雲端事件響應的最佳實踐
AWS
雲計算現已成為主流,幾乎所有組織至少在公共雲中運行一些資源——無論是軟體即服務(SaaS)、平台即服務(PaaS)還是基礎設施即服務(IaaS)。安全團隊一直在努力適應雲環境,隨著DevSecOps的日益普及,他們正在與DevOps團隊合作,從根本上保護雲系統。
當您的組織發現保護其雲投資的最佳方式時,您還需要為雲開發一個事件響應策略。即使您的雲安全控制是完美的(實際上並非如此),攻擊還是會發生。知道在攻擊期間該做什麼以及為事件響應準備團隊,可能是事件迅速被控制和解決與發生數百萬美元災難之間的區別。
什麼是事件響應?
事件響應使組織能夠確保他們意識到安全事件並能及時響應以限制對其系統的損害。目標是阻止攻擊並防止未來類似攻擊。
SANS研究所的六步事件響應過程為安全事件提供了一個結構化的框架。這些步驟包括:
- 準備——建立安全政策,進行風險評估,確定哪些資產是敏感的,並建立一個事件響應團隊。
- 識別——監控您的系統以檢測異常活動,識別真正的安全事件並調查威脅的嚴重性和類型。
- 隔離——進行短期隔離程序以停止威脅的擴散,隨後進行長期隔離,如應用臨時修復並運行乾淨系統。
- 根除——識別事件的根本原因,移除惡意軟體並實施措施以防止未來攻擊。
- 恢復——恢復您的生產系統並應用防止進一步攻擊的措施。測試並監控恢復的系統。
- 學習——在事件發生後兩周內進行回顧分析,完整的文檔評估隔離努力並確定您如何可以改善事件響應過程。
如何為雲端事件響應做準備
您可以通過幾種方式來準備您的事件響應團隊和雲環境,以實現更有效的事件響應:
- 確立響應目標——與利益相關者、法律顧問和組織領導者協商,確定事件響應目標。常見目標包括問題控制和緩解、恢復受影響資源,以及存儲數據以用於證據和歸屬。
- 使用雲來響應——確保您的雲資源包含響應事件所需的工具和資源。例如,確保您擁有強大的基於雲的日誌記錄和監控系統,並設置基於雲的備份和災難恢復,以便您能夠迅速恢復受影響的系統。
- 確定您的需求——在一個集中的雲帳戶中保留日誌、快照和其他證據的副本。應用機制以強制執行保留政策。使用標籤和元數據保持可見性,並將日誌和雲資源與組織單位、項目或企業系統聯繫起來。
- 使用重新部署機制——如果安全異常是由配置錯誤造成的,您應該能夠通過使用適當配置重新部署資源來輕鬆修復它。確保響應機制在必要時可以被多次執行。
- 利用自動化——在識別出反覆出現的問題和事件後,儘可能自動化並以程式化方式將它們拆解,為常見情況構建響應機制。例如,使用AWS上成熟的自動擴展服務或Microsoft Azure的基礎設施即代碼(IaC)能力。這在雲上比在內部數據中心要容易得多。確保僅在獨特、新或關鍵事件中使用人工響應。
雲中的有效事件響應
使用以下技巧提高您在公共雲環境中響應安全事件的能力。
轉移您的焦點
雲環境要求您監控與傳統內部環境不同的元素。在雲中,您應該關注應用程序、API和用戶角色。考慮事件響應者如何在雲環境中成功操作,以及他們可能需要執行的任務。事件響應團隊必須擁有適當的訪問權限和對您系統的可見性,以便他們能夠檢測、修復和防止攻擊。
整合警報和事件管理工具
安全團隊必須直接訪問支援數據,以對警報進行分類和將事件分類。為此,安全警報工具應與您使用的任何事件管理工具集成,例如PagerDuty和Slack。這使得安全警報能夠直接傳達到您的團隊所使用的現有工具和工作流程中。響應者不必在不同工具之間切換來查看發生了什麼。
建立審計跟踪以記錄對每個警報的響應,這將提供可見性和責任性,並幫助您完善響應流程。在相關協作工具中必須可見安全工具中採取的所有行動,這樣您就可以看到是誰在什麼時候解除了特定警報,以及他們做了什麼註釋。
與您的雲提供商合作
雲提供商通常有一個事件響應團隊,但您不能假設供應商會在事件發生期間處理所有事情。請注意共享責任模型,雲提供商負責保護基礎設施,而客戶負責數據和工作負載。
確保您了解與雲提供商的服務協議以及誰對響應的哪個元素負責。確切了解您可以從供應商團隊獲得哪些警報,以及它如何支持您自己的團隊。建立明確的關係和確立聯繫點可以在事件發生期間節省關鍵時間。
保護您的日誌
主要雲供應商為其環境提供日誌記錄能力,包括日誌文件或運營指標,以提供對服務運營的洞察。日誌服務可能是免費的或收費的,範圍從基本訪問日誌到完整的審計和配置日誌。大多數雲日誌服務將允許您將日誌存儲在雲外或本地——這一點至關重要。
日誌是事件響應調查的有用資源,您必須確保它們對攻擊者保持不可訪問。攻擊者可能能夠破壞您的雲系統或服務,但他們將無法修改或刪除您的日誌。日誌是一個受保護的信息來源,可以幫助您確定攻擊時間線、目標系統和攻擊者的IP地址。這為調查提供了一個可靠的起點。
進行網絡靶場訓練
組織通常依靠演習來訓練或測試他們的安全和事件響應能力。今天,雲環境提供了一個機會,在受保護的環境中模擬您的生產網絡,允許您的安全團隊在安全的設置中對您的網絡進行真實攻擊的響應練習。
像AWS CloudFormation這樣的工具允許您快速設計和部署與您實際網絡相同的訓練網絡。您可以通過限制演習的持續時間來降低成本。這些演習可能是準備您的團隊應對現實世界中攻擊的最佳方式。
這些是安全事件響應的基礎,為事件響應準備雲環境以及團隊在不可避免的攻擊發生時如何有效反應。簡而言之,重要的是要:
- 關注重要事項——在雲中,這指的是API、應用程序以及身份和訪問管理(IAM)系統。
- 整合警報和事件管理工具——雲提供豐富的自動化能力。利用它們自動響應常見異常。
- 與您的雲提供商合作——您在雲中並不孤單,團隊需要準確了解雲提供商在響應事件時將承擔哪部分工作。
- 保護您的日誌——如果日誌暴露於篡改之下,您將無法檢測、調查和響應攻擊。不惜一切代價保護它們。
- 進行網絡靶場訓練——在實際發生事件之前,您永遠不會真正知道響應事件是什麼感覺。與其等待真實攻擊的發生,不如進行一次“網絡靶場訓練”或安全演練,看看大家在攻擊情境中如何協同工作。
現在,當您朝著為開發人員、運營和安全團隊制定一致的雲安全策略前進時,您將更加準備充分。