信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)數(shù)世咨詢，作者/茉冷。

隨著移動(dòng)終端的廣泛應(yīng)用，傳統(tǒng)終端的概念正在逐漸過(guò)時(shí)。云計(jì)算正不斷促進(jìn)著此項(xiàng)轉(zhuǎn)變。數(shù)據(jù)是組織中最有價(jià)值的資產(chǎn)。當(dāng)組織完全采用了云模式，那么傳統(tǒng)的終端便失去了其效用價(jià)值?，F(xiàn)代化的應(yīng)用程序具有跨終端的特點(diǎn)，從而不再受到地理位置的限制。并且，應(yīng)用程序的使用場(chǎng)景也不再局限在那些來(lái)自正規(guī)數(shù)據(jù)中心的受控辦公點(diǎn)。終端的概念將不再是指臺(tái)式機(jī)、筆記本電腦或服務(wù)器，其更有可能指的是API或服務(wù)。因此，必須針對(duì)這一改變，組織必須對(duì)其安全策略進(jìn)行調(diào)整。否則，他們將會(huì)面臨網(wǎng)絡(luò)安全事故以及名譽(yù)受損的風(fēng)險(xiǎn)。

云攻擊模式有所不同

由于云技術(shù)的廣泛應(yīng)用及其廣闊的前景，網(wǎng)絡(luò)攻擊方式也隨之發(fā)生了變化。那些危及到終端持久性的攻擊模式更有可能會(huì)觸發(fā)到安全監(jiān)控機(jī)制，并向安全團(tuán)隊(duì)發(fā)出警報(bào)。攻擊者不再需要進(jìn)行那些不痛不癢的，例如網(wǎng)絡(luò)釣魚(yú)軟件的攻擊方式。他們可以通過(guò)許多其他方式來(lái)破壞憑證、濫用服務(wù)，或竊取那些有價(jià)值的重要數(shù)據(jù)。下面我們將舉例一些無(wú)需接觸終端的攻擊方式：

·濫用權(quán)限升級(jí)與盜號(hào)

·利用數(shù)字供應(yīng)鏈元素（例如程序依賴和存儲(chǔ)庫(kù)）

·加密劫持，或危害組織利益的比特幣挖掘

·利用公開(kāi)的云存儲(chǔ)服務(wù)訪問(wèn)權(quán)限

·以機(jī)器身份為目標(biāo)，而不是用戶身份

·從云提供商的元數(shù)據(jù)api中抽取基礎(chǔ)設(shè)施數(shù)據(jù)

收集與分析對(duì)云環(huán)境的交互為安全團(tuán)隊(duì)提供了上下文，也對(duì)威脅檢測(cè)與響應(yīng)、數(shù)字取證以及事件響應(yīng)提供了支持。持續(xù)的分析為安全配置及工作內(nèi)容提供了基線。一旦偏離這些基線也就意味著環(huán)境的異?；蛘叽嬖跐撛诘墓?。當(dāng)一系列看似相互關(guān)聯(lián)的事件是組成復(fù)雜攻擊鏈的一部分時(shí)，那么真相一定會(huì)很快浮出水面，以便安全團(tuán)隊(duì)能夠?qū)m當(dāng)?shù)捻憫?yīng)進(jìn)行優(yōu)先考慮。然而，這在實(shí)踐中是一個(gè)很難解決的問(wèn)題，因?yàn)樗枰M(jìn)行跨環(huán)境以及跨技術(shù)堆棧的數(shù)據(jù)收集與關(guān)聯(lián)。同時(shí)，攻擊還可能會(huì)遍歷本地環(huán)境和云環(huán)境，這取決于數(shù)據(jù)存在的位置或服務(wù)運(yùn)行的位置。

組織使用傳統(tǒng)工具的成功率很低

為了在現(xiàn)代化的體系結(jié)構(gòu)中采用SecOps，組織往往會(huì)應(yīng)用一系列的安全技術(shù)，然而這也給組織引入了一些安全漏洞。常見(jiàn)的技術(shù)方式包括：

·網(wǎng)絡(luò)檢測(cè)與響應(yīng)（Network detection and response，NDR）:網(wǎng)絡(luò)檢測(cè)與響應(yīng)可以在傳統(tǒng)環(huán)境中很好地發(fā)揮作用，但卻無(wú)法適用于云環(huán)境。大部分業(yè)務(wù)流量的流動(dòng)都需要經(jīng)過(guò)組織外部的云服務(wù)。然而組織并沒(méi)有完全掌握自己的云網(wǎng)絡(luò)，所以組織無(wú)法將其作為真相的來(lái)源。

·端點(diǎn)檢測(cè)與響應(yīng)(Endpoint detection and response,EDR）:終端可能根本不存在，工作負(fù)載的時(shí)間間隔只維持了很短一段時(shí)間。代理，特別是那些被視為重量級(jí)的代理在技術(shù)上是不可行的，往往會(huì)出現(xiàn)可用性的問(wèn)題。組織不能像處理筆記本電腦或Windows工作站那樣來(lái)處理容器的工作負(fù)載或云服務(wù)。

