當企業發現保護其云計算投資的最佳方法時,還需要為云計算制定事件響應策略。即使企業的云安全控制措施是完美的,網絡攻擊還是會發生。安全團隊需要知道在網絡攻擊期間要做什么,并為事件響應做好準備,而事件響應可能是快速控制和解決災難事件與可能導致數百萬美元損失之間的區別。
什么是事件響應?
事件響應使企業能夠確保他們了解安全事件,并能夠及時響應以限制對其系統的損壞。其目標是阻止網絡攻擊,并防止將來發生類似的攻擊。
研究機構SANS Institute六個步驟的事件響應流程為安全事件提供了一個結構化的框架。這些步驟包括:
(1)準備——制定安全政策,進行風險評估,確定哪些資產是敏感的,并建立一個事件響應團隊。
(2)識別——監控系統以檢測異常活動、識別真正的安全事件,并調查威脅的嚴重性和類型。
(3)遏制——執行短期遏制程序以阻止威脅的傳播,然后是長期遏制,例如應用臨時修復和重新運行干凈的系統。
(4)根除——確定事件的根本原因,刪除惡意軟件,并采取措施防止未來的攻擊。
(5)恢復——恢復生產系統,并采取措施防止進一步的網絡攻擊。最后再測試和監控恢復的系統。
(6)學習——在事件發生后的兩周內執行回顧性分析,使用完整的文檔評估遏制工作,并確定如何改進事件響應過程。
如何為事件響應準備云平臺
企業可以通過多種方式準備事件響應團隊和云計算環境,以實現更有效的事件響應:
(1)建立響應目標——與利益相關者、法律顧問和企業領導協商確定事件響應目標。共同目標包括問題控制和緩解、受影響資源的恢復以及存儲數據以提供證據和歸屬。
(2)使用云平臺進行響應——確保企業的云計算資源包括響應事件所需的工具和資源。例如,確保企業擁有強大的基于云計算的日志記錄和監控系統,并設置基于云計算的備份和災難恢復,以便可以快速恢復受影響的系統。
(3)確定企業的要求——在集中式云計算帳戶中保留日志、快照和其他證據的副本。其應用機制來執行保留策略。使用標簽和元數據保持可見性,并將日志和云計算資源連接到企業的單位、項目或公司系統。
(4)使用重新部署機制——如果安全異常是由配置錯誤引起的,企業應該能夠通過使用適當的配置重新部署資源來輕松修復它。確保響應機制可以在必要時多次執行。
(5)利用自動化——在識別重復出現的問題和事件后,盡可能實現自動化并以編程方式對其進行分解,以構建針對常見情況的響應機制。例如,使用AWS公司成熟的AutoScaling服務或Microsoft Azure的基礎設施即代碼(IaC)功能。這在云平臺上比在內部部署數據中心容易得多。企業確保僅對獨特的、新的或關鍵的事件使用人工響應。
云中有效的事件響應
使用以下提示可以提高企業在公有云環境中響應安全事件的能力。
(1)轉移注意力
與傳統的內部部署環境相比,云計算環境要求企業監控不同的元素。在云中,企業應該關注應用程序、API和用戶角色,考慮事件響應者如何在云計算環境中成功運作,以及他們可能需要執行哪些任務。事件響應團隊必須對企業的系統具有適當的訪問權限和可見性,以便他們能夠檢測、修復和防止攻擊。
(2)集成警報和事件管理工具
安全團隊必須能夠直接訪問支持數據,以對警報進行分類并對事件進行分類。為此,安全警報工具應該與企業使用的任何事件管理工具集成,例如PagerDuty和Slack。這使安全警報能夠直接到達企業的團隊使用的現有工具和工作流程。響應者不必在不同的工具之間切換來查看正在發生的事情。
構建審計跟蹤以捕獲對每個警報的響應,這將提供可見性和問責制,并幫助企業改進響應流程。在安全工具中執行的所有操作都必須在相關協作工具中可見,因此企業可以查看誰解除了特定警報,何時解除警報,以及他們做了哪些注釋。
(3)與云計算提供商合作
云計算提供商通常擁有一個事件響應團隊,但企業不能假設其供應商會在事件期間處理所有事情。需要注意責任共擔模型,其中云計算提供商負責保護基礎設施,而企業負責數據和工作負載。
確保企業了解其云計算提供商的服務協議以及誰對響應的哪個元素負責。準確了解企業可以從供應商團隊那里得到哪些警報,以及它如何為企業的團隊提供支持。擁有明確的關系并建立聯系點可以在事件發生期間節省關鍵時間。
(4)保護企業的日志
主要的云計算供應商為其環境提供日志記錄功能,包括日志文件或操作指標,以提供對服務操作的洞察。其日志服務可能是免費的,也可能是付費的,范圍從基本訪問日志到完整的審計和配置日志。大多數云計算日志服務都允許企業將日志存儲在云平臺之外或內部部署設施,而這樣做至關重要。
日志是事件響應調查的有用資源,企業必須確保網絡攻擊者無法訪問它們。網絡攻擊者可能會破壞企業的云計算系統或服務,但他們無法修改或刪除企業的日志。日志是受保護的信息來源,可以幫助企業識別攻擊時間線、目標系統和網絡攻擊者的IP地址。這為調查提供了可靠的起點。
(5)進行網絡靶場訓練
企業通常依靠演習來訓練或測試他們的安全和事件響應能力。如今,云計算環境提供了在受保護環境中模擬企業的生產網絡的機會,讓企業的安全團隊能夠在安全的環境中練習對網絡上真實攻擊的響應。
AWS CloudFormation等工具允許企業快速設計和部署與其實際網絡相同的訓練網絡。企業可以通過限制訓練的持續時間來降低成本。這些訓練可能是讓企業的團隊準備好應對現實世界中網絡攻擊的最佳方式。
這些是安全事件響應的基礎知識,為事件響應準備云計算環境以及團隊如何在不可避免的網絡攻擊發生時有效地做出反應。簡而言之,重要的是:
(1)專注于重要的事情——在云平臺中,這是API、應用程序以及身份和訪問管理(IAM)系統。
(2)集成警報和事件管理工具——云平臺提供了充足的自動化功能。使用它們自動響應常見異常情況。
(3)與云計算提供商合作——企業在云中并不孤單,其團隊需要準確了解云計算提供商將在響應事件時采取哪些措施。
(4)保護企業的日志——如果企業的日志被篡改,將無法檢測、調查和響應攻擊。需要不惜一切代價保護他們。
(5)進行網絡靶場訓練——在事件真正發生之前,企業永遠不會真正知道對事件做出響應是什么感覺。與其等待真正的網絡攻擊,不如進行“網絡靶場訓練”或安全演習,看看每個人如何在攻擊場景中協同工作。
企業在為開發人員、操作人員和安全團隊制定一個有凝聚力的云安全戰略時,需要做好準備。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號