云安全事件響應的難點、流程與最佳實踐
云計算技術的出現,改變了數據計算和存儲的方式,它解決了在海量數據之下,傳統數據存儲技術的性能瓶頸。鑒于現代企業組織對云的使用變得越來越普遍,將云計算應用添加到安全事件響應流程中顯得無比重要。
安全事件響應一般包括事件檢測、事件分析和應對事件的計劃、流程、控制措施等。云安全事件響應也不例外。同時,由于云計算的基礎架構已發生了變化,許多企業是通過云服務提供商(CSP)來部署私有云和公共云,因此,云安全事件響應還需要有一些獨特的流程和方法。
云安全事件響應難點
落實健全可靠的云安全事件響應策略可以確保企業能夠快速有效地響應云上安全事件,但其往往面臨著以下方面的挑戰:
- 專業技能不足,缺少同時具備云計算知識和安全防護知識的專業人才;
- 對云特有的事件了解不足,比如要分析和處理的API調用和信息;
- 缺少可見性,未實施幫助用戶了解云上應用活動的監控工具。
由于云上的一些數據資產和服務可能全部或部分由CSP管理,因此企業的云應用涉及責任共擔模式。例如,當企業的云上SaaS服務遭到攻擊入侵時,由于對事件和攻擊指標缺乏可見性或監測數據,往往難以第一時間觸發攻擊警報。然而在比較多樣化的IaaS云中,許多對象和資產由企業自己來控制,因此需要由企業來負責安全的管理和響應。
同時,許多企業在本地數據中心的安全方案和控制措施并不適合云環境。比如說,一些工具存在兼容性或性能方面的挑戰,而另一些工具可能無法被云API調用,無法結合上下文信息來檢測攻擊和入侵指標。
此外,云安全防護的重點在于使用云原生服務作為安全事件響應的關鍵要素,需要關注自動化流程和安全能力編排。
云安全事件響應流程
云安全聯盟(CSA)發布了一套面向云的事件響應框架,概述了企業組織在云安全事件響應中的四個關鍵步驟:
- 準備和審查。云安全事件響應的準備階段包括:工具和控制措施的實施、對員工進行云應用知識方面的培訓以及云響應行動手冊的制定。該階段需要涵蓋各項前期準備工作,從而使安全團隊能夠在云安全事件發生之前做好充分的響應準備。
- 檢測和分析。企業應該充分監控云服務環境,以發現可能表明攻擊及其他安全性事件的指標。企業應該密切跟蹤潛在的征兆,比如新的云攻擊途徑、云服務漏洞和服務中斷的通知。在該階段,安全團隊需要檢測安全告警事件,并以此判斷是否需要啟動全面的安全事件響應工作,以及開展相關的調查取證工作。
- 遏制、清除和恢復。這個階段側重于幾個不同的目標。首先,安全響應團隊應該防止攻擊事件的蔓延或惡化。這可能需要采取行動,比如遷移到不同的可用區以提高業務連續性,或者隔離行為可疑或惡意的訪問;清除是指消除或杜絕安全事件的產生原因,比如被惡意軟件感染的容器鏡像和運行時受到影響的賬戶;恢復則是指恢復業務系統在云端的正常運營。
- 總結分析。這個階段是指對事件響應期間的各項工作進行總結,以防止同類事件再次發生。這個階段需要安全團隊和其他業務部門以及CSP進行協調溝通。此外,可以利用該階段確定各項安全控制措施和流程是否有效。
云安全事件響應最佳實踐
企業組織在制定和執行云安全事件響應策略時,可以參考以下最佳實踐經驗:
加強響應團隊成員接受云安全知識培訓
云安全事件響應需要同時具備云計算知識和安全防護知識的專業人才。因此,要讓安全團隊成員熟悉云安全事件響應中所需的各類服務、對象、API、命令及其他以云為中心的知識理論。
提前創建事件響應特權賬戶
這是一個重要的云事件響應步驟。IT部門很難在突發事件爆發的緊急關頭為事件響應分析師創建最小特權模型。因此需要創建滿足響應需求的最小特權賬戶,以便在需要時在云端執行特定的處置操作。要為這些賬戶定義好角色,并為這些賬戶啟用多因素身份驗證。
啟用日志證據記錄選項
即使證據目前沒有存儲在云端,也要提前做好日志信息記錄這項工作。比如說,Amazon Simple Storage Service Versioning(亞馬遜簡單存儲服務版本控制)功能可用于安全保管和恢復日志信息。如果云服務商提供云日志記錄服務,應該盡快啟用這項功能。同時,還應該啟用基于指標觸發警報的機制,比如Amazon CloudWatch或Azure Monitor。
啟用云護欄服務
此類服務可以幫助企業獲得額外的可見性和監控能力。比如說,一些服務可以使團隊能夠使用CSP的原生結構來監控云賬戶的資產、服務和行為,比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。
確保事件響應工具與所選擇的CSP兼容
云安全事件響應中需要使用多種工具,要確保這些工具在云上可以兼容。比如:檢查EDR工具是否能夠監測和警報在PaaS系統(比如容器、Kubernetes和無服務器系統)中的攻擊和惡意活動。
將云API集成和自動化功能加入到響應工作流程中
在云端落實自動化的假設分析(if-then)要比在本地數據中心更容易,通過一些原生工具就可以實現。同樣,組織還可以啟用自動獲取攻擊證據的機制,這樣可以在取證時大量節省事件響應團隊的數據檢索時間。
與云運維團隊和DevOps團隊保持步調一致
云事件響應行動計劃要盡可能減少對業務生產環境的印象和中斷。因此,云安全事件響應團隊要在事件處置的全過程中,和所有利益相關者保持密切配合。云安全事件響應中隨時會面臨挫折和打擊,在此過程中,需要積極調動并保持每個參與者的積極性。
