云安全事件响应的难点、流程与最佳实践

VSole2023-02-27 13:44:59

云计算技术的出现,改变了数据计算和存储的方式,它解决了在海量数据之下,传统数据存储技术的性能瓶颈。鉴于现代企业组织对云的使用变得越来越普遍,将云计算应用添加到安全事件响应流程中显得无比重要。

安全事件响应一般包括事件检测、事件分析和应对事件的计划、流程、控制措施等。云安全事件响应也不例外。同时,由于云计算的基础架构已发生了变化,许多企业是通过云服务提供商(CSP)来部署私有云和公共云,因此,云安全事件响应还需要有一些独特的流程和方法。

云安全事件响应难点

落实健全可靠的云安全事件响应策略可以确保企业能够快速有效地响应云上安全事件,但其往往面临着以下方面的挑战: 

  • 专业技能不足,缺少同时具备云计算知识和安全防护知识的专业人才;
  • 对云特有的事件了解不足,比如要分析和处理的API调用和信息;
  • 缺少可见性,未实施帮助用户了解云上应用活动的监控工具。

由于云上的一些数据资产和服务可能全部或部分由CSP管理,因此企业的云应用涉及责任共担模式。例如,当企业的云上SaaS服务遭到攻击入侵时,由于对事件和攻击指标缺乏可见性或监测数据,往往难以第一时间触发攻击警报。然而在比较多样化的IaaS云中,许多对象和资产由企业自己来控制,因此需要由企业来负责安全的管理和响应。

同时,许多企业在本地数据中心的安全方案和控制措施并不适合云环境。比如说,一些工具存在兼容性或性能方面的挑战,而另一些工具可能无法被云API调用,无法结合上下文信息来检测攻击和入侵指标。

此外,云安全防护的重点在于使用云原生服务作为安全事件响应的关键要素,需要关注自动化流程和安全能力编排。

云安全事件响应流程

云安全联盟(CSA)发布了一套面向云的事件响应框架,概述了企业组织在云安全事件响应中的四个关键步骤:

  • 准备和审查。云安全事件响应的准备阶段包括:工具和控制措施的实施、对员工进行云应用知识方面的培训以及云响应行动手册的制定。该阶段需要涵盖各项前期准备工作,从而使安全团队能够在云安全事件发生之前做好充分的响应准备。
  • 检测和分析。企业应该充分监控云服务环境,以发现可能表明攻击及其他安全性事件的指标。企业应该密切跟踪潜在的征兆,比如新的云攻击途径、云服务漏洞和服务中断的通知。在该阶段,安全团队需要检测安全告警事件,并以此判断是否需要启动全面的安全事件响应工作,以及开展相关的调查取证工作。
  • 遏制、清除和恢复。这个阶段侧重于几个不同的目标。首先,安全响应团队应该防止攻击事件的蔓延或恶化。这可能需要采取行动,比如迁移到不同的可用区以提高业务连续性,或者隔离行为可疑或恶意的访问;清除是指消除或杜绝安全事件的产生原因,比如被恶意软件感染的容器镜像和运行时受到影响的账户;恢复则是指恢复业务系统在云端的正常运营。
  • 总结分析。这个阶段是指对事件响应期间的各项工作进行总结,以防止同类事件再次发生。这个阶段需要安全团队和其他业务部门以及CSP进行协调沟通。此外,可以利用该阶段确定各项安全控制措施和流程是否有效。

云安全事件响应最佳实践

企业组织在制定和执行云安全事件响应策略时,可以参考以下最佳实践经验:

  • 加强响应团队成员接受云安全知识培训

云安全事件响应需要同时具备云计算知识和安全防护知识的专业人才。因此,要让安全团队成员熟悉云安全事件响应中所需的各类服务、对象、API、命令及其他以云为中心的知识理论。

  • 提前创建事件响应特权账户

这是一个重要的云事件响应步骤。IT部门很难在突发事件爆发的紧急关头为事件响应分析师创建最小特权模型。因此需要创建满足响应需求的最小特权账户,以便在需要时在云端执行特定的处置操作。要为这些账户定义好角色,并为这些账户启用多因素身份验证。

  • 启用日志证据记录选项

即使证据目前没有存储在云端,也要提前做好日志信息记录这项工作。比如说,Amazon Simple Storage Service Versioning(亚马逊简单存储服务版本控制)功能可用于安全保管和恢复日志信息。如果云服务商提供云日志记录服务,应该尽快启用这项功能。同时,还应该启用基于指标触发警报的机制,比如Amazon CloudWatch或Azure Monitor。

  • 启用云护栏服务

此类服务可以帮助企业获得额外的可见性和监控能力。比如说,一些服务可以使团队能够使用CSP的原生结构来监控云账户的资产、服务和行为,比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。

