A transição para a arquitetura nativa em nuvem está impulsionando escalabilidade, flexibilidade e melhorias de custo que as organizações não conseguiam alcançar com sistemas monolíticos locais. Porém, isso também aumenta a complexidade e cria novas superfícies de ataque. À medida que as organizações tentam lidar com essas novas ameaças com soluções individuais de segurança e monitoramento, a proliferação de ferramentas pode levar rapidamente à visibilidade fragmentada e à falta de compreensão contextual no SOC (Security Operations Center, centro de operações de segurança).
A CADR (Cloud Application Detection and Response, detecção e resposta de aplicações em nuvem) é uma abordagem de segurança que pode ajudar as organizações a lidar com esse problema, oferecendo capacidades de detecção contextual e comportamental que fornecem uma visão abrangente das ameaças em toda a infraestrutura de nuvem, nos clusters Kubernetes e nas aplicações implementadas. A CADR coleta e agrega dados de eventos do sistema operacional e de containers, workloads, APIs e aplicações para fornecer visibilidade de ponta a ponta. Ela utiliza sensores avançados para fornecer visibilidade abrangente com detecção e resposta a ameaças em tempo real.
Este artigo discute os conceitos fundamentais da CADR e explica como ela aprimora a detecção de ameaças.
O problema empresarial que a CADR soluciona
A CADR lida com os desafios de segurança e visibilidade que surgem com a transição para tecnologias modernas, como microsserviços e estratégias de prioridade à nuvem.
A complexidade dos ambientes em nuvem tornou as ferramentas de segurança tradicionais ineficazes. Essas ferramentas foram projetadas para ambientes estáticos e locais, e não conseguem acompanhar a natureza dinâmica das infraestruturas. Além disso, os ambientes de nuvem apresentam desafios únicos de detecção e resposta, como grandes volumes de logs/eventos para analisar, o volume de implementações e alterações de novas aplicações e uma superfície de ataque em constante evolução.
Vamos analisar por que isso representa uma mudança fundamental em relação aos problemas que as abordagens de segurança tradicionais visam resolver.
Limitações das abordagens de segurança tradicionais
As soluções de segurança tradicionais foram projetadas para aplicações monolíticas e são adequadas para ambientes estáticos com limites de sistema claramente definidos. Essas soluções têm dificuldades para detectar e responder a vulnerabilidades de segurança em tempo real, pois carecem de um contexto completo sobre a infraestrutura de nuvem e as aplicações implementadas. Alguns dos desafios das abordagens de segurança tradicionais são:
- Proliferação de ferramentas: a proliferação de ferramentas refere-se ao uso de várias ferramentas de segurança que funcionam isoladamente, proporcionando uma visão fragmentada que não consegue fornecer insights contextuais às equipes de segurança. Essas ferramentas têm dificuldade em correlacionar dados entre sistemas e podem apresentar mecanismos de alerta diferentes, o que dificulta a identificação de padrões suspeitos ou a resposta rápida a incidentes.
- Limitações dos métodos de detecção legados: as ferramentas de detecção legadas costumam usar uma abordagem baseada em regras para identificar ameaças à segurança, não conseguindo lidar com a escala e a complexidade dos ambientes de nuvem. Essa abordagem tem dificuldades para detectar ataques sofisticados que exploram vulnerabilidades de dia zero, stuffing de credenciais ou ataques à cadeia de suprimento.
Conceitos básicos da CADR comportamental
Com a CADR, as organizações podem consolidar ferramentas, aumentar a visibilidade e adicionar contexto às suas capacidades de detecção e resposta a ameaças, solucionando as deficiências das abordagens de segurança tradicionais. Vamos analisar os detalhes que permitem que a CADR alcance esses resultados.
Componentes da CADR
A CADR coleta logs e métricas de várias fontes para ter uma visão holística do ambiente. Uma solução de CADR robusta deve incluir estes três componentes:
Logs de gerenciamento da nuvem
Esses logs capturam informações detalhadas sobre todas as ações realizadas em um ambiente de nuvem, abrangendo recursos de computação, armazenamento e rede. Isso inclui eventos de criação, modificação e exclusão de recursos e alterações nas permissões de acesso, permitindo que as equipes de segurança identifiquem ações incomuns e as correlacionem com incidentes de segurança. Por exemplo, o AWS CloudTrail é um serviço usado para auditoria operacional, gerenciamento de riscos de segurança e conformidade, registrando todas as ações realizadas por um usuário ou função no ambiente de nuvem da AWS.
Logs de workload do container
Os logs do container são essenciais para identificar atividades suspeitas, como comunicação de rede não autorizada, privilégios excessivos ou transferências de dados. Tecnologias como o eBPF (Extended Berkeley Packet Filter) permitem a execução isolada de programas personalizados dentro do sistema operacional Linux, possibilitando coleta de dados detalhados de observabilidade do kernel, rastreamento e criação de perfis em ambientes em containers.
Logs da camada de aplicação
Os logs da camada de aplicação são cruciais para identificar atividades suspeitas em tempo de execução nas aplicações implementadas. O sistema de CADR analisa logs gerados por solicitações de rede, respostas, erros de aplicações e atividades do usuário para detectar ameaças como apropriação de contas, ataques à lógica de negócios e tentativas de acesso não autorizado a dados.
Ferramentas como a OpenTelemetry permitem a instrumentação, coleta e exportação de logs, ajudando as organizações a analisar o comportamento do software e detectar problemas de segurança.
