導(dǎo)讀:云計算如今已經(jīng)成為一種主流技術(shù),隨著DevSecOps的日益普及,他們正在與DevOps團隊合作,致力于開始保護其云計算系統(tǒng)。
云計算如今已經(jīng)成為一種主流技術(shù),幾乎所有組織都在公有云中運行一些資源——無論是SaaS、PaaS還是IaaS。他們的安全團隊一直在努力適應(yīng)云計算環(huán)境,隨著DevSecOps的日益普及,他們正在與DevOps團隊合作,致力于開始保護其云計算系統(tǒng)。
當(dāng)企業(yè)發(fā)現(xiàn)保護其云計算投資的最佳方法時,還需要為云計算制定事件響應(yīng)策略。即使企業(yè)的云安全控制措施是完美的,網(wǎng)絡(luò)攻擊還是會發(fā)生。安全團隊需要知道在網(wǎng)絡(luò)攻擊期間要做什么,并為事件響應(yīng)做好準備,而事件響應(yīng)可能是快速控制和解決災(zāi)難事件與可能導(dǎo)致數(shù)百萬美元損失之間的區(qū)別。
什么是事件響應(yīng)?
事件響應(yīng)使企業(yè)能夠確保他們了解安全事件,并能夠及時響應(yīng)以限制對其系統(tǒng)的損壞。其目標是阻止網(wǎng)絡(luò)攻擊,并防止將來發(fā)生類似的攻擊。
研究機構(gòu)SANS Institute六個步驟的事件響應(yīng)流程為安全事件提供了一個結(jié)構(gòu)化的框架。這些步驟包括:
(1)準備——制定安全政策,進行風(fēng)險評估,確定哪些資產(chǎn)是敏感的,并建立一個事件響應(yīng)團隊。
(2)識別——監(jiān)控系統(tǒng)以檢測異?;顒?、識別真正的安全事件,并調(diào)查威脅的嚴重性和類型。
(3)遏制——執(zhí)行短期遏制程序以阻止威脅的傳播,然后是長期遏制,例如應(yīng)用臨時修復(fù)和重新運行干凈的系統(tǒng)。
(4)根除——確定事件的根本原因,刪除惡意軟件,并采取措施防止未來的攻擊。
(5)恢復(fù)——恢復(fù)生產(chǎn)系統(tǒng),并采取措施防止進一步的網(wǎng)絡(luò)攻擊。最后再測試和監(jiān)控恢復(fù)的系統(tǒng)。
(6)學(xué)習(xí)——在事件發(fā)生后的兩周內(nèi)執(zhí)行回顧性分析,使用完整的文檔評估遏制工作,并確定如何改進事件響應(yīng)過程。
如何為事件響應(yīng)準備云平臺
企業(yè)可以通過多種方式準備事件響應(yīng)團隊和云計算環(huán)境,以實現(xiàn)更有效的事件響應(yīng):
(1)建立響應(yīng)目標——與利益相關(guān)者、法律顧問和企業(yè)領(lǐng)導(dǎo)協(xié)商確定事件響應(yīng)目標。共同目標包括問題控制和緩解、受影響資源的恢復(fù)以及存儲數(shù)據(jù)以提供證據(jù)和歸屬。
(2)使用云平臺進行響應(yīng)——確保企業(yè)的云計算資源包括響應(yīng)事件所需的工具和資源。例如,確保企業(yè)擁有強大的基于云計算的日志記錄和監(jiān)控系統(tǒng),并設(shè)置基于云計算的備份和災(zāi)難恢復(fù),以便可以快速恢復(fù)受影響的系統(tǒng)。
(3)確定企業(yè)的要求——在集中式云計算帳戶中保留日志、快照和其他證據(jù)的副本。其應(yīng)用機制來執(zhí)行保留策略。使用標簽和元數(shù)據(jù)保持可見性,并將日志和云計算資源連接到企業(yè)的單位、項目或公司系統(tǒng)。
(4)使用重新部署機制——如果安全異常是由配置錯誤引起的,企業(yè)應(yīng)該能夠通過使用適當(dāng)?shù)呐渲弥匦虏渴鹳Y源來輕松修復(fù)它。確保響應(yīng)機制可以在必要時多次執(zhí)行。
(5)利用自動化——在識別重復(fù)出現(xiàn)的問題和事件后,盡可能實現(xiàn)自動化并以編程方式對其進行分解,以構(gòu)建針對常見情況的響應(yīng)機制。例如,使用AWS公司成熟的AutoScaling服務(wù)或Microsoft Azure的基礎(chǔ)設(shè)施即代碼(IaC)功能。這在云平臺上比在內(nèi)部部署數(shù)據(jù)中心容易得多。企業(yè)確保僅對獨特的、新的或關(guān)鍵的事件使用人工響應(yīng)。
云中有效的事件響應(yīng)
使用以下提示可以提高企業(yè)在公有云環(huán)境中響應(yīng)安全事件的能力。
(1)轉(zhuǎn)移注意力
與傳統(tǒng)的內(nèi)部部署環(huán)境相比,云計算環(huán)境要求企業(yè)監(jiān)控不同的元素。在云中,企業(yè)應(yīng)該關(guān)注應(yīng)用程序、API和用戶角色,考慮事件響應(yīng)者如何在云計算環(huán)境中成功運作,以及他們可能需要執(zhí)行哪些任務(wù)。事件響應(yīng)團隊必須對企業(yè)的系統(tǒng)具有適當(dāng)?shù)脑L問權(quán)限和可見性,以便他們能夠檢測、修復(fù)和防止攻擊。
