事件響應(yīng)、通告和補救簡介
時間:2022-02-27 10:50:02 | 來源:信息時代
時間:2022-02-27 10:50:02 來源:信息時代
由于云計算的本質(zhì),所以當發(fā)生安全事件、數(shù)據(jù)破壞、或其他需要調(diào)查和采取行動該找誰時顯得更難以確定。為了滿足相同匯報責任的需求的變化,需要修改標準安全事件響應(yīng)機制。
對于客戶來說,部署到云的應(yīng)用程序并不總是把數(shù)據(jù)完整性和安全性設(shè)計放在第一位的。這可能導致脆弱的應(yīng)用部署進云環(huán)境,進而引發(fā)安全事故。此外,基礎(chǔ)設(shè)施架構(gòu)的缺陷、加固規(guī)程中的錯誤、以及簡單的操作疏忽都會對云服務(wù)的運營構(gòu)成重大的威脅。當然,類似的漏洞同樣也會危及傳統(tǒng)的數(shù)據(jù)中心的運營。
很明顯,事件處理過程需要專業(yè)技術(shù)知識,但隱私和法律專家對云安全同樣可以作出重大貢獻。在事件響應(yīng)中,他們還會在通知、補救、以及隨后可能采取的法律行動中發(fā)揮關(guān)鍵作用。如果一個組織考慮使用云服務(wù),那么他需要審視有關(guān)未被用戶協(xié)議和隱私政策制約的員工對數(shù)據(jù)的訪問的機制是否已經(jīng)實施。在IaaS和PaaS架構(gòu)中,云服務(wù)提供商自己的應(yīng)用程序不管理應(yīng)用程序數(shù)據(jù),這和SaaS提供商的應(yīng)用程序控制數(shù)據(jù)有所不同。
大型云服務(wù)提供商交付SaaS、PaaS和IaaS服務(wù)的復雜性造成重大事件響應(yīng)過程中的隱患,潛在客戶必須評估相應(yīng)SLA的可接受水平。在評估云服務(wù)提供商時,很重要的一點事要意識到供應(yīng)商可能托管了成百上千的應(yīng)用程序?qū)嵗氖录O(jiān)測的角度講,任何外部應(yīng)用程序都會拓寬安全運行中心(SOC)的責任。通常,SOC監(jiān)測那些由入侵檢測系統(tǒng)和防火墻中產(chǎn)生預警和其他事件的指標,但是,在開放的云環(huán)境中這些必須監(jiān)測的消息來源和通告的數(shù)量將會以指數(shù)方式增長,例如,SOC可能需要監(jiān)測消費者之間的活動,還有外部事件。
一個組織需要了解他們所選擇的云服務(wù)提供商的事件響應(yīng)策略。這一策略必須解決識別和通知,以及針對應(yīng)用程序數(shù)據(jù)的未經(jīng)授權(quán)訪問的補救選項。更為復雜的是,在不同的數(shù)據(jù)存放位置,應(yīng)用數(shù)據(jù)的管理和訪問有不同的含義和監(jiān)管要求。例如,如果涉及到的數(shù)據(jù)在德國,有事件發(fā)生,可是如何數(shù)據(jù)在美國,可能就不認為是“事件”。這使得事件識別充滿挑戰(zhàn)性。
建議? 在服務(wù)部署前,云客戶要明確界定,并且和云服務(wù)提供商溝通什么是他們認為的事故(incident)(如數(shù)據(jù)破壞),什么僅僅是事件(event)。
? 云客戶參與云服務(wù)提供商的事件響應(yīng)活動可能非常有限。因此,客戶了解與云服務(wù)提供商的事件響應(yīng)小組的既定溝通路徑非常關(guān)鍵。
? 云客戶應(yīng)該調(diào)查云服務(wù)提供商使用哪些事件檢測和分析工具,以確保他們對自己的系統(tǒng)兼容。在聯(lián)合調(diào)查,特別是那些涉及法律調(diào)查(discovery)或政府干預(intervention)時,云服務(wù)提供商的某個私有的或者非常規(guī)格式的日志往往會成為主要障礙。
? 設(shè)計和保護不當?shù)膽?yīng)用程序和系統(tǒng)可以很容易地“淹沒”每個人的事件響應(yīng)能力。對系統(tǒng)進行適當?shù)娘L險管理,并且利用縱深防御的做法在第一時間減少發(fā)生安全事件的機會是很關(guān)鍵的。
? 安全運行中心(SOC)經(jīng)常假定對事件響應(yīng)上只有一個單一的管控模型,但是這對多租戶的云服務(wù)提供商來說并不恰當。一個強勁而良好維護的安全信息和事件管理(SIEM)流程用以識別可用數(shù)據(jù)源(應(yīng)用程序日志、防火墻日志、以及IDS日志等等),并且將這些日志合并進可以協(xié)助SOC檢測云計算環(huán)境事件的通用分析告警平臺。
? 為了極大地方便的進行詳盡的離線分析,可以考察能夠提供整個客戶虛擬環(huán)境快照的能力的云服務(wù)提供商,這些快照包括防火墻、網(wǎng)絡(luò)(交換機)、系統(tǒng)應(yīng)用程序和數(shù)據(jù)。
? 遏制(containment)是破壞控制和搜集證據(jù)之間的一場賽跑?;跈C密性-完整性-可用性(CIA)這樣三位一體的遏制做法才是有效的。
? 補救突出了能夠?qū)⑾到y(tǒng)恢復到某個先前狀態(tài)的重要性,甚至需要回到6個月或12個月前的已知可用配置。將法律選擇和要求牢記在心,補救可能還需要支持事件數(shù)據(jù)的“事后分析”(forensics)記錄。
? 所有因為數(shù)據(jù)泄漏監(jiān)管而被分類為“私有”的數(shù)據(jù)都應(yīng)該加密,以減少泄漏事件帶來的后果??蛻魬?yīng)在合同中規(guī)定相關(guān)的加密要求。
? 有些云服務(wù)提供商可能擁有一大批擁有獨特應(yīng)用的客戶。為了能夠給每一個特定客戶提供細顆粒度的事件,這些云服務(wù)提供商應(yīng)該考慮應(yīng)用層日志框架。這些云服務(wù)提供商還應(yīng)該構(gòu)建一個注冊表,按照應(yīng)用程序接口(URL、SOA服務(wù)、等)來記錄應(yīng)用程序所有者。
? 在多租戶環(huán)境下,應(yīng)用級防火墻、代理服務(wù)器,以及其它的應(yīng)用日志工具是當前可用的協(xié)助事件響應(yīng)的關(guān)鍵能力。