إن الحاجة إلى العمليات الأمنية في السحابة واضحة. بالمقارنة مع البيئات التقليدية، تولد البيئات السحابية كميات هائلة من البيانات التي يمكن الوصول إليها بسهولة أكثر من أي وقت مضى. من خلال واجهات برمجة التطبيقات البسيطة والتكوين المُدار مركزيًا، يمكن لفرق SecOps العاملة في السحابة الوصول إلى سجل التدقيق الذي يغطي البيئة بأكملها في دقائق. من الناحية النظرية، يجب أن تمنح هذه الرؤية فرق العمليات الأمنية (SecOps) قدرة لا مثيل لها على اكتشاف التهديدات والتحقيق فيها والاستجابة لها في الوقت الفعلي.

ولكن كما يعلم أي فريق يعمل في السحابة، فإن هذا ليس هو الواقع اليوم. إن الكميات الضخمة من البيانات تحجب الإشارات ذات المعنى في الضوضاء. يمكن للمهاجمين المعاصرين التحرك بسلاسة عبر الطبقات المختلفة للسحابة – استغلال نقاط الضعف في وقت التشغيل، والوصول إلى الهوية، والتحرك أفقيًا للاختفاء داخل مستوى التحكم. لم يتم تصميم أدوات SecOps التقليدية، مثل SIEM وEDR، للتعامل مع هذا الحجم أو التعقيد من بيانات الأمان. لا يمكن للأساليب المستندة إلى الوكيل توفير رؤية كاملة عندما تتشارك المؤسسات التحكم في أنظمة التشغيل مع البائعين، كما أن سحب الخيوط للتحقيق عبر مستوى الهوية والبيانات والشبكة والحوسبة والتحكم ليس ممكنًا عندما يكون خيارنا الوحيد هو الاستعلام يدويًا عن البيانات الأولية.

إيماننا الأساسي في Wiz هو أن مفتاح الأمان السحابي الفعال هو سياق. باستخدام Wiz Cloud، زودنا فرق الأمان السحابية بسياق المخاطر الحرجة لتحديد المخاطر الأكثر أهمية وترتيبها حسب الأولوية ومعالجتها بسرعة. والآن، يقدم Wiz Defend نفس النهج في العمليات الأمنية – مما يمنح فرق SecOps السياق الذي يحتاجون إليه لاكتشاف التهديدات في الوقت الفعلي والتحقيق فيها والاستجابة لها في البيئات السحابية بسرعة.

تتطلب عمليات الأمان السحابية الفعالة رؤية عميقة عبر جميع طبقات السحابة المختلفة، والقدرة على ربط البيانات تلقائيًا عبر هذه المصادر المختلفة.

وبدون وجود كل هذه البيانات في مكان واحد، حتى المهام التي تبدو سهلة قد تصبح صعبة أو مستحيلة في السحابة. خذ فحص البرامج الضارة كمثال – تقوم الفرق في كثير من الأحيان بتشغيل مثيلات حوسبة متخصصة، مثل جدران الحماية أو الأجهزة أو قواعد البيانات التابعة لجهات خارجية، والتي تحد من تثبيت عملاء الأمان. إن فهم ما إذا كانت هناك برامج ضارة موجودة في بيئتك في هذه المثيلات المتوفرة، ولكن المقيدة، يصبح أمرًا صعبًا للغاية. أصبح الفحص بدون وكيل والرؤية السحابية، والتي استخدمتها فرق الأمان السحابية للحصول على نظرة ثاقبة للمخاطر، أمرًا بالغ الأهمية لفرق العمليات الأمنية أيضًا.

إن استغلال الثغرات الأمنية التي تم الكشف عنها مؤخرًا في نظام PAN-OS الخاص بشركة Palo Alto يقدم مثالًا جيدًا لكيفية عمل SecOps السحابية الأصلية في الممارسة العملية. PAN-OS هو البرنامج الذي يعمل على تشغيل جدار الحماية من الجيل التالي لـ Palo Alto وهو شائع جدًا في بيئات المؤسسات اليوم.

تم الكشف عن هذا الاستغلال لأول مرة في الثامن من نوفمبر وتم التأكد من استغلاله بعد عدة أيام من 0 يوم، وهو يجمع بين اثنتين من نقاط الضعف: الأولى، CVE-2024-0012، تمكن الجهات الفاعلة الضارة من تجاوز المصادقة إلى واجهة إدارة PAN-OS إذا تم الكشف عنها علنًا. الثاني، CVE-2024-9474، يسمح بتصعيد الامتيازات وتنفيذ التعليمات البرمجية عن بعد في النهاية. ومع تحقيق RCE، تنشر الجهات الفاعلة في مجال التهديد البرامج الضارة وتؤسس موطئ قدم للانتقال بشكل جانبي إلى أعباء العمل الأخرى في البيئة.