·擴(kuò)展檢測(cè)與相應(yīng)（Extended detection and response，XDR）XDR旨在將所有類(lèi)型的事件數(shù)據(jù)關(guān)聯(lián)起來(lái)。實(shí)際上，XDR工具與筆記本電腦或臺(tái)式電腦共享傳統(tǒng)端點(diǎn)root。可以說(shuō)，XDR就是下一代的EDR。

·安全信息和事件管理（Security information and event management，SIEM）:作為SecOps的骨干，SIEM不幸地成為了收納大量日志和事件流的“垃圾場(chǎng)“。組織依賴他們的SIEM來(lái)進(jìn)行對(duì)勒索軟件以及網(wǎng)絡(luò)釣魚(yú)攻擊等事件的預(yù)警。然而，對(duì)于SIEM，組織往往會(huì)面臨一個(gè)成本問(wèn)題。并且分析人員在那些可能已經(jīng)失去執(zhí)行操作能力的數(shù)據(jù)上也浪費(fèi)了過(guò)多的時(shí)間。SOC現(xiàn)代化工作通常強(qiáng)調(diào)要減少輸入到SIEM實(shí)例的提要數(shù)量，以提高安全事件的信噪比。

云端檢測(cè)與響應(yīng)的特征

現(xiàn)代化的應(yīng)用程序設(shè)計(jì)、威脅演變以及傳統(tǒng)安全方法的弱點(diǎn)突出了對(duì)支持TDR和DFIR不同功能的需求。組織只有增強(qiáng)自己的能力才能成功地實(shí)施安全戰(zhàn)略。數(shù)世咨詢基于云主機(jī)的特殊性，定義了新的方向——主機(jī)檢測(cè)與響應(yīng)（host detection and response，HDR)貼上其特征的標(biāo)簽。HDR的特征包括：

·通過(guò)對(duì)主機(jī)遙測(cè)、工作負(fù)載遙測(cè)以及云事件源進(jìn)行收集與分析，來(lái)統(tǒng)一跨傳統(tǒng)環(huán)境、云環(huán)境以及云原生環(huán)境的可視性。

·通過(guò)基于服務(wù)分析、可擴(kuò)展且定制化的規(guī)則以及基于ML的檢測(cè)自動(dòng)化，來(lái)改進(jìn)平均檢測(cè)時(shí)間（mean-time-to-detect，MTTD)安全事件。

·通過(guò)針對(duì)組織獨(dú)特環(huán)境的指南，來(lái)改進(jìn)平均響應(yīng)時(shí)間（mean-time-to-respond，MTTR）。

·使用例如AWS CloudFormation、Terraform,、或者Kubernetes YAML等自動(dòng)生成的代碼格式，來(lái)加快補(bǔ)救速度，從而縮短修復(fù)時(shí)間。

·通過(guò)API同非安全和SecOps系統(tǒng)的集成，來(lái)構(gòu)建將開(kāi)發(fā)、操作以及安全團(tuán)隊(duì)連接起來(lái)的工作流橋梁。

SecOps的當(dāng)前狀態(tài)有時(shí)會(huì)不禁讓人想起早期的應(yīng)用程序安全和基礎(chǔ)設(shè)施安全。那時(shí)，從業(yè)者第一次開(kāi)始糾結(jié)起數(shù)字轉(zhuǎn)型。DevOps的實(shí)踐非常強(qiáng)調(diào)自動(dòng)化。組織可以迅速地卸載并重新部署安全應(yīng)用程序，但面對(duì)如今轉(zhuǎn)變的現(xiàn)實(shí)，SecOps方式也需要進(jìn)行不斷的調(diào)整發(fā)展。對(duì)于那些必須在現(xiàn)代化體系結(jié)構(gòu)中維護(hù)安全操作的組織來(lái)說(shuō)，CDR功能是一個(gè)可行的道路。

數(shù)世點(diǎn)評(píng)：

如今“云計(jì)算”的時(shí)代，“上云”已經(jīng)成為一種勢(shì)不可擋的潮流，而越來(lái)越多的攻擊也開(kāi)始集中在云環(huán)境中。在沒(méi)有合適的安全架構(gòu)和策略的情況下，冒然“上云”勢(shì)必會(huì)使組織面臨各種新型的安全風(fēng)險(xiǎn)及其相關(guān)的合規(guī)法律問(wèn)題。在將關(guān)鍵的工作負(fù)載以及數(shù)據(jù)部署到云端之前，云提供商的安全模型及其局限性、數(shù)據(jù)加密以及與云提供商之間的共同責(zé)任模型等問(wèn)題，都是組織需要提前了解與考慮的內(nèi)容。