CISA的NIMBUS 2000计划:理解关键发现并加强云身份安全
2025年6月25日,网络安全和基础设施安全局(CISA)在弗吉尼亚州阿灵顿举办了云身份安全技术交流活动。该活动是更广泛的NIMBUS 2000计划的一部分,汇集了七家领先的云服务提供商、国家安全局、NIST和OpenID基金会,共同讨论了影响云基础设施的不断演变的威胁形势。
这一协作努力突显了基于云的威胁日益复杂化,以及行业加强我们共享安全生态系统的承诺。
CISA NIMBUS 2000交流的关键发现
CISA的技术交流揭示,云环境日益成为复杂威胁行为者的目标,他们利用身份相关的漏洞。该计划确定了三个需要行业广泛关注的核心领域:
-
令牌验证技术
- 无状态令牌虽然高效,但当签名密钥被泄露时存在风险——使得广泛的令牌伪造成为可能。
- 像有状态验证和带有持有证明的令牌绑定等更强替代方案提供了增强的安全性,但由于复杂性和集成成本而面临采用障碍。
-
密钥管理系统
- 扩展集中式密钥管理引入了围绕错误配置和政策执行的风险。
- 组织必须平衡安全密钥存储、访问控制、性能和密钥轮换以保持弹性。
-
日志记录和可见性
- 有限的遥测和不一致的日志保留阻碍了伪造令牌和未经授权访问的检测。
- 行业必须改进日志记录标准和可见性,以支持有效的威胁检测和响应。
Trend Vision One™云安全如何与NIMBUS 2000对齐
作为云安全生态系统的坚定合作伙伴,Trend Vision One™云安全通过其集成平台能力直接应对CISA发现中概述的挑战,包括以下内容:
增强的令牌安全和身份保护
Trend Vision One™通过以下方式加强令牌验证和身份监控:
- Trend Vision One™ XDR for Cloud(AWS CloudTrail)利用超过150个高级检测模型,由全球威胁情报驱动,以发现复杂的基于云的威胁,例如:
- MFA停用
- 权限提升
- 政策回滚
- 主密码更改
- 身份和访问活动监控:持续监控Microsoft Entra ID和Active Directory,以检测可疑的身份验证模式和令牌滥用。
强大的密钥管理
为了支持安全开发和操作,Trend Vision One™提供:
- 运行时密钥扫描:实时检测容器化环境中暴露的密钥。
- Trend Vision One™云风险管理:监控密钥管理系统中的错误配置,并针对CIS基准自动化合规性扫描。
高级日志记录和取证
Trend Vision One通过以下方式增强可见性和检测:
- 多源日志集成:从AWS CloudTrail、VPC Flow、Amazon Security Lake、Azure活动日志等获取日志。
- 扩展威胁检测:识别伪造令牌、泄露密钥和未经授权的令牌生成。
- 自动化响应:启用实时遏制操作,例如撤销可疑IAM用户的访问权限。
定向检测能力
Trend Vision One包括与NIMBUS 2000优先事项对齐的特定检测模型,例如:
- 检测“AWS IAM用户登录MFA已停用”
- 识别“AWS IAM管理员访问策略附加到角色”
- 政策回滚和权限提升的实时警报
集成安全的力量
Trend Vision One的XDR方法关联云、身份、终端和网络层的信号,提供:
- 全面可见性:集中关联和威胁优先级排序。
- 操作效率:通过自动化工作流减少警报疲劳并加速响应。
构建弹性的云安全生态系统
CISA的NIMBUS 2000计划是增强云身份安全的关键一步。Trend Vision One™云安全通过提供与联邦标准和行业最佳实践对齐的集成能力来支持这一使命。
通过应对令牌验证、密钥管理和日志记录挑战,Trend Vision One使组织能够自信地采用云技术,同时保持强大的安全性。