云計算事件響應優(yōu)秀實(shí)踐

云計算如今已經(jīng)成為一種主流技術(shù)，幾乎所有組織都在公有云中運行一些資源——無(wú)論是SaaS、PaaS還是IaaS。他們的安全團隊一直在努力適應云計算環(huán)境，隨著(zhù)DevSecOps的日益普及，他們正在與DevOps團隊合作，致力于開(kāi)始保護其云計算系統。

當企業(yè)發(fā)現保護其云計算投資的最佳方法時(shí)，還需要為云計算制定事件響應策略。即使企業(yè)的云安全控制措施是完美的，網(wǎng)絡(luò )攻擊還是會(huì )發(fā)生。安全團隊需要知道在網(wǎng)絡(luò )攻擊期間要做什么，并為事件響應做好準備，而事件響應可能是快速控制和解決災難事件與可能導致數百萬(wàn)美元損失之間的區別。

什么是事件響應?

事件響應使企業(yè)能夠確保他們了解安全事件，并能夠及時(shí)響應以限制對其系統的損壞。其目標是阻止網(wǎng)絡(luò )攻擊，并防止將來(lái)發(fā)生類(lèi)似的攻擊。

研究機構SANS Institute六個(gè)步驟的事件響應流程為安全事件提供了一個(gè)結構化的框架。這些步驟包括：

(1)準備——制定安全政策，進(jìn)行風(fēng)險評估，確定哪些資產(chǎn)是敏感的，并建立一個(gè)事件響應團隊。

(2)識別——監控系統以檢測異?；顒?dòng)、識別真正的安全事件，并調查威脅的嚴重性和類(lèi)型。

(3)遏制——執行短期遏制程序以阻止威脅的傳播，然后是長(cháng)期遏制，例如應用臨時(shí)修復和重新運行干凈的系統。

(4)根除——確定事件的根本原因，刪除惡意軟件，并采取措施防止未來(lái)的攻擊。

(5)恢復——恢復生產(chǎn)系統，并采取措施防止進(jìn)一步的網(wǎng)絡(luò )攻擊。最后再測試和監控恢復的系統。

(6)學(xué)習——在事件發(fā)生后的兩周內執行回顧性分析，使用完整的文檔評估遏制工作，并確定如何改進(jìn)事件響應過(guò)程。

如何為事件響應準備云平臺

企業(yè)可以通過(guò)多種方式準備事件響應團隊和云計算環(huán)境，以實(shí)現更有效的事件響應：

(1)建立響應目標——與利益相關(guān)者、法律顧問(wèn)和企業(yè)領(lǐng)導協(xié)商確定事件響應目標。共同目標包括問(wèn)題控制和緩解、受影響資源的恢復以及存儲數據以提供證據和歸屬。

(2)使用云平臺進(jìn)行響應——確保企業(yè)的云計算資源包括響應事件所需的工具和資源。例如，確保企業(yè)擁有強大的基于云計算的日志記錄和監控系統，并設置基于云計算的備份和災難恢復，以便可以快速恢復受影響的系統。

(3)確定企業(yè)的要求——在集中式云計算帳戶(hù)中保留日志、快照和其他證據的副本。其應用機制來(lái)執行保留策略。使用標簽和元數據保持可見(jiàn)性，并將日志和云計算資源連接到企業(yè)的單位、項目或公司系統。

(4)使用重新部署機制——如果安全異常是由配置錯誤引起的，企業(yè)應該能夠通過(guò)使用適當的配置重新部署資源來(lái)輕松修復它。確保響應機制可以在必要時(shí)多次執行。

(5)利用自動(dòng)化——在識別重復出現的問(wèn)題和事件后，盡可能實(shí)現自動(dòng)化并以編程方式對其進(jìn)行分解，以構建針對常見(jiàn)情況的響應機制。例如，使用AWS公司成熟的AutoScaling服務(wù)或Microsoft Azure的基礎設施即代碼(IaC)功能。這在云平臺上比在內部部署數據中心容易得多。企業(yè)確保僅對獨特的、新的或關(guān)鍵的事件使用人工響應。

云中有效的事件響應

使用以下提示可以提高企業(yè)在公有云環(huán)境中響應安全事件的能力。

(1)轉移注意力

與傳統的內部部署環(huán)境相比，云計算環(huán)境要求企業(yè)監控不同的元素。在云中，企業(yè)應該關(guān)注應用程序、API和用戶(hù)角色，考慮事件響應者如何在云計算環(huán)境中成功運作，以及他們可能需要執行哪些任務(wù)。事件響應團隊必須對企業(yè)的系統具有適當的訪(fǎng)問(wèn)權限和可見(jiàn)性，以便他們能夠檢測、修復和防止攻擊。

