使用Amazon Inspector和SentinelOne对AWS工作负载进行主动攻击面管理

在过去十年中，数字化转型主要是通过采用云服务来推动的，与传统的本地基础设施相比，这些服务提供了无与伦比的敏捷性并缩短了上市时间。大多数组织都投资于公共和混合云架构以保持竞争力，近 94% 的组织至少使用一种云服务。新冠疫情只是加速了向云转移的计划，因为安全、高优先级和IT团队的规模扩大，以满足远程劳动力对IT资源的需求。

强调迭代和速度可能会让安全团队不堪重负，DevOps（Development和Operations的组合词） 和 SecOps （一种旨在通过将安全团队和ITOps团队结合在一起来自动化安全任务的方法。通过自动化这些关键的任务，将安全性注入产品的整个生命周期中）之间存在一种天然的矛盾，这会让安全团队规避安全和运行流程。因此，负责确保云环境安全的安全团队往往存在工作盲点。

云错误配置呈上升趋势

工作负载的治理通常在部署工作负载时执行一次，有时甚至根本不执行。而且工作负载的特定配置是不一致的，许多实例部署时没有关键控制。根据《2021 年云安全状况报告》，错误配置仍然是云环境中数据泄露的第一大原因。

超过 36% 的组织在去年遭遇了云安全漏洞或漏洞，80% 的组织认为他们容易受到与错误配置的云资源相关的漏洞的影响。

在AWS共享责任模型下，客户负责配置资源，以确保资源的安全性。虽然云采用率正在上升，但为本地环境设计的传统安全工具未能跟上步伐并且不适合云环境。其中一项技术是传统的漏洞扫描和评估工具，它严重依赖本地设备部署和带宽密集型扫描。这种方法对于希望使用云的安全团队来说是不够的，因为他们确信自己的关键应用程序和服务是以安全的方式配置的。

即使是在其云环境中部署了漏洞扫描工具的组织，通常也会在以下三个方面遇到困难：

可观察性：从应用程序工作负载中提取基础设施漏洞数据并与 EDR Telemetry技术相关联，Telemetry是一项远程的从物理设备或虚拟设备上高速采集数据的技术。设备通过推模式（Push Mode）周期性的主动向采集器上送设备的接口流量统计、CPU或内存数据等信息，相对传统拉模式（Pull Mode）的一问一答式交互，提供了更实时更高速的数据采集功能。

可操作性:可视化最关键的漏洞，以确定补救的优先级。

可补救性：大规模地在云环境中执行补救。

基于云的漏洞评估方法

随着Amazon Inspector的发布，对 AWS 工作负载的漏洞评估才变得简单。

Amazon Inspector 是一项漏洞管理服务，可不断扫描 AWS 工作负载以查找软件漏洞和意外的网络暴露。只需在 AWS 管理控制台中单击几下，就可以跨组织中的所有帐户启用Inspector。启用后，Inspector 会自动发现任何规模的 Amazon Elastic Container Registry (ECR) 中所有正在运行的 Amazon EC2 实例和容器映像，并立即开始评估它们是否存在已知漏洞。

通过将常见漏洞和暴露 (CVE) 信息与网络访问和可利用性等因素相关联，为每个发现创建 Inspector 风险评分。该分数用于对最关键的漏洞进行优先排序，以帮助提高修复响应效率。

所有调查结果都汇总在新设计的 Inspector 控制台中，并推送到 AWS Security Hub 和 Amazon EventBridge 以自动化工作流程。在容器映像中发现的漏洞会发送到 Amazon ECR，供资源所有者查看和修复。借助 Inspector，即使是小型安全团队和开发人员也可以确保跨 AWS 工作负载的基础设施工作负载安全性和合规性。

Inspector 会为安全团队创建一个优先发现列表，以便根据漏洞的影响和严重程度确定修复的优先级。这些报告可以为安全和云团队减少整体云攻击面的机会提供宝贵的见解。

