云計算技術(shù)的出現(xiàn)，改變了數(shù)據(jù)計算和存儲的方式，它解決了在海量數(shù)據(jù)之下，傳統(tǒng)數(shù)據(jù)存儲技術(shù)的性能瓶頸。鑒于現(xiàn)代企業(yè)組織對云的使用變得越來越普遍，將云計算應(yīng)用添加到安全事件響應(yīng)流程中顯得無比重要。

安全事件響應(yīng)一般包括事件檢測、事件分析和應(yīng)對事件的計劃、流程、控制措施等。云安全事件響應(yīng)也不例外。同時，由于云計算的基礎(chǔ)架構(gòu)已發(fā)生了變化，許多企業(yè)是通過云服務(wù)提供商（CSP）來部署私有云和公共云，因此，云安全事件響應(yīng)還需要有一些獨特的流程和方法。

云安全事件響應(yīng)難點

落實健全可靠的云安全事件響應(yīng)策略可以確保企業(yè)能夠快速有效地響應(yīng)云上安全事件，但其往往面臨著以下方面的挑戰(zhàn)： 

• 專業(yè)技能不足，缺少同時具備云計算知識和安全防護知識的專業(yè)人才；
• 對云特有的事件了解不足，比如要分析和處理的API調(diào)用和信息；
• 缺少可見性，未實施幫助用戶了解云上應(yīng)用活動的監(jiān)控工具。

由于云上的一些數(shù)據(jù)資產(chǎn)和服務(wù)可能全部或部分由CSP管理，因此企業(yè)的云應(yīng)用涉及責(zé)任共擔(dān)模式。例如，當(dāng)企業(yè)的云上SaaS服務(wù)遭到攻擊入侵時，由于對事件和攻擊指標(biāo)缺乏可見性或監(jiān)測數(shù)據(jù)，往往難以第一時間觸發(fā)攻擊警報。然而在比較多樣化的IaaS云中，許多對象和資產(chǎn)由企業(yè)自己來控制，因此需要由企業(yè)來負責(zé)安全的管理和響應(yīng)。

同時，許多企業(yè)在本地數(shù)據(jù)中心的安全方案和控制措施并不適合云環(huán)境。比如說，一些工具存在兼容性或性能方面的挑戰(zhàn)，而另一些工具可能無法被云API調(diào)用，無法結(jié)合上下文信息來檢測攻擊和入侵指標(biāo)。

此外，云安全防護的重點在于使用云原生服務(wù)作為安全事件響應(yīng)的關(guān)鍵要素，需要關(guān)注自動化流程和安全能力編排。

云安全事件響應(yīng)流程

云安全聯(lián)盟（CSA）發(fā)布了一套面向云的事件響應(yīng)框架，概述了企業(yè)組織在云安全事件響應(yīng)中的四個關(guān)鍵步驟：

• 準(zhǔn)備和審查。云安全事件響應(yīng)的準(zhǔn)備階段包括：工具和控制措施的實施、對員工進行云應(yīng)用知識方面的培訓(xùn)以及云響應(yīng)行動手冊的制定。該階段需要涵蓋各項前期準(zhǔn)備工作，從而使安全團隊能夠在云安全事件發(fā)生之前做好充分的響應(yīng)準(zhǔn)備。
• 檢測和分析。企業(yè)應(yīng)該充分監(jiān)控云服務(wù)環(huán)境，以發(fā)現(xiàn)可能表明攻擊及其他安全性事件的指標(biāo)。企業(yè)應(yīng)該密切跟蹤潛在的征兆，比如新的云攻擊途徑、云服務(wù)漏洞和服務(wù)中斷的通知。在該階段，安全團隊需要檢測安全告警事件，并以此判斷是否需要啟動全面的安全事件響應(yīng)工作，以及開展相關(guān)的調(diào)查取證工作。
• 遏制、清除和恢復(fù)。這個階段側(cè)重于幾個不同的目標(biāo)。首先，安全響應(yīng)團隊?wèi)?yīng)該防止攻擊事件的蔓延或惡化。這可能需要采取行動，比如遷移到不同的可用區(qū)以提高業(yè)務(wù)連續(xù)性，或者隔離行為可疑或惡意的訪問；清除是指消除或杜絕安全事件的產(chǎn)生原因，比如被惡意軟件感染的容器鏡像和運行時受到影響的賬戶；恢復(fù)則是指恢復(fù)業(yè)務(wù)系統(tǒng)在云端的正常運營。
• 總結(jié)分析。這個階段是指對事件響應(yīng)期間的各項工作進行總結(jié)，以防止同類事件再次發(fā)生。這個階段需要安全團隊和其他業(yè)務(wù)部門以及CSP進行協(xié)調(diào)溝通。此外，可以利用該階段確定各項安全控制措施和流程是否有效。

