云計(jì)算事件響應(yīng)優(yōu)秀實(shí)踐

云計(jì)算如今已經(jīng)成為一種主流技術(shù)，幾乎所有組織都在公有云中運(yùn)行一些資源——無(wú)論是SaaS、PaaS還是IaaS。他們的安全團(tuán)隊(duì)一直在努力適應(yīng)云計(jì)算環(huán)境，隨著DevSecOps的日益普及，他們正在與DevOps團(tuán)隊(duì)合作，致力于開(kāi)始保護(hù)其云計(jì)算系統(tǒng)。

當(dāng)企業(yè)發(fā)現(xiàn)保護(hù)其云計(jì)算投資的好方法時(shí)，還需要為云計(jì)算制定事件響應(yīng)策略。即使企業(yè)的云安全控制措施是好的，網(wǎng)絡(luò)攻擊還是會(huì)發(fā)生。安全團(tuán)隊(duì)需要知道在網(wǎng)絡(luò)攻擊期間要做什么，并為事件響應(yīng)做好準(zhǔn)備，而事件響應(yīng)可能是快速控制和解決災(zāi)難事件與可能導(dǎo)致數(shù)百萬(wàn)美元損失之間的區(qū)別。

什么是事件響應(yīng)?

事件響應(yīng)使企業(yè)能夠確保他們了解安全事件，并能夠及時(shí)響應(yīng)以限制對(duì)其系統(tǒng)的損壞。其目標(biāo)是阻止網(wǎng)絡(luò)攻擊，并防止將來(lái)發(fā)生類似的攻擊。

研究機(jī)構(gòu)SANS Institute六個(gè)步驟的事件響應(yīng)流程為安全事件提供了一個(gè)結(jié)構(gòu)化的框架。這些步驟包括：

(1)準(zhǔn)備——制定安全政策，進(jìn)行風(fēng)險(xiǎn)評(píng)估，確定哪些資產(chǎn)是敏感的，并建立一個(gè)事件響應(yīng)團(tuán)隊(duì)。

(2)識(shí)別——監(jiān)控系統(tǒng)以檢測(cè)異?；顒?dòng)、識(shí)別真正的安全事件，并調(diào)查威脅的嚴(yán)重性和類型。

(3)遏制——執(zhí)行短期遏制程序以阻止威脅的傳播，然后是長(zhǎng)期遏制，例如應(yīng)用臨時(shí)修復(fù)和重新運(yùn)行干凈的系統(tǒng)。

(4)根除——確定事件的根本原因，刪除惡意軟件，并采取措施防止未來(lái)的攻擊。

(5)恢復(fù)——恢復(fù)生產(chǎn)系統(tǒng)，并采取措施防止進(jìn)一步的網(wǎng)絡(luò)攻擊。最后再測(cè)試和監(jiān)控恢復(fù)的系統(tǒng)。

(6)學(xué)習(xí)——在事件發(fā)生后的兩周內(nèi)執(zhí)行回顧性分析，使用完整的文檔評(píng)估遏制工作，并確定如何改進(jìn)事件響應(yīng)過(guò)程。

如何為事件響應(yīng)準(zhǔn)備云平臺(tái)

企業(yè)可以通過(guò)多種方式準(zhǔn)備事件響應(yīng)團(tuán)隊(duì)和云計(jì)算環(huán)境，以實(shí)現(xiàn)更有效的事件響應(yīng)：

(1)建立響應(yīng)目標(biāo)——與利益相關(guān)者、法律顧問(wèn)和企業(yè)領(lǐng)導(dǎo)協(xié)商確定事件響應(yīng)目標(biāo)。共同目標(biāo)包括問(wèn)題控制和緩解、受影響資源的恢復(fù)以及存儲(chǔ)數(shù)據(jù)以提供證據(jù)和歸屬。

(2)使用云平臺(tái)進(jìn)行響應(yīng)——確保企業(yè)的云計(jì)算資源包括響應(yīng)事件所需的工具和資源。例如，確保企業(yè)擁有強(qiáng)大的基于云計(jì)算的日志記錄和監(jiān)控系統(tǒng)，并設(shè)置基于云計(jì)算的備份和災(zāi)難恢復(fù)，以便可以快速恢復(fù)受影響的系統(tǒng)。

(3)確定企業(yè)的要求——在集中式云計(jì)算帳戶中保留日志、快照和其他證據(jù)的副本。其應(yīng)用機(jī)制來(lái)執(zhí)行保留策略。使用標(biāo)簽和元數(shù)據(jù)保持可見(jiàn)性，并將日志和云計(jì)算資源連接到企業(yè)的單位、項(xiàng)目或公司系統(tǒng)。

