RSAC2023丨云原生事件響應的10個最佳實踐

隨著云原生技術與產業的發展，云原生安全成為網絡安全創新熱點。如何通過云原生的方式開展云上事件響應？我們來看看在RSAC2023大會上，AWS提出的提升云原生事件響應成熟度的10個最佳實踐。

1. 什么是事件響應

事件響應（IR）是由人員、流程和技術組成的系統，用于準備、檢測、遏制疑似網絡安全事件或危害，并從中恢復。

事件響應的生命周期

事件響應生命周期包括4個階段：

事前準備

事中檢測與分析

遏制、根除和恢復

事后復盤

 AWS的事件響應有什么不同

AWS事件響應的特點包括：

責任共擔機制

云安全域的劃分

專為基礎設施訪問設計的API接口

 考慮了云的動態性

 考慮了數據訪問的需要

 加強了自動化能力

2.云原生事件響應的10個最佳實踐

（1）  定義IR計劃中的角色和責任

確定事件響應的相關責任方，為事件制定RACI圖表：Responsible（負責人）, Accountable（責任人）, Informed（知情人）, Consulted（咨詢人），并將關鍵的云上責任相關方添加到IR計劃中。

（2）  開展員工培訓

培訓的內容包括AWS基礎，AWS安全和AWS環境。

AWS基礎：了解AWS核心服務如EC2, S3, VPC, RDS等

AWS安全：IAM、組織、日志與監控、AWS安全服務

AWS環境：員工本人的身份驗證如何設置、AWS賬戶結構、敏感數據存儲等

（3）  開發云事件響應行動手冊

為預期的安全事件生成行動手冊，記錄要采取的行動步驟，構建已知安全警報的行動手冊例如AWS GuardDuty 調查等。

（4）  制定賬戶結構和標簽策略

為賬戶結構制定計劃，以了解AWS賬戶如何將工作負載分開。使用安全工具和日志存檔賬戶創建安全OU，創建一個取證OU，為用戶所在每個區域創建取證賬戶。

制定標記策略：定義用戶需要了解的有關AWS資源的信息，為安全期間，可能包括業務部門、數據分類、應用程序所有者等。

實施標記策略：使用AWS標記策略和服務控制策略SCP強制標記，自動標記資源，盡量簡要。

（5）  運行模擬

建立紅、藍、紫隊進行運行模擬。紅隊重點是評估檢測，紫隊重點是提升檢測能力，藍隊重點是應對措施。

典型的云上場景包括未經授權的IAM憑據使用，加密貨幣挖礦，S3上的勒索軟件，以及偽造服務端請求等。

（6）  接入準備

定義事件響應所需的訪問權限，包括IAM絕色和臨時安全憑據。權限基于最小原則，包括每日只讀模式，以及緊急情況模式等。對接入事件采取實時的監控和測試。

（7）  選擇并設置日志

識別并啟用調查日志，選擇日志存儲，確定并實施日志保留，開發檢索和查詢日志和工件的機制。

（8）  在所有可用區域啟動托管檢測服務

從本地（云原生）托管檢測開始，例如Amazon GuardDuty。

使用威脅情報檢測已知威脅：包括托管惡意軟件和黑客工具的網站，加密貨幣礦池等。

使用機器學習檢測未知威脅：基于機器學習的檢測方法，分析正常情況并查看偏差。

（9）  確定資源類型的遏制策略

源頭遏-在環境中應用篩選或路由，以防止攻擊者從特定源IP地址或者網絡范圍訪問資源。

終端遏制-在環境中應用篩選或路由，防止攻擊者訪問特定的目標主機或者資源。

技術和訪問控制-通過限制功能和IAM主體訪問資源，防止未經授權使用資源。

（10） 開發云取證能力

識別取證所需的工件，關鍵系統的捕獲和安全備份，定義用于分析已識別日志和工件的機制，實現取證分析自動化。