随着云原生技术与产业的发展,云原生安全成为网络安全创新热点。如何通过云原生的方式开展云上事件响应?我们来看看在RSAC2023大会上,AWS提出的提升云原生事件响应成熟度的10个最佳实践。
1. 什么是事件响应
事件响应(IR)是由人员、流程和技术组成的系统,用于准备、检测、遏制疑似网络安全事件或危害,并从中恢复。
事件响应的生命周期
事件响应生命周期包括4个阶段:
事前准备
事中检测与分析
遏制、根除和恢复
事后复盘
AWS的事件响应有什么不同
AWS事件响应的特点包括:
责任共担机制
云安全域的划分
专为基础设施访问设计的API接口
考虑了云的动态性
考虑了数据访问的需要
加强了自动化能力
2.云原生事件响应的10个最佳实践
(1) 定义IR计划中的角色和责任
确定事件响应的相关责任方,为事件制定RACI图表:Responsible(负责人), Accountable(责任人), Informed(知情人), Consulted(咨询人),并将关键的云上责任相关方添加到IR计划中。
(2) 开展员工培训
培训的内容包括AWS基础,AWS安全和AWS环境。
AWS基础:了解AWS核心服务如EC2, S3, VPC, RDS等
AWS安全:IAM、组织、日志与监控、AWS安全服务
AWS环境:员工本人的身份验证如何设置、AWS账户结构、敏感数据存储等
(3) 开发云事件响应行动手册
为预期的安全事件生成行动手册,记录要采取的行动步骤,构建已知安全警报的行动手册例如AWS GuardDuty 调查等。
(4) 制定账户结构和标签策略
为账户结构制定计划,以了解AWS账户如何将工作负载分开。使用安全工具和日志存档账户创建安全OU,创建一个取证OU,为用户所在每个区域创建取证账户。
制定标记策略:定义用户需要了解的有关AWS资源的信息,为安全期间,可能包括业务部门、数据分类、应用程序所有者等。
实施标记策略:使用AWS标记策略和服务控制策略SCP强制标记,自动标记资源,尽量简要。
(5) 运行模拟
建立红、蓝、紫队进行运行模拟。红队重点是评估检测,紫队重点是提升检测能力,蓝队重点是应对措施。
典型的云上场景包括未经授权的IAM凭据使用,加密货币挖矿,S3上的勒索软件,以及伪造服务端请求等。
(6) 接入准备
定义事件响应所需的访问权限,包括IAM绝色和临时安全凭据。权限基于最小原则,包括每日只读模式,以及紧急情况模式等。对接入事件采取实时的监控和测试。
(7) 选择并设置日志
识别并启用调查日志,选择日志存储,确定并实施日志保留,开发检索和查询日志和工件的机制。
(8) 在所有可用区域启动托管检测服务
从本地(云原生)托管检测开始,例如Amazon GuardDuty。
使用威胁情报检测已知威胁:包括托管恶意软件和黑客工具的网站,加密货币矿池等。
使用机器学习检测未知威胁:基于机器学习的检测方法,分析正常情况并查看偏差。
(9) 确定资源类型的遏制策略
源头遏-在环境中应用筛选或路由,以防止攻击者从特定源IP地址或者网络范围访问资源。
终端遏制-在环境中应用筛选或路由,防止攻击者访问特定的目标主机或者资源。
技术和访问控制-通过限制功能和IAM主体访问资源,防止未经授权使用资源。
(10) 开发云取证能力
识别取证所需的工件,关键系统的捕获和安全备份,定义用于分析已识别日志和工件的机制,实现取证分析自动化。
本文作者:
奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,研究网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。
陈华平:奇安信集团副总裁,产业发展研究中心负责人。
乔思远:产业发展研究中心研究员,主要负责宏观分析和产品技术研究。
推荐阅读
文章来源:奇安信产业发展研究中心
原文始发于微信公众号(安全内参):RSAC2023丨云原生事件响应的10个最佳实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论