis keamanan yang paling terampil sekalipun. Dan berbeda sekali dengan tim keamanan manual, semakin banyak data yang harus ditangani oleh model, semakin akurat dan efektif jadinya.

Kebutuhan Manusia

Analis keamanan belum keluar dari pekerjaannya. Pembelajaran mesin memungkinkan mereka untuk melakukan pekerjaan mereka secara efektif sekali lagi. Namun, peringatan keamanan masih memerlukan penyelidikan, triase, dan respons manusia. Di sinilah bagian terakhir dari teka-teki berperan untuk setiap pendekatan keamanan berlapis.

Kami telah melihat bahwa peringatan keamanan yang lebih canggih kini diperlukan, menghubungkan campuran informasi yang lebih luas dan lebih beragam dari agen dan API keamanan di semua lapisan sistem. Ini berarti bahwa menyelidiki, memverifikasi, dan menindaklanjuti peringatan ini menjadi tugas yang semakin kompleks. Tanpa pengalaman pengguna yang tepat dari platform keamanan, analis dibiarkan melompat-lompat layar tanpa henti, masuk dan keluar dari sumber data root, untuk merekayasa balik peningkatan sihir penyerang dan peringatan.

Di sinilah analisis jalur serangan berperan. Analisis jalur serangan yang efektif lebih dari sekadar antarmuka pengguna yang menunjukkan sumber lansiran langsung (dan tidak semua platform keamanan melakukan ini secara efektif). Analisis jalur serangan perlu mengarahkan analis keamanan secepat mungkin menuju diagnosis, bukan hanya gejalanya.

Analisis grafik dibangun untuk mengungkap hubungan tersembunyi antara elemen data yang beragam. Memasukkan ini ke dalam pengalaman pengguna untuk analisis jalur serangan memberi analis gambaran lengkap tentang serangan apa pun. Lansiran dipicu oleh anomali yang berasal dari sumber data tertentu, atau korelasi anomali antara beberapa metrik. Analisis grafik kemudian dapat digunakan untuk menemukan data dari sumber mana pun yang terkait dengan pemicu.

Dari sini, analis dapat disajikan dengan satu layar yang secara visual menyatukan vektor serangan yang berbeda, termasuk kerentanan, kesalahan konfigurasi, keterjangkauan jaringan, rahasia, dan peran manajemen identitas dan akses (IAM) untuk setiap host di lingkungan. Ini memberikan lapisan konteks tambahan untuk setiap peringatan untuk menunjukkan dengan jelas aset mana yang dapat diserang dan alasannya.

Karena ancaman cloud terus tumbuh dalam volume dan kecanggihan, konteks kritis ini memungkinkan tim keamanan untuk mengidentifikasi dan memprioritaskan perbaikan berdasarkan risiko dan secara aktif mengawasi eksploitasi sebelum menjadi masalah.

Kredit Gambar: donscarpo / depositphotos.com

Ryan Sheldrake adalah CTO Lapangan — EMEA, Lacework

Author: Kenneth Henderson