草庐IT

云安全事件响应的难点、流程与最佳实践

安全牛 2023-03-28 原文
云计算技术的出现,改变了数据计算和存储的方式,它解决了在海量数据之下,传统数据存储技术的性能瓶颈。鉴于现代企业组织对云的使用变得越来越普遍,将云计算应用添加到安全事件响应流程中显得无比重要。

安全事件响应一般包括事件检测、事件分析和应对事件的计划、流程、控制措施等。云安全事件响应也不例外。同时,由于云计算的基础架构已发生了变化,许多企业是通过云服务提供商(CSP)来部署私有云和公共云,因此,云安全事件响应还需要有一些独特的流程和方法。

云安全事件响应难点

落实健全可靠的云安全事件响应策略可以确保企业能够快速有效地响应云上安全事件,但其往往面临着以下方面的挑战: 

  • 专业技能不足,缺少同时具备云计算知识和安全防护知识的专业人才;
  • 对云特有的事件了解不足,比如要分析和处理的API调用和信息;
  • 缺少可见性,未实施帮助用户了解云上应用活动的监控工具。
由于云上的一些数据资产和服务可能全部或部分由CSP管理,因此企业的云应用涉及责任共担模式。例如,当企业的云上SaaS服务遭到攻击入侵时,由于对事件和攻击指标缺乏可见性或监测数据,往往难以第一时间触发攻击警报。然而在比较多样化的IaaS云中,许多对象和资产由企业自己来控制,因此需要由企业来负责安全的管理和响应。

同时,许多企业在本地数据中心的安全方案和控制措施并不适合云环境。比如说,一些工具存在兼容性或性能方面的挑战,而另一些工具可能无法被云API调用,无法结合上下文信息来检测攻击和入侵指标。

此外,云安全防护的重点在于使用云原生服务作为安全事件响应的关键要素,需要关注自动化流程和安全能力编排。

云安全事件响应流程

云安全联盟(CSA)发布了一套面向云的事件响应框架,概述了企业组织在云安全事件响应中的四个关键步骤:

  • 准备和审查。云安全事件响应的准备阶段包括:工具和控制措施的实施、对员工进行云应用知识方面的培训以及云响应行动手册的制定。该阶段需要涵盖各项前期准备工作,从而使安全团队能够在云安全事件发生之前做好充分的响应准备。
  • 检测和分析。企业应该充分监控云服务环境,以发现可能表明攻击及其他安全性事件的指标。企业应该密切跟踪潜在的征兆,比如新的云攻击途径、云服务漏洞和服务中断的通知。在该阶段,安全团队需要检测安全告警事件,并以此判断是否需要启动全面的安全事件响应工作,以及开展相关的调查取证工作。
  • 遏制、清除和恢复。这个阶段侧重于几个不同的目标。首先,安全响应团队应该防止攻击事件的蔓延或恶化。这可能需要采取行动,比如迁移到不同的可用区以提高业务连续性,或者隔离行为可疑或恶意的访问;清除是指消除或杜绝安全事件的产生原因,比如被恶意软件感染的容器镜像和运行时受到影响的账户;恢复则是指恢复业务系统在云端的正常运营。
  • 总结分析。这个阶段是指对事件响应期间的各项工作进行总结,以防止同类事件再次发生。这个阶段需要安全团队和其他业务部门以及CSP进行协调沟通。此外,可以利用该阶段确定各项安全控制措施和流程是否有效。
云安全事件响应最佳实践

企业组织在制定和执行云安全事件响应策略时,可以参考以下最佳实践经验:

  • 加强响应团队成员接受云安全知识培训
云安全事件响应需要同时具备云计算知识和安全防护知识的专业人才。因此,要让安全团队成员熟悉云安全事件响应中所需的各类服务、对象、API、命令及其他以云为中心的知识理论。

  • 提前创建事件响应特权账户
这是一个重要的云事件响应步骤。IT部门很难在突发事件爆发的紧急关头为事件响应分析师创建最小特权模型。因此需要创建满足响应需求的最小特权账户,以便在需要时在云端执行特定的处置操作。要为这些账户定义好角色,并为这些账户启用多因素身份验证。

  • 启用日志证据记录选项
即使证据目前没有存储在云端,也要提前做好日志信息记录这项工作。比如说,Amazon Simple Storage Service Versioning(亚马逊简单存储服务版本控制)功能可用于安全保管和恢复日志信息。如果云服务商提供云日志记录服务,应该尽快启用这项功能。同时,还应该启用基于指标触发警报的机制,比如Amazon CloudWatch或Azure Monitor。

  • 启用云护栏服务
此类服务可以帮助企业获得额外的可见性和监控能力。比如说,一些服务可以使团队能够使用CSP的原生结构来监控云账户的资产、服务和行为,比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。

  • 确保事件响应工具与所选择的CSP兼容
云安全事件响应中需要使用多种工具,要确保这些工具在云上可以兼容。比如:检查EDR工具是否能够监测和警报在PaaS系统(比如容器、Kubernetes和无服务器系统)中的攻击和恶意活动。

