利用高级 CSPM 应对现代攻击

混合云和多云环境的快速增长造成了跨架构的复杂性，使得人们很难清楚、完整地了解技术堆栈中的各种平台。最近云攻击和破坏的激增引起了人们对团队应如何有效地保护和运行云中的应用程序的关注。

因为错误配置是云环境中安全威胁的首位，并且是基于云的攻击
最首选的启动平台之一。此外，云的采用率持续增长。

ESG 进行的一项新的云安全态势管理 (CSPM) 研究显示，七分之一的企业将其 40% 的应用程序放置在公共云中，并且该数字预计在两年内翻一番。

CSPM 的开发是为了解决
云基础设施中的错误配置，但其功能对于当今的复杂性而言过于基础。

传统的 CSPM 是不够的，现代安全团队需要实时 CSPM 的功能来跨多个云和环境工作，以防止员工倦怠并最大限度地发挥强大的安全态势。

让我们探讨传统 CSPM 工具的三大挑战以及更现代解决方案的优势。

挑战一：缺乏复杂性和自动化

虽然传统的 CSPM 工具可以发现云配置问题、帮助修复问题并协助报告和审计以证明合规性，但它们缺乏推动安全团队前进所需的复杂性和创新。

传统的 CSPM 不允许跨基础设施和运行团队高效运行所需的工作负载实现强大的自动化任务，因此当团队忙于解决漏洞时，它通常充当被动助手。

由于这些有限的能力，安全团队将处于天然的劣势，错过了通过减少手动任务而实现的简化方法。

挑战二：时间点快照的限制

大多数 CSPM 解决方案都提供无代理扫描，其中包括通过云提供商的 API 拍摄正在运行的工作负载的快照并扫描它们是否存在问题。

无代理扫描提供了多种功能 - 它自动发现和映射所有云资源，了解工作负载风险的基本级别并快速证明合规性。然而，这些只是使用时间点快照时可以获得的好处的一部分。

据 Aqua 称，高达 52% 的云原生攻击逃避了无代理检测。这个等式中缺少的是看到当今不断变化的威胁的能力：内存攻击、过渡容器和规避行为。

随着内存攻击或无文件攻击增加 140%，工具需要随着威胁的发展而发展。团队面临的挑战是超越仅定期工作负载扫描的静态可见性，转向提供最有效的实时可见性的工具。

挑战三：能见度不全和警报疲劳

传统的 CSPM 工具也无法提供对云原生环境的完整可见性。它们通常依赖于已知的威胁签名，并且可能无法有效应对新型威胁或零日威胁，因为它们无法识别这些未知的漏洞或攻击媒介。

在 Aqua 研究团队的蜜罐中，70 万次攻击中有 63% 是已知恶意软件，因此传统的 CSPM 工具（仅检测已知恶意软件）会错过三分之一以上的攻击。

随着当今不断变化的威胁攻击形势，团队需要更加动态的解决方案。

此外，在使用传统 CSPM 工具时，云环境中的大量噪音也会分散团队对高优先级漏洞的注意力。大型、复杂的云会带来太多的警报，团队无法处理，因为低有效风险和真实风险混合在一起，导致警报倦怠。

事实上，根据 Dimensional Research 的一项研究，82% 的安全专业人员都经历过警报疲劳。以相同的紧急程度处理所有警报，而没有在低风险问题之前优先考虑关键问题的层次结构，会导致数据不一致和冲突，并且难以实施响应。

使用现代工具获得 CSPM 的真正好处

用现代工具取代传统的 CSPM 工具（仅使用无代理扫描）可以帮助安全从业人员应对这些挑战。实施将无代理和基于代理的扫描相结合的现代 CSPM 工具，可以通过工作负载内扫描获得最完整和优先的视图。

然而，仅仅部署无代理和代理而不协调两者是不够的。依靠独立的运行时代理（工作负载保护的核心和技术上最复杂的部分）并不能获得全面的了解。为此，两者之间需要有很强的联系、统一的可视性和风险的相关性。否则，上下文中关键的缺失部分将妨碍现代 CSPM 提供的完整可见性。

上下文让团队了解问题是什么、问题在哪里以及其紧急程度，所有这些都有助于理解风险并确定问题的优先级。这一点尤其重要，因为如今，安全团队的预算更加紧张，人员更少，需求却更多，这使得他们的时间和资源捉襟见肘。追查并解决每一个问题，无论优先级如何，都是不可持续的。这很危险。

上下文还可以通过确定实际风险暴露和统一风险来帮助安全从业人员了解问题的影响力。

例如，Log4j?
是一个已知的漏洞，可能会导致灾难性损坏。然而，根据它的位置和使用方式，它可能是良性的，并且可能根本不构成风险。还可以检测到 Spring4Shell 等需要多个问题或依赖项才能被攻击者利用的漏洞的风险。

如果没有适当的上下文，可能会发出大量警报来标记问题，如果它不是合法的威胁，团队可能会花费无数时间来处理不值得关注的风险，同时可能会错过更关键的风险。通过对风险进行优先排序，可以减少噪音，简化工作流程。

通过基于上下文的 CSPM 工具实现实时可见性是一种现代解决方案，可通过更快、更明智的行动提高效率，从而打造更安全的环境。为了加强云安全性，组织应该部署 CSPM 工具，其中包括无代理和基于代理的扫描，以实现最高的安全态势。

现代漏洞管理方法需要现代 CSPM 解决方案，以便组织获得最佳安全结果。