Por que a análise comportamental é fundamental
A análise comportamental é crucial para a cibersegurança moderna por diversos fatores:
- Limitações da detecção estática baseada em regras: a detecção estática baseada em regras depende de um conjunto predefinido de condições que foram decididas com base em dados históricos. Como as ameaças à segurança estão em constante evolução e os ataques estão se tornando mais sofisticados, essa metodologia não consegue identificar as ameaças que não correspondem aos padrões de ataque existentes.
- Vantagens da detecção de anomalias: existe a necessidade de um sistema que analise informações contextuais, como a atividade do usuário e logs de diferentes fontes, para identificar atividades suspeitas usando detecção de anomalias e algoritmos de ML (machine learning).
- Reconhecimento contextual: sistemas que dependem de análise comportamental podem detectar ameaças novas e desconhecidas, reconhecendo desvios do comportamento normal, mesmo que não correspondam a padrões de ataque conhecidos.
- Adaptação das medidas de segurança a ambientes específicos: os sistemas podem se adaptar aos requisitos exclusivos da organização e ao seu ambiente de aplicação. Por exemplo, o fluxo de dados e os padrões de acesso na infraestrutura em nuvem podem diferir significativamente dos ambientes locais ou híbridos, tornando essencial que os sistemas adaptem suas técnicas de segurança de acordo.
Os mecanismos da CADR
A CADR ajuda as organizações a aprimorarem suas capacidades de detecção de ameaças, reduzirem falsos-positivos e automatizarem seus mecanismos de resposta com recursos robustos de detecção e estratégias de resposta a incidentes.
Capacidades de detecção multicamadas
A CADR utiliza uma estratégia de detecção multicamadas, integrando diferentes níveis, incluindo infraestrutura em nuvem, aplicações e comportamento do usuário, o que permite obter visibilidade de ponta a ponta do sistema. Ela analisa os logs e as métricas coletados usando técnicas avançadas de inteligência de ameaças, incluindo detecção de anomalias e machine learning, para identificar problemas em tempo real, permitindo a detecção de ameaças de segurança complexas e em constante evolução.
Além disso, a CADR traça o perfil de comportamentos para estabelecer uma linha de base da atividade normal do usuário por meio de monitoramento contínuo. Essa abordagem reduz o número de falsos-positivos, permitindo que as equipes de segurança se concentrem em ameaças que exigem ação.
Estratégias de resposta a incidentes
Em um ambiente de nuvem distribuída, a resposta manual a incidentes é ineficiente na identificação, contenção e mitigação de ameaças à segurança devido à complexidade e dimensão dos ambientes de nuvem. A CADR fornece mecanismos de resposta automática que podem viabilizar determinadas ações para minimizar o impacto de incidentes identificados. Ela pode, por exemplo, bloquear automaticamente o acesso e interromper as aplicações afetadas para isolar o incidente sem intervenção humana. A CADR também oferece uma opção de quarentena leve para o ambiente de produção, que isola os processos ou containers comprometidos dos demais recursos, a fim de evitar contaminação e reduzir a dimensão do incidente. Isso permite que o restante do ambiente funcione enquanto a causa raiz do incidente é identificada e corrigida.
Relatório sobre o estado da segurança de aplicações de 2024
Faça o download do Relatório sobre o estado da segurança de aplicações da CrowdStrike de 2024 e saiba mais sobre os maiores desafios no campo da segurança de aplicações.
Baixe agoraComo a CrowdStrike pode ajudar você a lidar com ameaças complexas de segurança na nuvem
Os ambientes de nuvem são suscetíveis a diversas ameaças à segurança em razão de sua grande superfície de ataque, dimensão e complexidade. As organizações não podem confiar apenas em medidas de segurança tradicionais, mas devem integrar ferramentas como soluções de CADR comportamentais, que coletam dados de múltiplas fontes na nuvem, analisam a atividade do usuário e utilizam técnicas avançadas de detecção de ameaças para identificar e responder a ameaças em tempo real.
CrowdStrike FalconⓇ é uma plataforma de cibersegurança nativa de IA que oferece detecção abrangente de ameaças e resposta a incidentes para ambientes em nuvem. Com a CrowdStrike, as organizações se beneficiam de capacidades como:
- CDR (Cloud Detection and Response, Detecção e Resposta na Nuvem) avançada para proporcionar tempos de detecção e resposta 89% mais rápidos.
- NG SIEM (Next-Gen SIEM, SIEM de Última Geração) para unificar informações de segurança, reduzir custos de registros, aumentar a visibilidade para o SOC e interromper ataques mais rapidamente.
Além disso, com os serviços gerenciados da CrowdStrike, nossa equipe de especialistas se torna parceira da sua equipe em cibersegurança, potencializando sua capacidade de se preparar, responder e se recuperar de incidentes de segurança.
Para descobrir como a CrowdStrike pode aprimorar sua postura de segurança, inscreva-se para um teste gratuito hoje mesmo.
Karishma Asthana é Gerente Sênior de Marketing de Produtos para segurança de nuvem na CrowdStrike, sediada em Nova York. Ela é bacharel em Ciência da Computação pelo Trinity College. Com formação em engenharia de software e testes de penetração, Karishma aproveita sua formação técnica para conectar os pontos entre avanços tecnológicos e valor para o cliente. Tem mais de 5 anos de experiência em marketing de produtos nas áreas de segurança de endpoint e nuvem.