(4)使用重新部署機(jī)制——如果安全異常是由配置錯(cuò)誤引起的，企業(yè)應(yīng)該能夠通過(guò)使用適當(dāng)?shù)呐渲弥匦虏渴鹳Y源來(lái)輕松修復(fù)它。確保響應(yīng)機(jī)制可以在必要時(shí)多次執(zhí)行。

(5)利用自動(dòng)化——在識(shí)別重復(fù)出現(xiàn)的問(wèn)題和事件后，盡可能實(shí)現(xiàn)自動(dòng)化并以編程方式對(duì)其進(jìn)行分解，以構(gòu)建針對(duì)常見(jiàn)情況的響應(yīng)機(jī)制。例如，使用AWS公司成熟的AutoScaling服務(wù)或Microsoft Azure的基礎(chǔ)設(shè)施即代碼(IaC)功能。這在云平臺(tái)上比在內(nèi)部部署數(shù)據(jù)中心容易得多。企業(yè)確保僅對(duì)獨(dú)特的、新的或關(guān)鍵的事件使用人工響應(yīng)。

云中有效的事件響應(yīng)

使用以下提示可以提高企業(yè)在公有云環(huán)境中響應(yīng)安全事件的能力。

(1)轉(zhuǎn)移注意力

與傳統(tǒng)的內(nèi)部部署環(huán)境相比，云計(jì)算環(huán)境要求企業(yè)監(jiān)控不同的元素。在云中，企業(yè)應(yīng)該關(guān)注應(yīng)用程序、API和用戶角色，考慮事件響應(yīng)者如何在云計(jì)算環(huán)境中成功運(yùn)作，以及他們可能需要執(zhí)行哪些任務(wù)。事件響應(yīng)團(tuán)隊(duì)必須對(duì)企業(yè)的系統(tǒng)具有適當(dāng)?shù)脑L問(wèn)權(quán)限和可見(jiàn)性，以便他們能夠檢測(cè)、修復(fù)和防止攻擊。

(2)集成警報(bào)和事件管理工具

安全團(tuán)隊(duì)必須能夠直接訪問(wèn)支持?jǐn)?shù)據(jù)，以對(duì)警報(bào)進(jìn)行分類并對(duì)事件進(jìn)行分類。為此，安全警報(bào)工具應(yīng)該與企業(yè)使用的任何事件管理工具集成，例如PagerDuty和Slack。這使安全警報(bào)能夠直接到達(dá)企業(yè)的團(tuán)隊(duì)使用的現(xiàn)有工具和工作流程。響應(yīng)者不必在不同的工具之間切換來(lái)查看正在發(fā)生的事情。

構(gòu)建審計(jì)跟蹤以捕獲對(duì)每個(gè)警報(bào)的響應(yīng)，這將提供可見(jiàn)性和問(wèn)責(zé)制，并幫助企業(yè)改進(jìn)響應(yīng)流程。在安全工具中執(zhí)行的所有操作都必須在相關(guān)協(xié)作工具中可見(jiàn)，因此企業(yè)可以查看誰(shuí)解除了特定警報(bào)，何時(shí)解除警報(bào)，以及他們做了哪些注釋。

(3)與云計(jì)算提供商合作

云計(jì)算提供商通常擁有一個(gè)事件響應(yīng)團(tuán)隊(duì)，但企業(yè)不能假設(shè)其供應(yīng)商會(huì)在事件期間處理所有事情。需要注意責(zé)任共擔(dān)模型，其中云計(jì)算提供商負(fù)責(zé)保護(hù)基礎(chǔ)設(shè)施，而企業(yè)負(fù)責(zé)數(shù)據(jù)和工作負(fù)載。

確保企業(yè)了解其云計(jì)算提供商的服務(wù)協(xié)議以及誰(shuí)對(duì)響應(yīng)的哪個(gè)元素負(fù)責(zé)。準(zhǔn)確了解企業(yè)可以從供應(yīng)商團(tuán)隊(duì)那里得到哪些警報(bào)，以及它如何為企業(yè)的團(tuán)隊(duì)提供支持。擁有明確的關(guān)系并建立聯(lián)系點(diǎn)可以在事件發(fā)生期間節(jié)省關(guān)鍵時(shí)間。

