Cloud Detection and Response (CDR) là gì?

Bảng 1. Chiến thuật dành riêng cho đám mây và khả năng phát hiện CDR

Chiến thuật

Kỹ thuật dành riêng cho đám mây

Phương pháp phát hiện CDR

Hành động phản hồi

Quyền truy cập ban đầu

- Khai thác ứng dụng công khai

- Tài khoản hợp lệ

- Lừa đảo

- Thỏa hiệp chuỗi cung ứng

- Mẫu đăng nhập bất thường

- Phân tích vị trí địa lý

- Phân tích hành vi

- Giám sát cuộc gọi API

- Chặn các IP đáng ngờ

- Thực thi MFA

- Tài khoản cách ly

- Cảnh báo đội an ninh

Thực hiện

- Trình thông dịch lệnh và tập lệnh

- Thực thi không cần máy chủ

- Lệnh quản lý container

- Giám sát quy trình

- Cảnh báo thực thi tập lệnh

- Phân tích thời gian chạy của container

- Giám sát chức năng Lambda

- Chấm dứt các tiến trình đáng ngờ

- Cách ly các thùng chứa

- Vô hiệu hóa các chức năng

- Nhật ký điều tra

Persistence

- Tạo tài khoản

- Sửa đổi cơ sở hạ tầng điện toán đám mây

- Thao túng tài khoản

- Tài khoản hợp lệ

- Cảnh báo tạo tài khoản mới

- Giám sát thay đổi cơ sở hạ tầng

- Phát hiện leo thang đặc quyền

- Phân tích mẫu truy cập

- Vô hiệu hóa các tài khoản độc hại

- Hoàn nguyên các thay đổi về cơ sở hạ tầng

- Đặt lại quyền

- Kiểm tra nhật ký truy cập

Nâng cao đặc quyền

- Tài khoản hợp lệ

- Khai thác để leo thang đặc quyền

- Thao tác mã thông báo truy cập

- Giám sát thay đổi quyền

- Cảnh báo phân công vai trò

- Phân tích sử dụng mã thông báo

- Phát hiện lạm dụng đặc quyền

- Thu hồi các quyền đã nâng cao

- Vô hiệu hóa các tài khoản bị xâm phạm

- Đặt lại mã thông báo truy cập

- Xem lại nhiệm vụ được giao

Phòng thủ né tránh

- Làm suy yếu khả năng phòng thủ

- Sửa đổi cơ sở hạ tầng điện toán đám mây

- Sử dụng Tài liệu Xác thực Thay thế

- Cảnh báo phá hoại công cụ bảo mật

- Giám sát thay đổi cấu hình

- Phát hiện bất thường xác thực

- Cảnh báo xóa nhật ký

- Khôi phục cấu hình bảo mật

- Kích hoạt lại