Amazon Inspector 的 SentinelOne 集成

最近推出的Amazon Inspector 推出 SentinelOne 集成，它通过 SentinelOne 数据平台为 Amazon Inspector 调查结果提供支持。SentinelOne数据平台是一个大规模可扩展的、基于AWS的云本地日志和分析平台，旨在吸收、标准化、关联和操作无限的数据集。

SentinelOne 与 Amazon Inspector 集成以提供 AWS 基础设施内漏洞的统一可见性。 SentinelOne 从 Amazon EventBridge 中提取 Amazon Inspector 结果，并与来自其他安全性和 DevOps 数据源的日志相关联。 SentinelOne 数据平台提供强大的查询和威胁搜寻功能，使安全和云团队可以轻松地在数据集中进行搜索和透视。

SentinelOne 数据平台提供强大的查询和威胁查找功能

在 SentinelOne 中，分析师可以使用预构建的控制面板从 Amazon Inspector 查看高优先级漏洞。 Inspector 中的数据通过链接进行了丰富，这些链接可用于查看来自 MITRE 国家漏洞数据库的 CVE 的其他信息。借助这些数据，分析师可以从单一管理平台查看其环境中最常见的漏洞、最严重的漏洞以及与给定 CVE 相关的附加上下文。

在 Inspector 中排序和查看漏洞很容易

当需要修复漏洞时，SentinelOne 数据平台的警报已准备就绪，并提供对 AWS Lambda、EventBridge、SQS 和 SNS 的本地支持，让你不仅可以快速识别问题，还可以加速漏洞修复。

通过与 AWS 本地交互，你可以利用现有的修复模式并在需要时管理它们以适应业务规则。

利用现有的修复模式来适应你的业务规则

连接工作负载保护和漏洞评估

漏洞管理是维护良好安全卫生的关键活动，虽然确定漏洞的优先级并对其进行修复对缓解总的攻击面有很大帮助，但被提升并转移到云的遗留自定义应用程序可能无法足够快地更新以解决公开漏洞。无论应用程序如何，云环境中的工作负载都应采取措施来保护、检测和响应可能已被利用的漏洞的主动威胁。

云虚拟机、云实例和容器与用户终端一样容易受到已知漏洞、零日攻击和恶意软件的攻击。运行时保护、检测和响应对于有效的云工作负载安全至关重要。 Singularity Cloud Workload Security 包括企业级保护、EDR 和应用程序控制，以保护你的云应用程序在任何地方运行。SentinelOne的 Linux Sentinel 和 Windows Server Sentinel 为虚拟机提供运行时安全性，而SentinelOne的 Kubernetes Sentinel 为托管和自我管理的 Kubernetes 集群提供运行时安全性。

一个单一的、资源高效的Sentinel代理在混合云环境中提供自动运行时保护、检测和响应。SentinelOne为Amazon EKS、Amazon EKS Anywhere、Amazon ECS和Amazon ECS Anywhere带来运行时安全性，具有自动终止和隔离、应用程序控制以及完整的远程shell取证。

SentinelOne Singularity 使用行为 AI 实时评估威胁，无需人工干预即可提供高质量检测。SentinelOne的解决方案自动将单个事件关联到上下文丰富的 Storylines™ 以重构攻击，并轻松集成威胁情报以提高检测效率。分析人员只需单击一下即可修复所有受影响的终端和云工作负载，无需编写任何新脚本，从而简化并缩短平均响应时间。

保持运行云工作负载的不可变状态是保护它们免受恶意软件（如加密劫持硬币矿工和零日攻击）的关键控制。所有预期的进程都在工作负载映像中定义。当要进行更改时，DevOps会将旧映像退役并发布一个新映像，而不是更新已经在生产环境中的映像。

SentinelOne 应用程序控制引擎通过自动检测和终止映像中未找到的任何可执行文件来防止你的工作负载被流氓进程劫持，从而降低成功利用漏洞的可能性。

通过SentinelOne集成，你可以将云工作负载保护与Amazon Inspector的漏洞检测统一起来。

总结

使用SentinelOne集成将Amazon Inspector的发现与AWS工作负载的本地云保护联系起来，组织可以使用同类最佳的解决方案主动识别漏洞并检测和响应对易受攻击的应用程序的主动攻击。