Een update aan het aanbod van Sysdig moet securityteams veel tijd schelen. Nieuwe cloud-native opsporingsfuncties zijn ontworpen om de benodigde tijd voor incident-analyse naar 5 minuten te trekken.
Sysdig brengt in kaart waarom een versnelde opsporingsdienst in de cloud nodig is. Allereerst worstelen securityteams met het correleren van data uit verschillende tools en diensten. Ten tweede is het lastig om aanvalspaden te vinden en te begrijpen hoe een aanvaller lateraal kon bewegen in het IT-netwerk.
Vijf minuten nodig, anders gaat het mis
Het ambitieuze doel om een onderzoek in slechts 300 seconden te klaren, komt niet uit de lucht vallen. Dat is volgens Sysdig ook de tijd die organisaties hebben voordat cloud-incidenten ernstiger worden. EDR/XDR- en SIEM-oplossingen zouden te traag zijn om een aanvaller in de cloud tijdig te stoppen. Real-time inzichten in cloud- en log events kunnen, aldus Sysdig, alleen met een cloud-native toepassing. Het bedrijf vult daarom het eigen aanbod vanaf vandaag aan met drie specifieke uitbreidingen.
Drie uitbreidingen
Attack Chain Visualization plaatst een aanvalspad in de Sysdig Cloud Attack Graph. Dit moet aan securityspecialisten duidelijk maken hoe een aanval kon plaatsvinden en hoe verschillende lagen van de IT-infrastructuur zich op dat vlak tot elkaar verhouden.
Real-time Identity Correlation pakt het probleem aan dat cloud- en workload events niet altijd aan identiteiten gekoppeld zijn. Deze context neemt Sysdig voortaan automatisch mee, zoals ongewone log-ins, onmogelijke fysieke verplaatsingen en kwaadaardige IP-adressen. Sysdig dient met deze functionaliteit ervoor te zorgen dat volledig duidelijk is wat een aanvaller precies tracht uit te voeren.
Investigation Workflow Optimization is vooral bedoeld om silo’s te doorbreken. Het centraliseren, verrijken en correleren van identiteiten is nodig om deze inzichtelijk te maken voor verschillende IT-teams. Afdelingen die events tracken, de security op peil houden en het platform beheren spreken door deze toevoeging van Sysdig dezelfde taal.
“Als het aankomt op het overtreffen van aanvallen in de cloud, zet alles minder dan real-time detectie en geautomatiseerde correlatie over meerdere domeinen organisaties op het verkeerde been”, aldus Jamie Butler, hoofd van Runtime Protection and Response Strategy bij Sysdig. “Verbeterde cloud-native onderzoeken stellen ondernemingen in staat om snel real-time bedreigingen te beoordelen, eenvoudig diepe contextgedreven aanvalsverhalen te verkennen en nauwkeurig te reageren op cloud speed.”
Lees ook: Sysdig automatiseert security voor cloudgebaseerde IaC-omgevingen