云計(jì)算技術(shù)的采用速度如今正在不斷加快，并將超過人們的預(yù)期。根據(jù)調(diào)研機(jī)構(gòu)Gartner公司的預(yù)計(jì)，公共云市場(chǎng)將在2022年再增長(zhǎng)21.7%，雖然這對(duì)各行業(yè)領(lǐng)域來說是一個(gè)積極的方向，但它會(huì)導(dǎo)致網(wǎng)絡(luò)安全風(fēng)險(xiǎn)發(fā)生巨大轉(zhuǎn)變，它還促使重新評(píng)估解決這些風(fēng)險(xiǎn)所需的解決方案。

不斷發(fā)展的新興技術(shù)和快速采用相結(jié)合，給試圖保持企業(yè)安全的安全部門帶來了巨大的挑戰(zhàn)，同時(shí)也試圖避免被視為阻礙數(shù)字化轉(zhuǎn)型的反對(duì)者。而企業(yè)面臨的挑戰(zhàn)是雙重的：一方面，不斷采用新的云計(jì)算服務(wù)來引入更多新技術(shù)(并且經(jīng)常需要大量權(quán)限，為潛在的供應(yīng)鏈攻擊開辟了新途徑)。另一方面，即使是已經(jīng)過審查和采用(在理想情況下也是安全的)的現(xiàn)有云計(jì)算解決方案，在供應(yīng)商級(jí)別和采用級(jí)別都在快速變化。這使得負(fù)責(zé)安全的人員幾乎不可能跟蹤和了解所有更改，并保持高水平的安全性。

此外，云計(jì)算服務(wù)(尤其是SaaS)易于采用，以及以產(chǎn)品為導(dǎo)向的增長(zhǎng)方式(個(gè)人最終用戶支持產(chǎn)品并擴(kuò)大其在企業(yè)中的采用)的增加，使得企業(yè)很難跟蹤其云計(jì)算資源清單及其相關(guān)風(fēng)險(xiǎn)。影子IT的挑戰(zhàn)更加突出，使曾經(jīng)是一個(gè)小眾問題成為企業(yè)的主要風(fēng)險(xiǎn)。

除了所有這些挑戰(zhàn)之外，企業(yè)還面臨著技能的巨大短缺。網(wǎng)絡(luò)安全行業(yè)多年來一直面臨技能短缺的問題，全球估計(jì)有270萬個(gè)職位空缺。此外，了解傳統(tǒng)本地安全挑戰(zhàn)和解決方案的安全從業(yè)人員遠(yuǎn)多于具有云安全專業(yè)知識(shí)的安全從業(yè)人員。緩解職位短缺的一種嘗試是將云計(jì)算專家轉(zhuǎn)變?yōu)樵瓢踩珜＜?，但這只是從另一個(gè)角度提出了同樣的問題——隨著云計(jì)算服務(wù)的迅速擴(kuò)張，專家也很短缺。

不幸的是，所有這一切的結(jié)果是云平臺(tái)中的網(wǎng)絡(luò)攻擊空前增加，其增長(zhǎng)速度甚至超過了云采用本身。由新冠疫情驅(qū)動(dòng)的向遠(yuǎn)程工作的過渡進(jìn)一步加劇了這種情況。僅在新冠疫情發(fā)生的2020年第一季度，人們就看到云計(jì)算攻擊增加了630%，并且從那以后這個(gè)數(shù)字一直在持續(xù)增長(zhǎng)。

毫不奇怪，很多企業(yè)并沒有為網(wǎng)絡(luò)攻擊事件的大量增加做好準(zhǔn)備。許多人仍在建立他們的事件響應(yīng)(IR)實(shí)踐，其中大部分都集中在他們的內(nèi)部部署環(huán)境上，該環(huán)境將內(nèi)部事件響應(yīng)(IR)用于破壞性較低的事件與某種形式的保留與大型事件響應(yīng)(IR)用于破壞性更嚴(yán)重的事件。對(duì)于具有成熟事件響應(yīng)(IR)實(shí)踐的企業(yè)來說，只有傳統(tǒng)的本地事件響應(yīng)(IR)功能對(duì)于內(nèi)部和外部事件響應(yīng)者來說都是成熟的。

