前言

云环境面临的攻击与威胁趋势越演越烈，根据Check Point与Cybersecurity Insiders联合发布的《2023年云安全报告》显示，基于云的网络攻击骤增48%，此外根据2022年的报告综合来看，主要结果如下。

• 68%的企业表示使用多种工具生成的大量警报让人疲于应对；
• 云错误配置导致的安全事件数量上升，与误泄露数据及账号入侵劫持成为三大云安全事件的主要原因。
• API威胁加剧，可公开访问的API服务器成为重大隐患；
• 云上应用及基础组件安全漏洞的出现，增加了被攻击的可能性；
• 勒索软件在云侧、端侧、传统重要网络的肆意蔓延；
• 采用多云(两家或两家以上云厂商)的云客户持续上升，由于不同厂商安全实现方式的差异，导致客户侧的管理难度进一步加大，加剧安全盲点和安全事件发生的可能性。

云已经成为当前数字化转型中的重要载体，原有面向非云环境的传统SIEM类平台，因其非云原生的特性，无论是架构还是保护对象的识别与检测等层面难度较大，以上问题会加剧云环境被攻陷的可能性，对业务及应用遭成巨大损失，云上客户产生具大的声誉和经济损失。

如何解决这一难题，从根因分析的角度来看，需要解决几个关键点，一是提高威胁事件的检测效率，二是提高威胁检测的准确性，三是提高威胁响应的效率，降低威胁影响时间。基于云的特性来说，以及市场和机构反馈来看，CDR(云威胁检测和响应)不失为一种有效的应对方案。

CDR的发展历程

CDR【Cloud threaten Detection and Response】（云威胁检测和响应）是一种有效的创新云安全方法，目前国际上较有影响力的几个动态如下：

结合国内外观点，编者认为CDR技术核是面向云场景的检测与响应技术，包括三大核心能力：

1)云安全数据中心：通过多种大规模的方式采集云环境(包括云工作负载及应用及配套的安全能力)下的全量安全要素数据如应用负载、网络流量、文件、日志信息等，并对其进行治理，形成面向云主题的安全要素信息。

2）云安全监测中心：通过关联分析、UEBA、AI等分析技术持续监控云应用的运行状态，实时发现各种潜在的安全威胁。其核心是能够告诉用户一个攻击的完整路径以及提高威胁分析的准确性。

3）调查与响应：通过智能化的威胁分析，可以通过感知上下文，确定安全告警的优先级并消除误报，并可通过SOAR技术进行自动化的攻击阻断与响应，提供数据服务能力如检索过滤，便于安全分析师的调查取证，并提供云整体的度量，即帮助组织全面梳理云资产和工作负载数据，整体评估云上应用的安全态势。

其与当前的XDR和方案和产品最大的不同是基于云原生的识别、检测、防护与响应，也就是需要最懂云也要成长云与并需要在云中不断扩展的能力。

CDR解决方案建议

基于云的动态、弹性及复杂性(东西向流量、Serverless、容器、微服务等的应用)等特点，编者认为CDR技术的应用到最佳实践落地，还需要较长的时间周期。与Gartner 提出的CNAPP整合CWPP与CSPM等产品能力有一定的相似性，但CDR更加注重实战化，旨在降低MTTR，面向安全运营团队交付动态扩展的能力。在具体的落地层面更像一套整体解决方案，因为在多数客户已经建设了为数不少的云相关的安全基础设施。在具体的能力体系方面，需要具备以下能力体系进行整合，在具体的落地过程当中，建议从以下方面进行考虑。

理清云暴露面

暴露面不仅仅包括工作负载对应的主机、虚拟机、容器、Serverless等多种类型及其属性，还应该包括对外暴露的API、漏洞、不安全配置等信息，以及潜在可能的数据资产暴露面等信息，因此在具体的对接与采集层面是一个较为系统化、体系化的工作，可采用有代理及无代理的对接方式，并可通过API与EAASM等外部暴露面SAAS化数据服务进行对接。此外还应该建立暴露面管理的制度，形成以技术为驱动、流程为牵引的暴露面管理体系，建立安全资产管理系统或应用是一个必要的选择。

全量多维要素汇聚与治理

云环境的威胁检测和响应，必须要融合的数据不仅包括暴露面信息、安全网元生成的日志，还应该包括工作负载东西向流量，以及与用户身份及认证记录相关的数据要素，实现多维数据间的关联以及面向云场景的主题库与专题库。在具体的落地层面，考虑到数据要素间的差异，湖仓一体的安全数据中台是种较为有效的方式和落地支撑，屏蔽数据差异，构建面向安全分析的应用和数据服务是核心。

智能联合分析构建

云场景中的威胁检测，结合云环境中的数据量大、数据来源广等特点，同时结合攻击的变化特征，需要整合多重分析方式与方法，在此方面，基于规则的关联分析可快速检测和识别已知威胁；基于用户与实体行为的分析，可通过基线及机器学习等方式构建并识别异常和违规以及隐藏在正常操作中的恶意意图；基于AI的分析，结合其特征和模型训练的高精度特征，对高级持续威胁的检测具有较好的优势。基于以上，高性能、多维拓线分析实现智联合分析，需要以上三种技术能力的加持。

应用自动响应与编排技术

基于工作流的安全自动化指利用技术将各安全能力集成，向安全过程提供的自动化编排功能，在“点对点”模式基础上，更重视提供流程式的编排能力。在具体的落地层面，可依赖当前较为成熟的SOAR产品能力体系，并结合云环境中相关的API及接口进行适配对接，并结合云的特性进行灵活迁移。

构建可持续的安全运营

面向云环境的安全运营，为了实现降低MTTR的目标，围饶安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程。通过安全运营过程的统筹管理，满足用户信息系统安全的动态性、持续性和整体性需求。

云安全运营面向公有云、私有云、行业云等场景，以标准化运营体系及流程为牵引，以云安全运营平台为支撑，实现对平台的安全运营内部支撑以及云内云外客户的安全运营业务的对外服务能力输出。