云計算技術的出現(xiàn)，改變了數(shù)據(jù)計算和存儲的方式，它解決了在海量數(shù)據(jù)之下，傳統(tǒng)數(shù)據(jù)存儲技術的性能瓶頸。鑒于現(xiàn)代企業(yè)組織對云的使用變得越來越普遍，將云計算應用添加到安全事件響應流程中顯得無比重要。

安全事件響應一般包括事件檢測、事件分析和應對事件的計劃、流程、控制措施等。云安全事件響應也不例外。同時，由于云計算的基礎架構已發(fā)生了變化，許多企業(yè)是通過云服務提供商（CSP）來部署私有云和公共云，因此，云安全事件響應還需要有一些獨特的流程和方法。

云安全事件響應難點

落實健全可靠的云安全事件響應策略可以確保企業(yè)能夠快速有效地響應云上安全事件，但其往往面臨著以下方面的挑戰(zhàn)： 

• 專業(yè)技能不足，缺少同時具備云計算知識和安全防護知識的專業(yè)人才；
• 對云特有的事件了解不足，比如要分析和處理的API調(diào)用和信息；
• 缺少可見性，未實施幫助用戶了解云上應用活動的監(jiān)控工具。

由于云上的一些數(shù)據(jù)資產(chǎn)和服務可能全部或部分由CSP管理，因此企業(yè)的云應用涉及責任共擔模式。例如，當企業(yè)的云上SaaS服務遭到攻擊入侵時，由于對事件和攻擊指標缺乏可見性或監(jiān)測數(shù)據(jù)，往往難以第一時間觸發(fā)攻擊警報。然而在比較多樣化的IaaS云中，許多對象和資產(chǎn)由企業(yè)自己來控制，因此需要由企業(yè)來負責安全的管理和響應。

同時，許多企業(yè)在本地數(shù)據(jù)中心的安全方案和控制措施并不適合云環(huán)境。比如說，一些工具存在兼容性或性能方面的挑戰(zhàn)，而另一些工具可能無法被云API調(diào)用，無法結(jié)合上下文信息來檢測攻擊和入侵指標。

此外，云安全防護的重點在于使用云原生服務作為安全事件響應的關鍵要素，需要關注自動化流程和安全能力編排。

云安全事件響應流程

云安全聯(lián)盟（CSA）發(fā)布了一套面向云的事件響應框架，概述了企業(yè)組織在云安全事件響應中的四個關鍵步驟：

• 準備和審查。云安全事件響應的準備階段包括：工具和控制措施的實施、對員工進行云應用知識方面的培訓以及云響應行動手冊的制定。該階段需要涵蓋各項前期準備工作，從而使安全團隊能夠在云安全事件發(fā)生之前做好充分的響應準備。
• 檢測和分析。企業(yè)應該充分監(jiān)控云服務環(huán)境，以發(fā)現(xiàn)可能表明攻擊及其他安全性事件的指標。企業(yè)應該密切跟蹤潛在的征兆，比如新的云攻擊途徑、云服務漏洞和服務中斷的通知。在該階段，安全團隊需要檢測安全告警事件，并以此判斷是否需要啟動全面的安全事件響應工作，以及開展相關的調(diào)查取證工作。
• 遏制、清除和恢復。這個階段側(cè)重于幾個不同的目標。首先，安全響應團隊應該防止攻擊事件的蔓延或惡化。這可能需要采取行動，比如遷移到不同的可用區(qū)以提高業(yè)務連續(xù)性，或者隔離行為可疑或惡意的訪問；清除是指消除或杜絕安全事件的產(chǎn)生原因，比如被惡意軟件感染的容器鏡像和運行時受到影響的賬戶；恢復則是指恢復業(yè)務系統(tǒng)在云端的正常運營。
• 總結(jié)分析。這個階段是指對事件響應期間的各項工作進行總結(jié)，以防止同類事件再次發(fā)生。這個階段需要安全團隊和其他業(yè)務部門以及CSP進行協(xié)調(diào)溝通。此外，可以利用該階段確定各項安全控制措施和流程是否有效。

云安全事件響應最佳實踐

企業(yè)組織在制定和執(zhí)行云安全事件響應策略時，可以參考以下最佳實踐經(jīng)驗：

• 加強響應團隊成員接受云安全知識培訓

云安全事件響應需要同時具備云計算知識和安全防護知識的專業(yè)人才。因此，要讓安全團隊成員熟悉云安全事件響應中所需的各類服務、對象、API、命令及其他以云為中心的知識理論。

• 提前創(chuàng)建事件響應特權賬戶

這是一個重要的云事件響應步驟。IT部門很難在突發(fā)事件爆發(fā)的緊急關頭為事件響應分析師創(chuàng)建最小特權模型。因此需要創(chuàng)建滿足響應需求的最小特權賬戶，以便在需要時在云端執(zhí)行特定的處置操作。要為這些賬戶定義好角色，并為這些賬戶啟用多因素身份驗證。

• 啟用日志證據(jù)記錄選項

即使證據(jù)目前沒有存儲在云端，也要提前做好日志信息記錄這項工作。比如說，Amazon Simple Storage Service Versioning（亞馬遜簡單存儲服務版本控制）功能可用于安全保管和恢復日志信息。如果云服務商提供云日志記錄服務，應該盡快啟用這項功能。同時，還應該啟用基于指標觸發(fā)警報的機制，比如Amazon CloudWatch或Azure Monitor。

• 啟用云護欄服務

此類服務可以幫助企業(yè)獲得額外的可見性和監(jiān)控能力。比如說，一些服務可以使團隊能夠使用CSP的原生結(jié)構來監(jiān)控云賬戶的資產(chǎn)、服務和行為，比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。

• 確保事件響應工具與所選擇的CSP兼容

云安全事件響應中需要使用多種工具，要確保這些工具在云上可以兼容。比如：檢查EDR工具是否能夠監(jiān)測和警報在PaaS系統(tǒng)（比如容器、Kubernetes和無服務器系統(tǒng)）中的攻擊和惡意活動。

• 將云API集成和自動化功能加入到響應工作流程中

在云端落實自動化的假設分析（if-then）要比在本地數(shù)據(jù)中心更容易，通過一些原生工具就可以實現(xiàn)。同樣，組織還可以啟用自動獲取攻擊證據(jù)的機制，這樣可以在取證時大量節(jié)省事件響應團隊的數(shù)據(jù)檢索時間。

• 與云運維團隊和DevOps團隊保持步調(diào)一致

云事件響應行動計劃要盡可能減少對業(yè)務生產(chǎn)環(huán)境的印象和中斷。因此，云安全事件響應團隊要在事件處置的全過程中，和所有利益相關者保持密切配合。云安全事件響應中隨時會面臨挫折和打擊，在此過程中，需要積極調(diào)動并保持每個參與者的積極性。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/Cloud-incident-response-Frameworks-and-best-practices