RSA 2019觀察:在高效和安全中找到Incident Response新的平衡點

綠盟科技發表於2019-03-11
IR(Incident Response)正在變化

企業級的安全市場,除了傳統的伺服器、工作站、裝置之外,越來越多的雲、IoT、移動裝置也快速納入到企業安全環境中,企業需要面對更多的服務提供者、裝置廠商以及服務和產品的分散化,安全問題無法像過去一樣被封閉在可控的範圍內,越來越多的薄弱環節變得更加易受攻擊,這種變化在Hybrid環境下尤其突出。

什麼是Hybrid?Hybrid的定義是On-premise加cloud,即企業IT環境的裝置加雲環境協同滿足業務需要。

列舉幾點來說明Hybrid後的IR策略變化:

1. 傳統的IT環境變化慢、相對比較穩定;Hybrid環境下,cloud中也會有部署的傳統裝置,在雲環境中的IR需要更快的響應。

2. 傳統的日誌上報路徑是SIEM到SOC再到IR;Hybrid環境下,會有更多外部的日誌出現,對這些日誌的可靠性和可用性都是不小的挑戰。

3. 傳統環境的OT(Operational Technology)在防火牆後端;Hybrid環境下,OT和IT的界限模糊了,二者之間的互動連線方式也越來越多樣化。

4. Hybrid環境中的技術支援團隊需要更加貼近雲產品開發團隊。

RSA 2019觀察:在高效和安全中找到Incident Response新的平衡點

Hybrid在更加高效的同時,也給IR帶來了更多的安全風險,傳統的IT IR經驗不能被直接複製到Hybrid環境中。高效和安全,不可兼得,企業需要找到適合自己的平衡點。Hybrid的新風險主要是以下幾個方面:

1. 需要同更多的裝置提供商打交道。

2. OT連線增加的同時,也增加了被攻擊的風險。

3. OT環境中的專業系統越來越多,但卻缺乏相關的專家。

4. 雲環境的變化很快,平臺和服務都可能快速變化,無法確保及時瞭解各種系統、服務的最新狀態。

5. 缺乏統一的雲服務維護模式和工具。

Hybrid對IR的挑戰

傳統安全裝置同雲環境的協同,需要針對不同的雲環境進行適配,安全能力由傳統的依賴硬體平臺變成同雲環境緊密相關,處理IR的技術支援團隊或者運營團隊需要同開發團隊進行更加緊密的配合,這對雙方都是很大的挑戰。

黑產團體也越來越多的關注雲安全漏洞,缺乏完善安全保護的雲環境更容易受到安全威脅。

雲安全威脅主要來自幾個方面:

1. API濫用

2. 可用性攻擊,比如DDoS

3. 缺乏身份控制

4. 雲策略和配置採用預設方式,未進行最佳化

5. 資產暴露

拿API濫用來說,API的開發者主要考慮效率和功能,很少考慮安全,很少有API開發者會考慮當同一個API被多次惡意呼叫會發生什麼,當面臨API DoS的時候往往束手無策。很多API的呼叫未對order number的唯一性做出限制,也未對APP進行身份識別,所以資料可能透過API被洩露出去。

雲環境的變化是極快的,傳統可以靠人工處理的IR,在雲環境中大部分需要透過自動化的IR來解決,否則從人工看到告警到開始響應,這個告警可能都已經失效了。典型的如針對遊戲網站的DoS攻擊,當本地抗D裝置被打爆、需要雲清洗的時候,如果雲清洗的響應是幾十分鐘乃至小時級,遊戲使用者早就離開了,雲清洗需要做到分鐘級甚至是秒級響應。

如何應對IR的挑戰?

想要提高IR的效率同時保障新的Hybrid SLA(Service Level Agreement),雲環境中關鍵的IR改進措施如下。

1. 進行接入控制

雲環境中的IR關聯角色包括on-premise技術支援團隊、雲技術支援團隊、運營服務團隊,開發團隊、合作方團隊,這些團隊的接入許可權要有明確的區分,接入的範圍要有明確的邊界。

2. 量化動態資源

量化雲資源的安全策略,包括技術。這些安全策略應該從視覺化的角度來設計,是否可視以及是否採用這些策略都是可以選擇的。

3. 及時更新TTP(Tactics, Techniques and Procedures )

TTP包括SOP、SLA和工具等等,人員的重要性應該放在IR前面,經驗豐富的人員可以透過最佳實踐來將流程由人工變成自動化。

4. DevOps整合的SOP和自動化

雲環境中的裝置、應用的部署需要有清晰的pipeline,並且要不斷提高工具的自動化和智慧化。

5. 持續改進

雲使用者的業務不斷變化,也需要雲服務和應用的開發不斷改進。

RSA 2019觀察:在高效和安全中找到Incident Response新的平衡點

IR的能力是運營能力的展示,需要強大的解決方案Hybrid能力、技術能力、標準化能力、開發能力以及人員培養體系、標準化體系和持續改進體系共同支撐,方能應對安全業務乃至客戶業務不斷變化帶來的挑戰。IR的核心能力是快,沒有這個核心能力,其他也都無用武之地。正所謂皮之不存,毛將焉附。

綠盟科技基於國際市場日益增多的Hybrid安全服務的需求,提出了“Cloud In a Box”的雲地端到端的解決方案。基於這套方案雲清洗的IR可達到秒級,安全團隊的干預和處置能達到分鐘級的要求。

“Cloud In a Box”的方案在近日喜提矽谷通訊《資訊保安產品指南》頒發的“2019年全球卓越獎”。矽谷通訊作為國際知名資訊保安研究和諮詢指導機構,其釋出的《資訊保安產品指南》在幫助終端使用者瞭解可選解決方案、保護其數字資源安全方面具有權威的指導作用。

RSA 2019觀察:在高效和安全中找到Incident Response新的平衡點

參考資料:

《Incident Response beyond Enterprise IT》, Jason Escaravage/Phil Hamill, Booz Allen Hamilton, 2019 RSA Conference

《Designing for API Doomsday》,Josh Shaul, Akamai Technologies, 2019 RSA Conference

相關文章