云计算是当今的主流技术,几乎每个组织都在公共云中运行一些资源——无论是SaaS、PaaS还是IaaS。他们的安全团队一直在努力适应云计算环境,随着DevSecOps越来越流行,他们正在与DevOps团队合作,开始保护他们的云计算系统。随着组织发现保护其云投资的最佳方法,他们还需要为云制定事件响应策略。即使一个组织的云安全控制是完美的,网络攻击仍然会发生。安全团队需要知道在网络攻击期间该做什么,并为事件响应做好准备,这可能是快速遏制和解决灾难性事件或可能花费数百万美元的区别。什么是事件响应?事件响应使企业能够确保他们了解安全事件并能够及时响应以限制对其系统的损害。它的目标是阻止网络攻击并防止将来发生类似的攻击。研究机构SANSInstitute的六步事件响应流程为安全事件提供了结构化框架。这些步骤包括:(1)准备——制定安全政策,进行风险评估,确定哪些资产是敏感资产,并建立事件响应团队。(2)识别——监控系统以检测异常活动,识别真正的安全事件,并调查威胁的严重性和类型。(3)遏制——执行短期遏制程序以阻止威胁传播,然后是长期遏制,例如应用临时修复和重新运行清洁系统。(4)根除——确定事件的根本原因,删除恶意软件,并采取措施防止未来的攻击。(5)恢复——恢复生产系统并采取措施防止进一步的网络攻击。最后测试和监控恢复的系统。(6)学习——在事件发生后的两周内进行回顾性分析,使用完整的文档评估遏制工作,并确定如何改进事件响应流程。如何为事件响应准备云平台组织可以通过多种方式准备事件响应团队和云计算环境,以便更有效地响应事件:(1)建立响应目标——在与利益相关者、法律顾问和业务领导协商后确定事件响应目标。共同目标包括问题遏制和缓解、受影响资源的恢复以及存储数据以供证据和归因。(2)使用云平台响应——确保您的云计算资源包括响应事件所需的工具和资源。例如,确保你有一个强大的基于云的日志记录和监控系统,并设置基于云的备份和灾难恢复,以便快速恢复受影响的系统。(3)确定企业的要求——将日志、快照等证据的副本保存在一个集中的云计算账户中。它应用机制来执行保留策略。使用标签和元数据保持可见性,并将日志和云计算资源连接到企业组织、项目或企业系统。(4)使用重新部署机制——如果安全异常是由错误配置引起的,企业应该能够通过重新部署具有适当配置的资源来轻松修复它。确保响应机制可以根据需要执行多次。(5)利用自动化——在确定反复出现的问题和事件后,尽可能实现自动化,并以编程方式将其分解,以建立对常见情况的响应。例如,使用AWS成熟的AutoScaling服务或MicrosoftAzure的基础架构即代码(IaC)功能。这在云平台上比在本地要容易得多。企业确保人类的反应只用于独特的、新的或关键的事件。云中的有效事件响应使用以下技巧可以提高您的组织在公共云环境中响应安全事件的能力。(1)转移重点与传统的本地环境相比,云计算环境需要企业监控不同的元素。在云中,组织应关注应用程序、API和用户角色,考虑事件响应者如何在云环境中成功运行以及他们可能需要执行哪些任务。事件响应团队必须对组织的系统具有适当的访问权限和可见性,以便他们能够检测、补救和防止攻击。(2)集成警报和事件管理工具安全团队必须能够直接访问支持数据以对警报和事件进行分类。为此,安全警报工具应与您的企业使用的任何事件管理工具集成,例如PagerDuty和Slack。这使安全警报能够直接发送到组织团队使用的现有工具和工作流程。响应者不必在不同的工具之间切换以查看发生了什么。构建审计跟踪以捕获对每个警报的响应将提供可见性和问责制,并帮助企业改进响应流程。在安全工具中采取的所有操作都必须在相关的协作工具中可见,这样企业就可以看到谁解除了特定警报、何时以及他们做了什么记录。(3)与云计算供应商合作云计算供应商通常有一个事件响应团队,但企业不能假设他们的供应商会在事件发生时处理所有事情。需要注意责任共担模型,其中云计算提供商负责保护基础设施,而企业负责数据和工作负载。确保您了解您的云提供商的服务协议以及谁负责响应的哪个元素。准确了解您可以从您的供应商团队获得哪些警报,以及它如何支持您的团队。建立清晰的关系并建立联系点可以在事件发生期间节省关键时间。(4)保护企业日志主要的云计算提供商为其环境提供日志记录功能,包括日志文件或操作指标,以提供对服务操作的洞察。它的日志记录服务可能是免费的也可能是付费的,范围从基本的访问日志到完整的审计和配置日志。大多数云日志服务允许企业将日志存储在云端或本地之外,这样做至关重要。日志是事件响应调查的有用资源,组织必须确保网络攻击者无法访问它们。网络攻击者可能会破坏一家公司的云计算系统或服务,但他们无法修改或删除该公司的日志。日志是一种受保护的信息源,可以帮助组织识别攻击时间线、目标系统和网络攻击者的IP地址。这为调查提供了可靠的起点。(5)进行网络靶场训练企业往往依靠演习来训练或测试其安全和事件响应能力。如今,云计算环境提供了在受保护环境中模拟公司生产网络的机会,使公司的安全团队能够在安全环境中练习应对现实世界中对网络的攻击。AWSCloudFormation等工具允许企业快速设计和部署与其实际网络相同的训练网络。企业可以通过限制培训时间来降低成本。这些演习可能是让您的团队做好应对现实世界网络攻击准备的最佳方式。这些是安全事件响应的基础知识,为事件响应准备云计算环境,以及当不可避免的网络攻击发生时团队如何有效响应。简而言之,重要的是:(1)关注重要的事情——在云平台中,这是API、应用程序以及身份和访问管理(IAM)系统。(2)集成警报和事件管理工具——云平台提供充分的自动化。使用它们自动响应常见异常。(3)与云提供商协作——企业在云中并不孤单,他们的团队需要准确了解云提供商将如何应对事件。(4)保护企业日志——如果企业日志被篡改,将无法检测、调查和响应攻击。他们需要不惜一切代价得到保护。(5)进行网络靶场培训——在事件实际发生之前,企业永远不知道如何应对事件。与其等待真正的网络攻击,不如进行“网络靶场训练”或安全演习,看看每个人如何在攻击场景中协同工作。组织在为开发人员、运营和安全团队制定有凝聚力的云安全策略时需要做好准备。