  • 确保事件响应工具与所选择的CSP兼容

云安全事件响应中需要使用多种工具,要确保这些工具在云上可以兼容。比如:检查EDR工具是否能够监测和警报在PaaS系统(比如容器、Kubernetes和无服务器系统)中的攻击和恶意活动。

  • 将云API集成和自动化功能加入到响应工作流程中

在云端落实自动化的假设分析(if-then)要比在本地数据中心更容易,通过一些原生工具就可以实现。同样,组织还可以启用自动获取攻击证据的机制,这样可以在取证时大量节省事件响应团队的数据检索时间。

  • 与云运维团队和DevOps团队保持步调一致

云事件响应行动计划要尽可能减少对业务生产环境的印象和中断。因此,云安全事件响应团队要在事件处置的全过程中,和所有利益相关者保持密切配合。云安全事件响应中随时会面临挫折和打击,在此过程中,需要积极调动并保持每个参与者的积极性。

云计算云安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
为加速美军数字化转型的发展进程,国防部于7月6日正式取消了处 于长期停滞状态的企业通用项目——联合企业防御基础设施(JEDI),并公布了其替代方案——联合战士能力(JWCC)。新项目基于 JEDI 的建设 内容, 强化安全目标、细化安全措施, 实现从应用层到数据层的安全能力,以满足符合国防部安全要求的操作环境,进一步增强网络防御。自此,美军通用环境以多态取代了单一的建设思路,为美军全球战
新冠疫情和数字化转型加速了广大企业上,在海外计算已经成为大多数企业默认的 IT 基础设施,国内的计算市场份额预计到“十四五”末也将突破万亿。客户遭遇安全事件的比例有所下降2021 年,27% 的客户遭遇了公有安全事件,比 2020 年的 36% 有所下降。勒索软件成为最大威胁勒索软件在侧、端侧、传统网络环境中到肆意蔓延。
7月27日-28日,2021可信大会在京举行。
随着政务平台的建设和推广,数量众多的政务信息系统开始从本地迁移到平台上。在确保政务信息系统平稳过渡的基础上,迁移过程中系统的信息安全与保密管理不可忽视。就政务信息系统化迁移过程会涉及的步骤和信息安全风险进行分析和探讨,从处置措施、技术测评等方面提出针对性处置建议,为政务信息系统化迁移过程的安全保密管理提供参考。 内容目录:
计算并不新鲜:大部分企业已经欣然接受它,因为它具有明显的优势,包括可扩展性、可访问性和可靠性。但平台提供商,即提供使用计算所需的基础设施、服务和资源的组织,并不十分出色。这些平台仍然可能受到安全风险的影响,例如内部威胁、混乱的数据存储法规和有针对性的恶意软件攻击等。
对此,CSA大中华区2022发布了《原生安全技术规范》和《应用安全技术规范》,并根据规范要求,与公安三所合作分别推出了原生安全可信认证和应用安全可信认证。在CSA大中华区去年发布的数字安全框架和即将发布的《全球数字安全报告》中,将原生安全作为安全的免疫系统,从源头上解决安全问题。
计算安全审计概览
2022-08-02 10:03:32
开展安全审计正是保障计算应用安全的有效手段之一,它能够将上业务运营状态及风险进行充分地检验和评审,预防发现可能出现的安全隐患。安全审计的价值安全审计是一套流程,旨在识别与计算应用相关的安全漏洞和风险。Astra Pentest、Prowler、Dow Jone’s Hammer、ScoutSuite和CloudSploit Scans是目前最常用的安全审计工具。
人们听说过很多关于多云战略的利弊,但令人吃惊的是一些组织认为他们不需要担心这个问题。他们确实也做到了。企业需要重视计算中的安全问题,当企业与多个计算提供商进行交互时,安全性变得更加重要。采用多云对于大多数组织来说几乎是确定的,因为一个计算提供商可能会提供另一个提供商不会提供的特定功能和定价。
元宇宙概念的火热,让我们看到了计算在技术世界中地应用是多么的广泛,越来越多的国家出台鼓励计算发展的政策。 作为重要的数字技术之一,计算可以帮助企业提高效率、降低数据中心运维成本等,与此同时,企业使用基于的服务时的安全性也逐渐受到关注。
由于要面对许多不同类型的安全威胁,企业制定牢固且周密的安全策略是至关重要的。企业还需要培养员工良好的安全习惯,并制定清晰细致的规章制度,规定谁应当为此负责以及明确发生潜在事件时的处置程序。持续监控自己的网络并连续提供有关潜在威胁的新信息至关重要。如果发生数据丢失,企业仍要承担监管处罚、公信力损失以及所有其他相关后果。确保内部和外部防御机制正常工作的唯一办法就是测试它们。
VSole
网络安全专家