如果企業(yè)做好準(zhǔn)備，云中的事件響應(yīng)將很簡(jiǎn)單

如果企業(yè)已經(jīng)將業(yè)務(wù)轉(zhuǎn)向云計(jì)算，AWS和Microsoft 365可以提供的靈活性和可擴(kuò)展性服務(wù)將獲得額外的收益。云中的事件響應(yīng)遠(yuǎn)比內(nèi)部部署事件響應(yīng)簡(jiǎn)單。

但是有一個(gè)問(wèn)題：需要執(zhí)行事件響應(yīng)的所有工具都駐留在企業(yè)最喜歡的云計(jì)算提供商和SaaS產(chǎn)品的平臺(tái)中，因此需要進(jìn)行一些初始設(shè)置，以便為災(zāi)難事件做好準(zhǔn)備。

集中日志記錄

云中的默認(rèn)日志儀表板并不是為事件響應(yīng)調(diào)查而構(gòu)建的。這就是GCP Chronicle和Azure Sentinel等SIEM解決方案存在于每個(gè)主要云平臺(tái)上的原因。這些解決方案增強(qiáng)了可以使云中的事件響應(yīng)變得簡(jiǎn)單的原生功能，其前提是這些功能被啟用。

利用云的內(nèi)置事件，首先要集中所有日志記錄。

在通常情況下，可以記錄兩種操作：

·“讀取”操作無(wú)需修改即可揭示有關(guān)云計(jì)算環(huán)境及其組件的信息。

·“寫(xiě)入”操作對(duì)環(huán)境進(jìn)行更改，例如創(chuàng)建新帳戶(hù)、添加新用戶(hù)和部署服務(wù)。

記錄修改云計(jì)算帳戶(hù)的“寫(xiě)入”操作對(duì)于檢測(cè)至關(guān)重要。但對(duì)于事件調(diào)查來(lái)說(shuō)，這還不夠。徹底的事件響應(yīng)需要能夠查看威脅參與者采取的全部行動(dòng)范圍，其中包括“讀取”和“寫(xiě)入”事件。

設(shè)置完全集中的日志記錄至關(guān)重要，維護(hù)也是如此。這需要檢查數(shù)據(jù)的健康狀況和覆蓋范圍。

人們經(jīng)常發(fā)現(xiàn)在中央日志記錄解決方案中限制日志記錄以降低成本。與此同時(shí)，客戶(hù)團(tuán)隊(duì)可能會(huì)假設(shè)擁有一套完整的日志，因?yàn)殡S著企業(yè)的一些員工離職而失去了對(duì)這些限制的了解。如果企業(yè)面臨與成本相關(guān)的問(wèn)題，建議實(shí)施將篩選出的日志存儲(chǔ)在冷存儲(chǔ)中的程序，以便在需要時(shí)將其引入集中式日志記錄解決方案。

不能指望云計(jì)算提供商

幾乎所有云計(jì)算提供商都允許用戶(hù)使用其默認(rèn)日志門(mén)戶(hù)從特定時(shí)間跨度下載操作。但研究發(fā)現(xiàn)，這些云計(jì)算提供商的門(mén)戶(hù)雖然不斷更新，但在較長(zhǎng)時(shí)間內(nèi)對(duì)下載的完整性存在限制。在下載之后，必須以某種方式處理日志以進(jìn)行分析，如果正在響應(yīng)活動(dòng)事件，這可能會(huì)造成重大障礙。

此外，大多數(shù)云計(jì)算日志門(mén)戶(hù)都對(duì)按需下載進(jìn)行了限制，以保護(hù)所有客戶(hù)端的日志服務(wù)的整體可用性。如果企業(yè)有一個(gè)相當(dāng)大的云計(jì)算環(huán)境，這可能是一個(gè)大問(wèn)題。

在最好的情況下，缺少集中式日志會(huì)落后一個(gè)小時(shí)，而這一個(gè)小時(shí)可能對(duì)企業(yè)的響應(yīng)至關(guān)重要。這就是為什么所有云服務(wù)仍然需要集中日志記錄的原因。

默認(rèn)日志記錄是不夠的

在通常情況下，企業(yè)在云帳戶(hù)之上使用的服務(wù)是將遭受網(wǎng)絡(luò)事件影響最大的地方。不幸的是，這些服務(wù)中很少有默認(rèn)情況下啟用日志記錄。

還應(yīng)特別考慮云中使用的服務(wù)的日志記錄。這可能需要定義簡(jiǎn)單的配置，這需要一些時(shí)間。但是，未能在這些服務(wù)上設(shè)置日志記錄的成本可能很高。

