一家公司采用更多的云计算服务意味着更大的网络攻击面。它还使企业寻找潜在威胁的准确方式变得复杂。但是有一些措施可以降低风险。现在很多企业的业务都跑在云端。事实上,他们中的大多数是大中型企业。然而,随着多云变得越来越普遍,确保跨多个云的安全性变得更具挑战性。造成这种情况的原因有很多,包括云提供商之间不同的安全模型和机制、缺乏跨环境的无缝可见性和不统一的工具集。好消息是,意识到这些后勤挑战对围绕这些挑战进行规划大有帮助。做到这一点的最佳方法之一是部署全面的多云威胁搜寻策略。下面是一些基于云的威胁搜寻用例,以及多云威胁搜寻引入的一些后勤和其他复杂性,以及如何应对这些挑战。为什么威胁搜寻在云计算环境中很重要?首先定义威胁搜寻及其在单云和多云部署中提供的价值。威胁搜寻使用情报驱动的分析来确定网络攻击者是否以及在何处获得了对其资源的访问权限。虽然这种描述过于简单化,但简而言之,威胁搜寻涉及基于已知的对手交易技术提出假设,即网络攻击者可能已经获得了对其操作环境的访问权限,然后制定测试条件来证明或反驳这些假设。威胁搜寻很重要,因为经验丰富的网络攻击者可以逃避检测并绕过警报。通过对网络攻击者可能已经渗透到他们网络的迹象保持警惕,组织可以提高他们检测这些对手的能力,并且理想情况下,在他们可以为他们的预期目标采取行动之前破坏他们。相同的原则适用于云环境。不同之处在于企业如何捕获和分析进入流程的信息以及可用于响应的工具。基于云的威胁搜寻基于三个基本规则:仅仅因为您的业务在云中运行并不意味着网络攻击者会停止。了解对手的目标以及他们为实现这些目标所做的权衡取舍有利于企业的防御战略。跨所有层的可见性,即使是运营管理位于共享责任模型的云服务提供商(CSP)端的那些层,也可以帮助组织更好地了解对手或其方法。多云使事情复杂化从逻辑上讲,云计算使威胁搜寻复杂化。随着组织从物理基础设施/本地环境转向云环境,由于合规性和配置透明度、远程数据源和基础设施、核心安全功能和API量方面的困难,威胁识别将变得更具挑战性。简而言之,随着网络攻击面的扩大,威胁搜寻需要更多关注。行业专家表示,分析师在寻找云中的威胁时需要更多信息和培训。这是因为他们必须了解和使用工具集、安全模型、架构、技术堆栈和其他元素,这些元素不仅由他们自己的组织部署,而且由他们的云服务提供商、云提供商和其他提供商部署。多云威胁追捕进一步提高了赌注。这意味着更多的工具、更多的概念、更多的API和更多的数据源。还必须考虑跨环境分析和数据关联。例如,考虑本地用户、PaaS中的应用程序前端和IaaS虚拟机中的后端API之间的三向对话。确定在该对话中发出的请求是否合法可能涉及每个环境中的各种日志存储库和不同的监控工具。将威胁搜寻扩展到多云如果一个组织想要推出多云威胁搜寻,首先要问可以建立哪些实践来实现这一目标。最终,制定战略对企业来说是独一无二的。这取决于您的云使用情况、您的威胁搜寻能力和方法,以及您的业务需求。虽然没有放之四海而皆准的方法,但您可以采取一些基本步骤来开始。首先,标准化在多个环境(包括云计算提供商和本地设施)之间流动的数据和事件信息。这已经是多云的一个已知问题;例如,考虑网络安全网状架构的基本支柱包括安全分析和情报,以及整合的仪表板。跨环境了解事件是多云安全管理、运营、事件响应以及企业目的(威胁搜寻)的核心组成部分。为此,必须了解正在使用的云环境和服务,了解所采用的安全模型,并确认可以并且正在从每个位置收集正确的数据。其次,解决系统威胁建模问题。考虑一个跨越多个云环境的应用程序。企业如何知道何时优先考虑威胁以及如何以及在何处应用资源来收集所需信息?威胁建模可以提供帮助。通过从网络攻击者的角度查看应用程序,您可以开始制定假设来衡量网络攻击者更有可能在何处以及如何进行攻击。推而广之,公司可以优先考虑这些领域以进行进一步探索。这可以帮助组织了解从每个环境中收集哪些数据,并帮助他们制定假设来测试以确定环境中是否存在网络攻击者。最后是教育和领悟。企业了解在不同的环境中部署了什么(例如构建可靠和系统的库存),了解组件如何组合在一起,正在使用哪些本地服务,以及企业使用的服务如何连接到更大、更全面的叙述。听起来简单,但只有少数一定规模以上的企业才能做到可靠、准确、完整。与所有与安全相关的事物一样,企业通过了解使用情况、了解安全和业务目标以及进行必要的思考和规划来进行多云威胁搜寻。威胁搜寻可以而且应该在企业的云安全策略(多云或其他)中发挥与在本地操作环境中相同的作用。
