随着云环境的不断演变,组织的安全部门不仅需要清楚地了解多云基础设施和安全状况,满足各种监管合规要求,防范各类高级威胁,证明安全产品的投资回报率,同时还要应对当前的各种挑战。所以保护组织的云上信息不受威胁的入侵并不是一件简单的事情,因此选择正确的云安全供应商和解决方案对组织的云安全防护效果至关重要。
当云资源可被公开访问时,无论是由于设计、配置错误还是泄露,它们都会受到攻击者的监视。这种监视是完全自动化的,因为攻击者会以编程方式搜索受害者。近期曾有IceFire双重勒索软件攻击被研究人员观测到,其主要攻击对象是大型企业那些公开暴露在互联网上的Linux云基础设施。通过利用服务器上运行的文件共享应用程序上的反序列化漏洞,攻击者能够获得访问权限并执行远程代码执行(RCE)攻击。通过这个例子可知, CWPP Agent在实施成功的云安全策略中不可或缺。虽然CSPM解决方案也发出告警,指出这台Linux服务器可被公开访问,但安全团队同样可能会直接忽略这条告警,因为这台服务器设计初衷就是可被公开访问的,文件共享很常见。因此,在这种情况下,只有CWPP Agent才能实时检测到攻击。然而,如何评估和选择适合组织的、效果有保障的CWPP供应商?
本文旨在为用户提供一份CWPP选购指南,整理出了评估CWPP解决方案时的主要注意事项,希望用户能够选择到适合自身的、切实有效的供应商及产品。
CWPP关键能力要求
结合用户调研反馈,以下7点是用户对CWPP最常见的能力要求:
●为多云和混合云计算基础设施(虚拟机、容器、Kubernetes)提供运行时威胁检测
●防御无文件攻击、勒索软件和0Day漏洞
●保留工作负载遥测数据,包括短暂的工作负载
●促进事件响应
●便捷的CWPP部署、配置和管理
●满足监管合规要求
●CWPP的功能都支持API化
CWPP评估考虑维度
1.CWPP Agent和Agentless
CWPP有两种类型: Agentless和Agent。Agentless使用side-scanning扫描技术,定期(通常每24小时一次)检查是否存在恶意软件。如果更频繁地检查,成本会变得很高。它的第二个缺点是使用签名来扫描恶意软件,而签名是很容易规避的。
相比之下, CWPP Agent可针对云工作负载的运行时威胁提供实时保护、检测和响应。实时性是一个关键点,因为勒索软件等运行时威胁可以在几秒钟内对云工作负载进行攻击并渗透数据。
应优先考虑使用基于AI而不是签名的Agent。签名对0Day漏洞和无文件(内存注入)攻击束手无策,而且很容易被高级攻击者规避。此外,只有CWPP Agent才能提供操作系统进程级别的工作负载遥测历史数据记录,这也是规划事件响应能力时的一个关键考虑因素。
评估CWPP供应商的关键问题:
●CWPP 解决方案是否提供实时威胁检测?
●CWPP 解决方案是否能检测勒索软件、0day、无文件和加密挖矿?
●它能保护虚拟机、容器、Kubernetes上的工作负载吗?
●响应操作是自动化的吗?它们可以被修改吗?
●如果需要云连接,判断检测的往返SLA是什么?
2.资源占用
有一个无法规避的事实是: Agent会或多或少地占用CPU和内存。选择资源消耗低的CWPP Agent,但注意不要为了微小的资源节省而牺牲安全性。在所有其他条件相同的情况下,资源消耗越少越好。在评估测试过程中,要注意不同工作负载下的CPU和内存消耗。
3.便携部署和可扩展性
当云基础架构扩展以满足工作负载需求时,Agent应支持自动部署。评估正在考虑的CWPP Agent的部署简易性和可扩展性。
●云虚拟机
对于在云虚拟机上运行的工作负载,CWPP Agent的部署和激活是一个自动化的两步流程。配置虚拟机和激活CWPP Agent可通过标准的DevOps方法实现。另外,如果使用"完全成熟"的机器镜像(即包含Agent的镜像) ,则可在启动云计算实例时通过自动引导脚本进行激活。
●容器化工作负载和Kubernetes
Kubernetes (K8s)是大规模编排容器化工具。通过使用Helm图表,可以简化集群中必要的Kubernetes资源部署。有了Helm, CWPP Agent就会作为DaemonSet清单的一部分被删除,这样Agent就会自动部署到任何新的工作节点上。因此,运行时保护可根据群集不断变化的工作负载需求进行自动扩展。
●多云和混合云
权威调研报告显示,87%的组织使用不止一家云供应商,72%的组织拥有结合公有云和私有云的混合云结构。
评估CWPP供应商的关键问题:
●您的CWPP支持哪些云供应商?
