CrowdStrike представив набір можливостей Cloud Detection and Response (CDR), розроблений для прискорення виявлення загроз і реагування на них у гібридних і багатохмарних середовищах. Удосконалення спрямовані на те, щоб кіберзловмисники почали використовувати штучний інтелект і методи бічного переміщення для націлювання на хмарні ресурси.
Час виявлення
Новий механізм CDR використовує технологію потокової передачі подій у реальному часі для аналізу активності в хмарі. Це відхід від застарілих систем CDR, які залежать від пакетної обробки журналів, що може призвести до значних затримок, іноді займаючи 15 хвилин або більше від моменту порушення до початкового виявлення.
Новий підхід CrowdStrike має на меті скоротити час відповіді до секунд, намагаючись зупинити хмарні загрози до того, як вони поширяться між системами. Компанія впровадила технологію виявлення, розроблену її командою Falcon Adversary OverWatch, групою, яка займається масштабним пошуком загроз на великих підприємствах.
Виявлення поведінки
На додаток до механізму виявлення потокової передачі, платформа містить нові хмарні індикатори атак (IOA). Ці IOA — це готові засоби виявлення, створені спеціально для виявлення моделей поведінки, пов’язаних із хмарними зловмисниками. Вони використовують штучний інтелект і машинне навчання, щоб співвіднести активність користувача в реальному часі з хмарними ресурсами та ідентифікаційними даними.
Це дає змогу системі виявляти передові методи атак, такі як несанкціоноване підвищення привілеїв або зловживання CloudShell, зосереджуючись на виявленні загроз, які можуть обійти традиційні засоби контролю безпеки.
Автоматична відповідь
CrowdStrike також додав автоматизовані дії реагування через Falcon Fusion, його структуру організації безпеки, автоматизації та реагування (SOAR). Ці попередньо створені робочі процеси створені для миттєвого реагування на виявлені загрози, негайного вжиття заходів для припинення діяльності зловмисників без негайного втручання людини з боку центру безпеки (SOC).
Це позиціонується як усунення недоліку більш традиційних пропозицій. Хоча інструменти Cloud Workload Protection можуть блокувати проблеми на рівні робочого навантаження, вони часто залишають відкритою ширшу хмарну інфраструктуру або рівні керування. Подібним чином Cloud Security Posture Management обмежується виділенням потенційних ризиків, а не забезпеченням активного захисту під час виконання.
Уніфікована платформа
Нові функції CDR інтегровані як частина платформи Falcon Cloud Security. CrowdStrike описує це як уніфіковану хмарну платформу захисту додатків (CNAPP), спрямовану на захист від ризиків на всіх рівнях гібридної хмарної інфраструктури, включаючи робочі навантаження, ідентифікаційні дані та дані.
Удосконалення доступні як вбудований набір функцій у існуючому середовищі Falcon, створеному навколо єдиної моделі легкого агента компанії, розробленої для мінімізації складності розгортання.
Контекст галузі
Зміни відбулися в той момент, коли служби безпеки стикаються зі зростаючим тиском, щоб не відставати від зловмисників, які все частіше використовують широкомасштабну автоматизацію та інструменти ШІ. Хмарні загрози, що швидко переміщуються, особливо ті, що переміщуються збоку між системами, змушують захисників скоротити час від початкової атаки до виявлення та стримування.
«Безпека в режимі реального часу — це різниця між припиненням зламу та необхідністю реагування на інцидент — кожна секунда має значення. Сьогоднішній ворог рухається швидко та між доменами, і захисники не можуть дозволити собі витрачати час на обробку хмарних журналів або заповнення виявлень», — сказав Елія Зайцев, головний технічний директор CrowdStrike.