不幸的是，很多企業(yè)現(xiàn)在發(fā)現(xiàn)，云計(jì)算內(nèi)部事件響應(yīng)(IR)實(shí)際上在幾個(gè)關(guān)鍵方面完全不同：

• 云攻擊不同。企業(yè)不僅關(guān)注惡意軟件和主機(jī)攻擊，還要關(guān)注功能濫用和跨資源傳播。不熟悉特定于云計(jì)算的攻擊的事件響應(yīng)者將難以識(shí)別它們。
• 云中的取證調(diào)查完全不同。取證更側(cè)重于跟蹤跨云資源和應(yīng)用程序的活動(dòng)，而不是主機(jī)和端點(diǎn)取證。它還更多地依賴于云計(jì)算供應(yīng)商提供的東西，而不是企業(yè)自己的軟件和硬件，它需要不同的工具和技能集(當(dāng)然需要對(duì)云安全有深入的了解)。
• 取證數(shù)據(jù)不足或缺失可能是最困難的挑戰(zhàn)之一。一些丟失的數(shù)據(jù)可能是由于云計(jì)算提供商施加的限制，或者僅僅是由于較短的默認(rèn)保留時(shí)間(通常不超過90天)。在其他情況下，它可能是該技術(shù)所固有的。例如一個(gè)被破壞的Kubernetespod在幾天后就無法調(diào)查，因?yàn)樗呀?jīng)作為普通操作的一部分被銷毀。
• 極端互連。隨著企業(yè)采用的增長(zhǎng)，云計(jì)算變得越來越相互關(guān)聯(lián)，并且在不關(guān)閉企業(yè)的情況下控制和隔離事件變得更加困難。
• 技能短缺。非常了解云計(jì)算并能夠在這些環(huán)境中部署事件響應(yīng)(IR)的事件響應(yīng)者非常少見。

鑒于這些挑戰(zhàn)，現(xiàn)在是開始為企業(yè)的云計(jì)算事件做好準(zhǔn)備的時(shí)候了。對(duì)于想要開始這一旅程的企業(yè)，這里有五個(gè)提示：

(1)意識(shí)——第一步是承認(rèn)和理解存在安全漏洞并且必須加以解決。這包括不同的利益相關(guān)者，從高層管理人員到安全運(yùn)營(yíng)中心的一線人員。

(2)取證數(shù)據(jù)保留——云計(jì)算取證的最大挑戰(zhàn)之一是數(shù)據(jù)的可用性;因此，企業(yè)必須收集取證數(shù)據(jù)并將其保留以供將來調(diào)查。

(3)特定于云的事件響應(yīng)(IR)計(jì)劃、劇本和桌面練習(xí)——許多傳統(tǒng)的事件響應(yīng)(IR)計(jì)劃不適合云計(jì)算事件。企業(yè)需要調(diào)整這些計(jì)劃以包括這些類型的事件。

(4)雇傭、培訓(xùn)和鍛煉——雖然技能短缺是真實(shí)存在的，但除了投入工作來緩解這個(gè)問題之外，別無選擇。企業(yè)必須聘請(qǐng)?jiān)瓢踩珜＜?，同時(shí)培訓(xùn)和訓(xùn)練現(xiàn)有員工成為云安全專家。

(5)需要云IR專業(yè)知識(shí)——確保事件響應(yīng)(IR)合作伙伴和分配給您處理未來事件的人員真正了解云計(jì)算事件響應(yīng)(IR)，并且可以在下一個(gè)重大事件中為企業(yè)提供支持。

云采用率不斷提高，推動(dòng)向這些服務(wù)轉(zhuǎn)變的創(chuàng)新也在不斷增加。對(duì)于尋求改善當(dāng)前和未來安全狀況的企業(yè)而言，為云計(jì)算環(huán)境中的新挑戰(zhàn)和網(wǎng)絡(luò)攻擊做好準(zhǔn)備是至關(guān)重要的一步。