Google雲端發布社群安全分析(Community Security Analytics,CSA)專案,提供一組針對自助服務安全分析所設計的開源查詢和規則,使用戶能夠在持續檢測和持續回應工作流程中,偵測常見的雲端威脅。官方提到,透過在產品組合中,建立標準化和共享雲端安全分析生態系,使得各組織研究人員、安全分析師和資料治理團隊能夠共同協作,將有助於提高偵測能力。

Google提到,他們已經在雲端提供一個安全基礎,讓用戶可以直接控制,並且執行獨立稽核和驗證,該機制的透明性和可稽核性,供用戶驗證正確的存取權限,並在資料和工作負載出現問題之前,先行發現潛在威脅。

除了虛擬機器日誌、應用程式/容器日誌和網路日誌,Google雲端服務也會對管理員和用戶的活動留下稽核線索,但是因為這些日誌資料非常龐大,因此用戶除了收集和安全相關的日誌之外,還需要進行一些工作,才能理解日誌中的描述,找出其代表的意義。

而現在企業的安全營運團隊,可以使用CSA分析Google雲端日誌,以稽核最近的行為,偵測工作負載面臨的威脅。Google與MITRE Engenuity威脅情防禦中心、CYDERES以及部分用戶合作,啟動一項社群開發計畫,以發展一系列分析規則,透過集結社群的知識,使得企業能夠利用這些查詢,並根據需求自定義分析。

CSA的查詢會對應到MITRE ATT&CK框架的戰術、技術和程序,協助用戶評估於自家環境的適用性,並將這些戰術、技術和程序包含在威脅模型覆蓋範圍中。這些分析查詢可以在雲端或是第三方分析工具中執行,初版的CSA以YARA-L規則的形式在Chronicle,還有在BigQuery中以SQL查詢提供偵測,接下來會根據用戶的回饋釋出更多的形式。

官方提醒,因為CSA提供的偵測查詢,由用戶自己管理,因此用戶可能需要進行調整,以減少不必要的警示雜訊,而且規則與查詢來自社群,也代表著沒有成本估算和效能保證,但Google會與貢獻者合作,共同改進該儲存庫。

另外,CSA也並非一套全面、受託管的威脅偵測,僅提供基於雲端技術的基本偵測,Google建議CSA應該與其他威脅偵測方案,還有威脅預防功能結合使用。

熱門新聞

Advertisement