Permiso推出P0 Labs：应对云基础设施的安全挑战

关键要点

• Permiso最近推出了P0 Labs，定义其“优先零”任务，专注于检测和响应云基础设施的攻击。
• 公司的独特身份驱动的云安全方法将有助于对抗日益增长的国家级威胁。
• 通过对攻击者路径的监测和分析，Permiso致力于提高客户的安全防护能力。

Permiso是一家专注于云身份检测和响应的初创公司，该公司本周宣布推出P0 Labs。P0Labs的名称源于该公司的“优先零”使命，旨在为客户检测和应对最新的云基础设施攻击。

在与公司的联合创始人兼共同首席执行官Paul Nguyen，以及P0 Labs的副总裁IanAhl的采访中，他们讨论了公司的身份驱动的云安全方法，以及随着国家级对手开始迁移到云，Permiso如何计划扩展整合和帮助客户适应。

让我们先来提供一些关于公司的背景和你们如何起步的故事？

Nguyen: Permiso是由JasonMartin和我三年前在FireEye时创立的。我们认定将是下一个前沿，类似于20年前数据中心的演变。我们尝试收购几家云安全公司，这让我们对市场有了一些了解。FireEye希望从检测和响应的角度看待云安全的新演变，但不幸的是，我们未能执行这一战略，因此Jason和我决定独立行动。我们看到了云安全市场中检测和响应的巨大机会，这仍是处于初级阶段的领域。所以我们很高兴能参与这个完全没有人涉足的领域。

Permiso主要是一个红队渗透测试公司吗？还是在检测和响应的强调下，你们采取的是紫队方法？

Ahl: 我们是一家云检测和响应公司，有一些围绕这一目标构建的服务。我组建了P0Labs团队，包括事件响应者和渗透测试人员，采用紫队的方法，在红队一侧模拟攻击，而响应者则关注发生的情况。我们的目标是找出罪犯。我们将我们的知识带入前线，同时使用紫队方法首先创造恶意活动，这样我们可以将这些知识编码到我们的产品中。因此，我们通常会首先制造恶意活动，监测我们在恶意活动中的表现，然后编写与这种活动相关的检测规则。

云的威胁环境有什么不同，需要新的方法来应对安全行业过去的做法？

Ahl:
攻击者之所以想要转向云端，原因与其他人相同：速度、规模和影响力。这是从能力角度来看最大的差异。他们知道，转向云端可以产生更大的影响。目前，我们处于一个主要由寻常攻击者、勒索软件和比特币挖矿主导的阶段，但现在我们看到越来越多的高级攻击者开始进入云空间。这些高端攻击者一直存在，但数量正在增加。例如，APT29是我在Mandiant工作时接触过的一个组织。他们是事件的罪魁祸首。这些是俄罗斯的国家级威胁行为者，在被追踪的组织中属于顶尖水平。我们知道他们也在发生变化，他们正在进入供应链，特别是目标瞄准云服务商和云中的安全供应商，以利用那种访问权限进入其他环境。

那你们如何应对这一增长的威胁？

Nguyen:
我们使用身份作为检测恶意行为的主要机制。我们看到的主要攻击途径是被劫持的凭证或暴露的秘密：攻击者通过初始的凭证获得访问权限，然后追踪这些线索，并在切换时创建其他用户以运行其他影响事件。

身份驱动的方法非常新颖。传统的安全方法主要集中在网络、主机和IP地址上，这是数据中心的构造。而在云环境中，云服务提供商并没有暴露网络和主机，而是提供服务。要实现那些服务的监控，得使用API和凭证。你会听到S3桶，这是一种数据存储方式；还有EC2，这是计算资源。如何创建更多