●它能保护包括虚拟机、容器和 K8s 在内的私有云工作负载吗?
●你们是否同时支持自助管理和托管K8s服务?
●Agent能否作为K8s pod、Docker容器运行,或者直接安装在主机操作系统上?
●支持哪些Linux发行版?
●支持哪些容器运行时?
●Windows服务器怎么样?
4.遥测技术与事件响应
在发生云安全事件时,调查人员需要跟踪取证线索,以便了解攻击情况并更好地防止其再次发生,对于短暂的容器化工作负载来说尤其如此。只有CWPP Agent才能提供内核深处的可见性,揭示操作系统进程级的活动。这些数据日志对于缩短调查时间,最终缩短平均恢复时间非常有价值。此外,这些安全数据还可用于在攻击发起前在多云环境中主动查找威胁,降低风险。
专业安全人员获取和使用这些信息的难易程度也是一个考虑因素。界面是否直观?数据搜索的响应速度如何?另一个需要考虑的因素是数据保留——安全数据的存储时间。通常有一个默认的数据保留期,但也可以询问是否有延长数据保留期的选项。
另一个考虑因素是数据丰富性。本机收集的工作负载遥测数据是否自动丰富了其他安全数据,如容器元数据或MITRE TTPs?解决方案是否能够从其他安全解决方案中摄取数据,以获得更丰富的内容?所有这些因素都可能影响购买决策。
评估CWPP供应商的关键问题:
●存储了哪些工作负荷遥测数据?
●默认数据保留期限是多长?
●延长数据保留期限有哪些选择?
●数据能否触发自动回复?
●遥测技术是否以任何方式得到丰富?如果是,如何进行?
●如何才能最好地利用这些安全数据来优化事件响应和威胁狩猎?
5.客户案例
由于有些客户非常注重安全工作的保密性,因此供应商或产品推荐很多时候难以达成。即使供应商在您所在的行业没有能够公开推荐的用户,他们也可能在其他行业有能够公开推荐的用户。即使没有能够公开推荐的用户,他们也应能为您提供私人推荐人,这些人愿意接听电话并坦诚地分享他们的经验。
“青藤万相•主机自适应安全平台,为我们在系统入侵防护方面提供了事前的风险识别、事中的监控告警以及事后的分析取证,也帮助我们在主机安全层面建立起了一个实时有效的防护体系,并拓展了我们在远程分支机构及公有云端的系统安全防护能力。青藤的产品在功能和性能指标方面也非常出众,而且部署方式灵活,技术支持也非常到位。希望青藤能够在主机安全领域不断创新,帮助客户在复杂的IT环境中建立起更高效、更稳定、更精准和更智能的安全防护屏障。”
——新东方集团安全负责人-杨宁
评估CWPP供应商的关键问题:
●查看供应商网站和同行评审平台上的公开参考资料。
●是否有私人推荐人,可供询问他们使用你们解决方案的经验?(部署、安全性能、稳定性、可扩展性、支持等方面。
6.完整的API文档
要求CWPP供应商提供完整的API文档。毕竟,自动化是云计算成功的关键。其次,文档齐全的API意味着默认您的云安全堆栈中很可能还有其他解决方案。API便于集成到您的云深度防御战略中。
评估CWPP供应商的关键问题:
●在哪里可以获取你们的API文档?
●是否有预制集成?
青藤万相•主机自适应安全平台
希望本文能够帮助您了解购买CWPP解决方案时的主要考虑因素,理清评估和选择过程。如果您正在寻找CWPP,欢迎您进一步了解青藤万相•主机自适应安全平台,适用于云虚拟机、容器和Kubernetes集群的实时CWPP,Agent可实现最高性能、效率和运行稳定性。
青藤万相·主机自适应安全平台采⽤自适应安全架构,有效解决传统专注防御手段的被动处境,为主机添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全最后一公里。青藤万相在技术和应用创新方向有6大亮点:
●创新性:国内首个主机安全品类的落地产品
●市场占有率:Gartner、Frost&Sullivan、赛迪等咨询机构报告排名第一
●稳定性:超细粒度资产清点,超低资源占用,稳定性高达99.9999%
●客户认可度:为1000+各行业头部客户,800万+核心服务器提供安全防护
●功能丰富度:1个Agent可实现资产清点、风险发现、入侵检测、合规基线、病毒查杀等多个功能
●兼容性:主机安全产品中,主机操作系统及处理器适配种类国内第一
截止目前,青藤万相•主机自适应安全平台已在政府、金融、运营商、大型企业、教育、医疗、交通、能源等各行业广泛应用,并得到客户的高度认可。
欢迎访问青藤云安全官网(www.qingteng.cn)了解更多产品详情,或拨打400-800-0789转1联系青藤客户服务专家申请产品试用。