  • 将云API集成和自动化功能加入到响应工作流程中
在云端落实自动化的假设分析(if-then)要比在本地数据中心更容易,通过一些原生工具就可以实现。同样,组织还可以启用自动获取攻击证据的机制,这样可以在取证时大量节省事件响应团队的数据检索时间。

  • 与云运维团队和DevOps团队保持步调一致
云事件响应行动计划要尽可能减少对业务生产环境的印象和中断。因此,云安全事件响应团队要在事件处置的全过程中,和所有利益相关者保持密切配合。云安全事件响应中随时会面临挫折和打击,在此过程中,需要积极调动并保持每个参与者的积极性。

参考链接:

https://www.techtarget.com/searchsecurity/tip/Cloud-incident-response-Frameworks-and-best-practices


难点云安全data-iddatastyle安全应用安全$安全存储数据计算

有关云安全事件响应的难点、流程与最佳实践的更多相关文章

  1. ruby-on-rails - 使用 Ruby on Rails 进行自动化测试 - 最佳实践 - 2

    很好奇,就使用ruby​​onrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提

  2. ruby - 解析 RDFa、微数据等的最佳方式是什么,使用统一的模式/词汇(例如 schema.org)存储和显示信息 - 2

    我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i

  3. ruby - 如何使用 Ruby aws/s3 Gem 生成安全 URL 以从 s3 下载文件 - 2

    我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A

  4. ruby-on-rails - 每次我尝试部署时,我都会得到 - (gcloud.preview.app.deploy) 错误响应 : [4] DEADLINE_EXCEEDED - 2

    我是Google云的新手,我正在尝试对其进行首次部署。我的第一个部署是RubyonRails项目。我基本上是在关注thisguideinthegoogleclouddocumentation.唯一的区别是我使用的是我自己的项目,而不是他们提供的“helloworld”项目。这是我的app.yaml文件runtime:customvm:trueentrypoint:bundleexecrackup-p8080-Eproductionconfig.ruresources:cpu:0.5memory_gb:1.3disk_size_gb:10当我转到我的项目目录并运行gcloudprevie

  5. ruby - 如何安全地删除文件? - 2

    在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?

  6. ruby-on-rails - 事件管理员日期过滤器日期格式自定义 - 2

    是否有简单的方法来更改默认ISO格式(yyyy-mm-dd)的ActiveAdmin日期过滤器显示格式? 最佳答案 您可以像这样为日期选择器提供额外的选项,而不是覆盖js:=f.input:my_date,as::datepicker,datepicker_options:{dateFormat:"mm/dd/yy"} 关于ruby-on-rails-事件管理员日期过滤器日期格式自定义,我们在StackOverflow上找到一个类似的问题: https://s

  7. 叮咚买菜基于 Apache Doris 统一 OLAP 引擎的应用实践 - 2

    导读:随着叮咚买菜业务的发展,不同的业务场景对数据分析提出了不同的需求,他们希望引入一款实时OLAP数据库,构建一个灵活的多维实时查询和分析的平台,统一数据的接入和查询方案,解决各业务线对数据高效实时查询和精细化运营的需求。经过调研选型,最终引入ApacheDoris作为最终的OLAP分析引擎,Doris作为核心的OLAP引擎支持复杂地分析操作、提供多维的数据视图,在叮咚买菜数十个业务场景中广泛应用。作者|叮咚买菜资深数据工程师韩青叮咚买菜创立于2017年5月,是一家专注美好食物的创业公司。叮咚买菜专注吃的事业,为满足更多人“想吃什么”而努力,通过美好食材的供应、美好滋味的开发以及美食品牌的孵

  8. ruby-on-rails - 事件记录 : Select max of limit - 2

    我正在尝试将以下SQL查询转换为ActiveRecord,它正在融化我的大脑。deletefromtablewhereid有什么想法吗?我想做的是限制表中的行数。所以,我想删除少于最近10个条目的所有内容。编辑:通过结合以下几个答案找到了解决方案。Temperature.where('id这给我留下了最新的10个条目。 最佳答案 从您的SQL来看,您似乎想要从表中删除前10条记录。我相信到目前为止的大多数答案都会如此。这里有两个额外的选择:基于MurifoX的版本:Table.where(:id=>Table.order(:id).

  9. ruby - 用 YAML.load 解析 json 安全吗? - 2

    我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("

  10. ruby-on-rails - 在 Ruby on Rails 中发送响应之前如何等待多个异步操作完成? - 2

    在我做的一些网络开发中,我有多个操作开始,比如对外部API的GET请求,我希望它们同时开始,因为一个不依赖另一个的结果。我希望事情能够在后台运行。我找到了concurrent-rubylibrary这似乎运作良好。通过将其混合到您创建的类中,该类的方法具有在后台线程上运行的异步版本。这导致我编写如下代码,其中FirstAsyncWorker和SecondAsyncWorker是我编写的类,我在其中混合了Concurrent::Async模块,并编写了一个名为“work”的方法来发送HTTP请求:defindexop1_result=FirstAsyncWorker.new.async.

随机推荐