(4)保護(hù)企業(yè)的日志

主要的云計(jì)算供應(yīng)商為其環(huán)境提供日志記錄功能，包括日志文件或操作指標(biāo)，以提供對(duì)服務(wù)操作的洞察。其日志服務(wù)可能是免費(fèi)的，也可能是付費(fèi)的，范圍從基本訪問(wèn)日志到完整的審計(jì)和配置日志。大多數(shù)云計(jì)算日志服務(wù)都允許企業(yè)將日志存儲(chǔ)在云平臺(tái)之外或內(nèi)部部署設(shè)施，而這樣做至關(guān)重要。

日志是事件響應(yīng)調(diào)查的有用資源，企業(yè)必須確保網(wǎng)絡(luò)攻擊者無(wú)法訪問(wèn)它們。網(wǎng)絡(luò)攻擊者可能會(huì)破壞企業(yè)的云計(jì)算系統(tǒng)或服務(wù)，但他們無(wú)法修改或刪除企業(yè)的日志。日志是受保護(hù)的信息來(lái)源，可以幫助企業(yè)識(shí)別攻擊時(shí)間線、目標(biāo)系統(tǒng)和網(wǎng)絡(luò)攻擊者的IP地址。這為調(diào)查提供了可靠的起點(diǎn)。

(5)進(jìn)行網(wǎng)絡(luò)靶場(chǎng)訓(xùn)練

企業(yè)通常依靠演習(xí)來(lái)訓(xùn)練或測(cè)試他們的安全和事件響應(yīng)能力。如今，云計(jì)算環(huán)境提供了在受保護(hù)環(huán)境中模擬企業(yè)的生產(chǎn)網(wǎng)絡(luò)的機(jī)會(huì)，讓企業(yè)的安全團(tuán)隊(duì)能夠在安全的環(huán)境中練習(xí)對(duì)網(wǎng)絡(luò)上真實(shí)攻擊的響應(yīng)。

AWS CloudFormation等工具允許企業(yè)快速設(shè)計(jì)和部署與其實(shí)際網(wǎng)絡(luò)相同的訓(xùn)練網(wǎng)絡(luò)。企業(yè)可以通過(guò)限制訓(xùn)練的持續(xù)時(shí)間來(lái)降低成本。這些訓(xùn)練可能是讓企業(yè)的團(tuán)隊(duì)準(zhǔn)備好應(yīng)對(duì)現(xiàn)實(shí)世界中網(wǎng)絡(luò)攻擊的好方式。

這些是安全事件響應(yīng)的基礎(chǔ)知識(shí)，為事件響應(yīng)準(zhǔn)備云計(jì)算環(huán)境以及團(tuán)隊(duì)如何在不可避免的網(wǎng)絡(luò)攻擊發(fā)生時(shí)有效地做出反應(yīng)。簡(jiǎn)而言之，重要的是：

(1)專注于重要的事情——在云平臺(tái)中，這是API、應(yīng)用程序以及身份和訪問(wèn)管理(IAM)系統(tǒng)。

(2)集成警報(bào)和事件管理工具——云平臺(tái)提供了充足的自動(dòng)化功能。使用它們自動(dòng)響應(yīng)常見(jiàn)異常情況。

(3)與云計(jì)算提供商合作——企業(yè)在云中并不孤單，其團(tuán)隊(duì)需要準(zhǔn)確了解云計(jì)算提供商將在響應(yīng)事件時(shí)采取哪些措施。

(4)保護(hù)企業(yè)的日志——如果企業(yè)的日志被篡改，將無(wú)法檢測(cè)、調(diào)查和響應(yīng)攻擊。需要不惜一切代價(jià)保護(hù)他們。

(5)進(jìn)行網(wǎng)絡(luò)靶場(chǎng)訓(xùn)練——在事件真正發(fā)生之前，企業(yè)永遠(yuǎn)不會(huì)真正知道對(duì)事件做出響應(yīng)是什么感覺(jué)。與其等待真正的網(wǎng)絡(luò)攻擊，不如進(jìn)行“網(wǎng)絡(luò)靶場(chǎng)訓(xùn)練”或安全演習(xí)，看看每個(gè)人如何在攻擊場(chǎng)景中協(xié)同工作。

企業(yè)在為開(kāi)發(fā)人員、操作人員和安全團(tuán)隊(duì)制定一個(gè)有凝聚力的云安全戰(zhàn)略時(shí)，需要做好準(zhǔn)備。

網(wǎng)站名稱：云計(jì)算事件響應(yīng)優(yōu)秀實(shí)踐
當(dāng)前網(wǎng)址：http://muchs.cn/news/201743.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站制作、網(wǎng)頁(yè)設(shè)計(jì)公司、響應(yīng)式網(wǎng)站、外貿(mào)建站、外貿(mào)網(wǎng)站建設(shè)、網(wǎng)站營(yíng)銷

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)