考慮一個(gè)未啟用日志的情況，并且AWS S3存儲(chǔ)桶已被錯(cuò)誤地公開(kāi)。當(dāng)監(jiān)管機(jī)構(gòu)詢(xún)問(wèn)企業(yè)誰(shuí)訪(fǎng)問(wèn)了這些數(shù)據(jù)時(shí)，可能將無(wú)法回答，因?yàn)樽C據(jù)不存在。這可能會(huì)讓企業(yè)面臨巨額罰款或帶來(lái)更多的后果。

標(biāo)記和映射資產(chǎn)

內(nèi)部部署事件響應(yīng)最困難的部分之一是跟蹤資產(chǎn)。這通常會(huì)阻礙響應(yīng)者嘗試優(yōu)先考慮哪些計(jì)算機(jī)要保護(hù)或首先調(diào)查。

在云中，映射環(huán)境也比在內(nèi)部部署網(wǎng)絡(luò)中容易得多，可以在任何地方進(jìn)行映射。證據(jù)收集也得到簡(jiǎn)化。使用云原生工具而不是第三方工具，可以在的家中/辦公室捕獲證據(jù)，而無(wú)需進(jìn)入數(shù)據(jù)中心獲取數(shù)據(jù)。但是，如果沒(méi)有正確標(biāo)記這些快照以幫助調(diào)查團(tuán)隊(duì)了解它們的場(chǎng)景，那么這些快照可能幾乎毫無(wú)價(jià)值。

至少，云計(jì)算資源應(yīng)標(biāo)記有成本中心、負(fù)責(zé)人、相關(guān)服務(wù)以及這一云計(jì)算資源對(duì)服務(wù)的角色。如果沒(méi)有這些信息，將浪費(fèi)一些時(shí)間來(lái)嘗試獲取資源周?chē)膱?chǎng)景。

例如，沒(méi)有適當(dāng)標(biāo)記的卷快照很少提供調(diào)查所需的證據(jù)。對(duì)單個(gè)卷快照的調(diào)查可能很快成為對(duì)所有卷快照的審查，但將再次浪費(fèi)時(shí)間。

建立響應(yīng)者帳戶(hù)

即使企業(yè)擁有所需的所有日志，其安全團(tuán)隊(duì)也可能無(wú)法訪(fǎng)問(wèn)它們。因此，需要在事件開(kāi)始之前為其云計(jì)算環(huán)境創(chuàng)建響應(yīng)者帳戶(hù)。如果需要與外部供應(yīng)商共享日志以獲得第三方保證或支持，這些帳戶(hù)將變得至關(guān)重要。

通過(guò)間接或只讀的訪(fǎng)問(wèn)權(quán)限，這些響應(yīng)者帳戶(hù)可以訪(fǎng)問(wèn)日志和日志儀表板，并開(kāi)始調(diào)查。這些帳戶(hù)將無(wú)法對(duì)環(huán)境進(jìn)行更改，并且需要與云計(jì)算管理員聯(lián)系以直接修復(fù)威脅參與者。如果企業(yè)安全團(tuán)隊(duì)了解在云計(jì)算環(huán)境中更改策略和重置憑據(jù)的直接影響，那么對(duì)響應(yīng)者帳戶(hù)的直接訪(fǎng)問(wèn)可能是有意義的。

充分利用云計(jì)算的優(yōu)勢(shì)

傳統(tǒng)的事件響應(yīng)誕生于十多年前，當(dāng)時(shí)操作系統(tǒng)的設(shè)計(jì)并未考慮到安全性。這要求調(diào)查人員依靠無(wú)意中留在系統(tǒng)中的證據(jù)。

使用云計(jì)算解決方案，那里有一個(gè)數(shù)據(jù)基線(xiàn)等待調(diào)查。例如，當(dāng)檢查AWS公司的泄露事件時(shí)，其調(diào)查幾乎完全依賴(lài)于日志。在通常情況下，不會(huì)進(jìn)行數(shù)字取證，其中涉及解析數(shù)字文件以找出數(shù)據(jù)泄露事件是如何發(fā)生的。這是因?yàn)榕c任何用戶(hù)一樣，威脅參與者在云計(jì)算環(huán)境中的行動(dòng)受到限制。幾乎所有的操作都在日志中。因此，調(diào)查依賴(lài)于相對(duì)完整且易于解析的數(shù)據(jù)源。

將云計(jì)算事件響應(yīng)與內(nèi)部部署事件響應(yīng)進(jìn)行比較，在這種情況下，證據(jù)可能不完整，并且格式各異，因此需要特定的解析工作，可能需要幾天甚至幾周的時(shí)間。

企業(yè)不可避免地會(huì)遭受網(wǎng)絡(luò)攻擊，通過(guò)事件響應(yīng)做好準(zhǔn)備節(jié)省的時(shí)間和資源將超過(guò)其本身的成本。沒(méi)有采取這些步驟所帶來(lái)的危害可能比任何事件持續(xù)得更久。