استنادًا إلى بيانات Wiz، احتوت 24% من البيئات السحابية للمؤسسات على أجهزة PAN-OS افتراضية معرضة لهذه التهديدات الخطيرة في وقت الكشف عن هذه الثغرات الأمنية. والمثير للدهشة أن 7% من هذه البيئات كشفت واجهة إدارة PAN-OS للإنترنت، وبالتالي كانت عرضة لتنفيذ تعليمات برمجية عن بعد غير مصادق عليها.

ومن الجدير بالملاحظة مع نقاط الضعف هذه السرعة القصوى التي بدأت بها الموجة الثانية واسعة النطاق من حملة الاستغلال. بعد الكشف الأولي عن يوم 0 مشتبه به في 10 نوفمبر، تم تعيين CVEs وتم إصدار استشارة رسمية بحلول 18 نوفمبر. وفي اليوم التالي، تم نشر ثغرة لإثبات المفهوم، وأضافتها جهات التهديد على الفور إلى ترسانتها.

منذ ذلك الحين، لاحظت شركة Wiz Research الاستغلال المستمر في البرية، و أصيبت بيئة واحدة من أصل 3 بيئات تعرض الأجهزة الضعيفة للإنترنت ببرامج ضارة خلال 24 ساعة من نشر ثغرة إثبات المفهوم. لسوء الحظ، في البيئات السحابية، تكون هذه الوتيرة مساوية للدورة التدريبية: يتحرك المهاجمون بسرعة كبيرة للاستفادة من التكتيكات الناشئة الجديدة.

إن فهم ما إذا كان قد حدث استغلال يتطلب نهجًا جديدًا

تكمن قوة Wiz Cloud في تحديد الأجهزة المعرضة للخطر على الفور، مع قائمة ذات أولوية لأماكن الإصلاح. لكن التحدي الذي تواجهه فرق العمليات الأمنية مختلف: فهو ليس “أين أنا مكشوف” – بل “هل تم اختراقي”؟ نظرًا للسرعة التي تتقدم بها الهجمات في السحابة، يصبح فهم الإجابة على هذا السؤال أمرًا بالغ الأهمية على الفور.

ولكن عند استخدام الأجهزة الجاهزة التي توفرها جهات خارجية – وهي ممارسة شائعة في السحابة – فإن نشر الوكلاء غالبًا ما يكون غير عملي أو حتى ممكن. وهذا يجعل الكشف باستخدام الأدوات التقليدية أمرًا صعبًا للغاية. وبدلاً من ذلك، فإن الطريقة الوحيدة لفهم ما إذا كانت مؤسستك قد تعرضت للاختراق هي جمع السياق: مطاردة التهديدات ليس فقط عن طريق التوقيعات، ولكن عن طريق الارتباط:

  • أولاً، تحتاج فرق SecOps إلى فهم مكان وجود أجهزتهم المعرضة للخطر، وذلك باستخدام قائمة جرد محدثة لبيئتهم.

  • ثانيًا، يتعين عليهم أن يفهموا ما إذا كانت الأجهزة الضعيفة مكشوفة وقابلة للاستغلال والتحقق من صحتها

  • ثالثًا، يحتاجون إلى الاستفادة من نهج غير وكيل لجمع البيانات من هذه الحالات المكشوفة والضعيفة وتحليلها في الوقت الفعلي للحصول على أدلة على محاولات الاستغلال أو التسوية الناجحة.

لا يمكن اكتشاف التهديد الناتج عن هذا الاستغلال إلا في ظل كل هذا السياق. وهذه هي الخطوة الأولى فقط: بمجرد اكتشاف التهديد، ماذا تفعل بعد ذلك؟ كيف يمكنك احتواء التهديد والتأكد من القضاء على موطئ قدم المهاجم؟

مع Wiz، كل هذا السياق متاح بالفعل. باستخدام Wiz Dynamic Scanner، يتم تحديد المثيلات المكشوفة والقابلة للاستغلال بشكل استباقي. ومن هناك، يقوم Wiz بتحليل الأقراص المرفقة بالمثيلات الضعيفة بدون وكيل، وتحديد آثار البرامج الضارة أو أدلة الاستغلال لتحديد ما إذا كان الجهاز قد تم اختراقه.

ويظهر هذا السياق في الوقت الفعلي لفرق العمليات الأمنية ويرتبط بالنشاط الإضافي الذي يحدث في البيئة السحابية. تخيل أن أحد المهاجمين قام باختراق جهاز Palo Alto الضعيف الذي يعمل على مثيل AWS EC2. إذا كان EC2 يعمل بدور مميز في البيئة، فيمكن للمهاجم الاستفادة من هذه الامتيازات للتحول إلى مستوى التحكم السحابي. ومن هناك، يمكن للمهاجم التحرك بشكل جانبي، واختراق الخدمات السحابية الإضافية، مثل حاويات S3، من أجل التسلل. وبالمثل، إذا كان مثيل EC2 يتمتع بإمكانية الوصول إلى الشبكة إلى الأجهزة الحساسة الأخرى داخل VPC المحلي (وهو أمر متوقع بالنظر إلى وظيفة جدار الحماية)، فيمكن للمهاجم أيضًا التحرك أفقيًا عبر طبقة الشبكة لتحقيق أهدافه.