(2)集成警報和事件管理工具
安全團隊必須能夠直接訪問支持數(shù)據(jù),以對警報進行分類并對事件進行分類。為此,安全警報工具應(yīng)該與企業(yè)使用的任何事件管理工具集成,例如PagerDuty和Slack。這使安全警報能夠直接到達企業(yè)的團隊使用的現(xiàn)有工具和工作流程。響應(yīng)者不必在不同的工具之間切換來查看正在發(fā)生的事情。
構(gòu)建審計跟蹤以捕獲對每個警報的響應(yīng),這將提供可見性和問責(zé)制,并幫助企業(yè)改進響應(yīng)流程。在安全工具中執(zhí)行的所有操作都必須在相關(guān)協(xié)作工具中可見,因此企業(yè)可以查看誰解除了特定警報,何時解除警報,以及他們做了哪些注釋。
(3)與云計算提供商合作
云計算提供商通常擁有一個事件響應(yīng)團隊,但企業(yè)不能假設(shè)其供應(yīng)商會在事件期間處理所有事情。需要注意責(zé)任共擔(dān)模型,其中云計算提供商負責(zé)保護基礎(chǔ)設(shè)施,而企業(yè)負責(zé)數(shù)據(jù)和工作負載。
確保企業(yè)了解其云計算提供商的服務(wù)協(xié)議以及誰對響應(yīng)的哪個元素負責(zé)。準確了解企業(yè)可以從供應(yīng)商團隊那里得到哪些警報,以及它如何為企業(yè)的團隊提供支持。擁有明確的關(guān)系并建立聯(lián)系點可以在事件發(fā)生期間節(jié)省關(guān)鍵時間。
(4)保護企業(yè)的日志
主要的云計算供應(yīng)商為其環(huán)境提供日志記錄功能,包括日志文件或操作指標,以提供對服務(wù)操作的洞察。其日志服務(wù)可能是免費的,也可能是付費的,范圍從基本訪問日志到完整的審計和配置日志。大多數(shù)云計算日志服務(wù)都允許企業(yè)將日志存儲在云平臺之外或內(nèi)部部署設(shè)施,而這樣做至關(guān)重要。
日志是事件響應(yīng)調(diào)查的有用資源,企業(yè)必須確保網(wǎng)絡(luò)攻擊者無法訪問它們。網(wǎng)絡(luò)攻擊者可能會破壞企業(yè)的云計算系統(tǒng)或服務(wù),但他們無法修改或刪除企業(yè)的日志。日志是受保護的信息來源,可以幫助企業(yè)識別攻擊時間線、目標系統(tǒng)和網(wǎng)絡(luò)攻擊者的IP地址。這為調(diào)查提供了可靠的起點。
(5)進行網(wǎng)絡(luò)靶場訓(xùn)練
企業(yè)通常依靠演習(xí)來訓(xùn)練或測試他們的安全和事件響應(yīng)能力。如今,云計算環(huán)境提供了在受保護環(huán)境中模擬企業(yè)的生產(chǎn)網(wǎng)絡(luò)的機會,讓企業(yè)的安全團隊能夠在安全的環(huán)境中練習(xí)對網(wǎng)絡(luò)上真實攻擊的響應(yīng)。
AWS CloudFormation等工具允許企業(yè)快速設(shè)計和部署與其實際網(wǎng)絡(luò)相同的訓(xùn)練網(wǎng)絡(luò)。企業(yè)可以通過限制訓(xùn)練的持續(xù)時間來降低成本。這些訓(xùn)練可能是讓企業(yè)的團隊準備好應(yīng)對現(xiàn)實世界中網(wǎng)絡(luò)攻擊的最佳方式。
這些是安全事件響應(yīng)的基礎(chǔ)知識,為事件響應(yīng)準備云計算環(huán)境以及團隊如何在不可避免的網(wǎng)絡(luò)攻擊發(fā)生時有效地做出反應(yīng)。簡而言之,重要的是:
(1)專注于重要的事情——在云平臺中,這是API、應(yīng)用程序以及身份和訪問管理(IAM)系統(tǒng)。
(2)集成警報和事件管理工具——云平臺提供了充足的自動化功能。使用它們自動響應(yīng)常見異常情況。
(3)與云計算提供商合作——企業(yè)在云中并不孤單,其團隊需要準確了解云計算提供商將在響應(yīng)事件時采取哪些措施。
(4)保護企業(yè)的日志——如果企業(yè)的日志被篡改,將無法檢測、調(diào)查和響應(yīng)攻擊。需要不惜一切代價保護他們。
(5)進行網(wǎng)絡(luò)靶場訓(xùn)練——在事件真正發(fā)生之前,企業(yè)永遠不會真正知道對事件做出響應(yīng)是什么感覺。與其等待真正的網(wǎng)絡(luò)攻擊,不如進行“網(wǎng)絡(luò)靶場訓(xùn)練”或安全演習(xí),看看每個人如何在攻擊場景中協(xié)同工作。
企業(yè)在為開發(fā)人員、操作人員和安全團隊制定一個有凝聚力的云安全戰(zhàn)略時,需要做好準備。