(2)集成警報和事件管理工具

安全團隊必須能夠直接訪(fǎng)問(wèn)支持數據，以對警報進(jìn)行分類(lèi)并對事件進(jìn)行分類(lèi)。為此，安全警報工具應該與企業(yè)使用的任何事件管理工具集成，例如PagerDuty和Slack。這使安全警報能夠直接到達企業(yè)的團隊使用的現有工具和工作流程。響應者不必在不同的工具之間切換來(lái)查看正在發(fā)生的事情。

構建審計跟蹤以捕獲對每個(gè)警報的響應，這將提供可見(jiàn)性和問(wèn)責制，并幫助企業(yè)改進(jìn)響應流程。在安全工具中執行的所有操作都必須在相關(guān)協(xié)作工具中可見(jiàn)，因此企業(yè)可以查看誰(shuí)解除了特定警報，何時(shí)解除警報，以及他們做了哪些注釋。

(3)與云計算提供商合作

云計算提供商通常擁有一個(gè)事件響應團隊，但企業(yè)不能假設其供應商會(huì )在事件期間處理所有事情。需要注意責任共擔模型，其中云計算提供商負責保護基礎設施，而企業(yè)負責數據和工作負載。

確保企業(yè)了解其云計算提供商的服務(wù)協(xié)議以及誰(shuí)對響應的哪個(gè)元素負責。準確了解企業(yè)可以從供應商團隊那里得到哪些警報，以及它如何為企業(yè)的團隊提供支持。擁有明確的關(guān)系并建立聯(lián)系點(diǎn)可以在事件發(fā)生期間節省關(guān)鍵時(shí)間。

(4)保護企業(yè)的日志

主要的云計算供應商為其環(huán)境提供日志記錄功能，包括日志文件或操作指標，以提供對服務(wù)操作的洞察。其日志服務(wù)可能是免費的，也可能是付費的，范圍從基本訪(fǎng)問(wèn)日志到完整的審計和配置日志。大多數云計算日志服務(wù)都允許企業(yè)將日志存儲在云平臺之外或內部部署設施，而這樣做至關(guān)重要。

日志是事件響應調查的有用資源，企業(yè)必須確保網(wǎng)絡(luò )攻擊者無(wú)法訪(fǎng)問(wèn)它們。網(wǎng)絡(luò )攻擊者可能會(huì )破壞企業(yè)的云計算系統或服務(wù)，但他們無(wú)法修改或刪除企業(yè)的日志。日志是受保護的信息來(lái)源，可以幫助企業(yè)識別攻擊時(shí)間線(xiàn)、目標系統和網(wǎng)絡(luò )攻擊者的IP地址。這為調查提供了可靠的起點(diǎn)。

(5)進(jìn)行網(wǎng)絡(luò )靶場(chǎng)訓練

企業(yè)通常依靠演習來(lái)訓練或測試他們的安全和事件響應能力。如今，云計算環(huán)境提供了在受保護環(huán)境中模擬企業(yè)的生產(chǎn)網(wǎng)絡(luò )的機會(huì )，讓企業(yè)的安全團隊能夠在安全的環(huán)境中練習對網(wǎng)絡(luò )上真實(shí)攻擊的響應。

AWS CloudFormation等工具允許企業(yè)快速設計和部署與其實(shí)際網(wǎng)絡(luò )相同的訓練網(wǎng)絡(luò )。企業(yè)可以通過(guò)限制訓練的持續時(shí)間來(lái)降低成本。這些訓練可能是讓企業(yè)的團隊準備好應對現實(shí)世界中網(wǎng)絡(luò )攻擊的最佳方式。

這些是安全事件響應的基礎知識，為事件響應準備云計算環(huán)境以及團隊如何在不可避免的網(wǎng)絡(luò )攻擊發(fā)生時(shí)有效地做出反應。簡(jiǎn)而言之，重要的是：

(1)專(zhuān)注于重要的事情——在云平臺中，這是API、應用程序以及身份和訪(fǎng)問(wèn)管理(IAM)系統。

(2)集成警報和事件管理工具——云平臺提供了充足的自動(dòng)化功能。使用它們自動(dòng)響應常見(jiàn)異常情況。

(3)與云計算提供商合作——企業(yè)在云中并不孤單，其團隊需要準確了解云計算提供商將在響應事件時(shí)采取哪些措施。

(4)保護企業(yè)的日志——如果企業(yè)的日志被篡改，將無(wú)法檢測、調查和響應攻擊。需要不惜一切代價(jià)保護他們。

(5)進(jìn)行網(wǎng)絡(luò )靶場(chǎng)訓練——在事件真正發(fā)生之前，企業(yè)永遠不會(huì )真正知道對事件做出響應是什么感覺(jué)。與其等待真正的網(wǎng)絡(luò )攻擊，不如進(jìn)行“網(wǎng)絡(luò )靶場(chǎng)訓練”或安全演習，看看每個(gè)人如何在攻擊場(chǎng)景中協(xié)同工作。

企業(yè)在為開(kāi)發(fā)人員、操作人員和安全團隊制定一個(gè)有凝聚力的云安全戰略時(shí)，需要做好準備。

【編輯推薦】