يوفر Wiz Defend رؤية لسلسلة الهجوم بأكملها، مع اكتشافات خارج الصندوق لتحديد كل تكتيك مهاجم فردي هنا: التسوية الأولية للآلة، والحركة الجانبية، والتسلل. لكن السحر الحقيقي يكمن في السياق: نظرًا لأن جميع هذه الاكتشافات مرتبطة بالحالة الضعيفة، فإن Wiz Defend يربطها تلقائيًا بتهديد واحد. تحصل فرق العمليات الأمنية على جدول زمني تلقائي للتهديدات ورسم بياني يوضح كل خطوة من خطوات العملية، مع توصيات قابلة للتنفيذ للاحتواء في كل مرحلة.

نموذج تشغيل جديد لعمليات الأمن السحابي

تقدم Wiz Defend هذه التجربة الجديدة من خلال دمج سياق المخاطر من Wiz Security Graph وبيانات وقت التشغيل من مستشعر Wiz المستند إلى eBPF وسياق نشاط IaaS وSaaS من سجلات تدقيق CSP. مع هذا السياق الغني، يوفر Wiz Defend العرض الأكثر اكتمالا للتهديدات السحابية المتاحة اليوم.

مع Wiz Defend، تحصل فرق SecOps على أربع فوائد رئيسية:

  • التحليل الشامل لجاهزية الاختراق: يقوم Wiz Defend بتقييم تغطية القياس عن بعد للمؤسسة واستيعابها بشكل مستمر، ورسم خرائط للتغطية لمصفوفة MITRE ATT&CK حتى تتمكن الفرق من الاطمئنان إلى أن لديهم البيانات التي يحتاجونها لاكتشاف التهديدات السحابية والاستجابة لها.

  • دقة عالية، كشف التهديدات عبر الطبقات: يقوم Wiz Defend بدمج البيانات من جميع أنحاء الهوية والبيانات والشبكة والحوسبة والتحكم لاكتشاف التهديدات عالية الدقة في الوقت الفعلي. مع الآلاف من قواعد الكشف التي تنظمها أبحاث Wiz، والتحليلات السلوكية لضبط التنبيهات وتقليل الضوضاء، والسياق السحابي الرائد في الصناعة لمخطط Wiz Security، تحصل فرق SecOps على أوسع تغطية للهجمات السحابية الأصلية الناشئة بأقل قدر من الضوضاء.

  • التحقيق والاستجابة البديهية التي يقودها السياق: يقوم Wiz Defend بأتمتة إنشاء الرسوم البيانية للتهديدات والجداول الزمنية لكل تنبيه يصدره، مما يؤدي إلى إثراء تجربة التحقيق بالسياق العميق لـ Wiz Security Graph وتقليل متوسط ​​الوقت للاستجابة.

  • الاستجابة المحلية والاحتواء والطب الشرعي: تحصل فرق SecOps على إرشادات مدروسة حول الخطوات التالية لاحتواء كل تهديد – سواء على مستوى التحكم أو مستوى عبء العمل. كما تعمل خدمة AskAI على تبسيط عملية التحقيق من خلال قصص التهديدات الغنية والإجابات على الأسئلة الفورية للمستجيب.

تعمل هذه الإمكانات على تقليل الوقت المستغرق لاكتشاف التهديدات السحابية والاستجابة لها بشكل كبير. لكن الميزة الأكبر هي أن Wiz يمكّن نموذج التشغيل السحابي الجديد من الجمع بين فرق CloudSec وSecOps وDev – جميعهم يتحدثون اللغة المشتركة لـ Wiz Security Graph. يعد هذا أمرًا بالغ الأهمية: يتطلب الأمان السحابي الفعال تحولًا ليس فقط في البيانات المتوفرة لدى فرق SecOps، ولكن أيضًا في كيفية عمل الفرق معًا، وكسر الصوامع وتمكين دولاب الموازنة الذي يعمل على تحسين الأمان بشكل مستمر.

باستخدام Wiz Defend، يمكن لفرق SecOps أخيرًا تحقيق وعد العمليات الأمنية في عصر السحابة. لمعرفة المزيد، اقرأ أحدث مستندات Wiz Defend وملاحظات الإصدار (يتطلب تسجيل الدخول) أو اطلب منا رؤيتها أثناء العمل.

شاركها.
اترك تعليقاً