云安全事件響應(yīng)最佳實踐

企業(yè)組織在制定和執(zhí)行云安全事件響應(yīng)策略時，可以參考以下最佳實踐經(jīng)驗：

• 加強響應(yīng)團隊成員接受云安全知識培訓(xùn)

云安全事件響應(yīng)需要同時具備云計算知識和安全防護知識的專業(yè)人才。因此，要讓安全團隊成員熟悉云安全事件響應(yīng)中所需的各類服務(wù)、對象、API、命令及其他以云為中心的知識理論。

• 提前創(chuàng)建事件響應(yīng)特權(quán)賬戶

這是一個重要的云事件響應(yīng)步驟。IT部門很難在突發(fā)事件爆發(fā)的緊急關(guān)頭為事件響應(yīng)分析師創(chuàng)建最小特權(quán)模型。因此需要創(chuàng)建滿足響應(yīng)需求的最小特權(quán)賬戶，以便在需要時在云端執(zhí)行特定的處置操作。要為這些賬戶定義好角色，并為這些賬戶啟用多因素身份驗證。

• 啟用日志證據(jù)記錄選項

即使證據(jù)目前沒有存儲在云端，也要提前做好日志信息記錄這項工作。比如說，Amazon Simple Storage Service Versioning（亞馬遜簡單存儲服務(wù)版本控制）功能可用于安全保管和恢復(fù)日志信息。如果云服務(wù)商提供云日志記錄服務(wù)，應(yīng)該盡快啟用這項功能。同時，還應(yīng)該啟用基于指標(biāo)觸發(fā)警報的機制，比如Amazon CloudWatch或Azure Monitor。

• 啟用云護欄服務(wù)

此類服務(wù)可以幫助企業(yè)獲得額外的可見性和監(jiān)控能力。比如說，一些服務(wù)可以使團隊能夠使用CSP的原生結(jié)構(gòu)來監(jiān)控云賬戶的資產(chǎn)、服務(wù)和行為，比如Microsoft Defender for Cloud、Google Cloud Security Command Center等。

• 確保事件響應(yīng)工具與所選擇的CSP兼容

云安全事件響應(yīng)中需要使用多種工具，要確保這些工具在云上可以兼容。比如：檢查EDR工具是否能夠監(jiān)測和警報在PaaS系統(tǒng)（比如容器、Kubernetes和無服務(wù)器系統(tǒng)）中的攻擊和惡意活動。

• 將云API集成和自動化功能加入到響應(yīng)工作流程中

在云端落實自動化的假設(shè)分析（if-then）要比在本地數(shù)據(jù)中心更容易，通過一些原生工具就可以實現(xiàn)。同樣，組織還可以啟用自動獲取攻擊證據(jù)的機制，這樣可以在取證時大量節(jié)省事件響應(yīng)團隊的數(shù)據(jù)檢索時間。

• 與云運維團隊和DevOps團隊保持步調(diào)一致

云事件響應(yīng)行動計劃要盡可能減少對業(yè)務(wù)生產(chǎn)環(huán)境的印象和中斷。因此，云安全事件響應(yīng)團隊要在事件處置的全過程中，和所有利益相關(guān)者保持密切配合。云安全事件響應(yīng)中隨時會面臨挫折和打擊，在此過程中，需要積極調(diào)動并保持每個參與者的積極性。

參考鏈接：

https://www.techtarget.com/searchsecurity/tip/Cloud-incident-response-Frameworks-and-best-practices