RSA 2019觀察:在高效和安全中找到Incident Response新的平衡點
IR(Incident Response)正在變化
企業級的安全市場,除了傳統的伺服器、工作站、裝置之外,越來越多的雲、IoT、移動裝置也快速納入到企業安全環境中,企業需要面對更多的服務提供者、裝置廠商以及服務和產品的分散化,安全問題無法像過去一樣被封閉在可控的範圍內,越來越多的薄弱環節變得更加易受攻擊,這種變化在Hybrid環境下尤其突出。
什麼是Hybrid?Hybrid的定義是On-premise加cloud,即企業IT環境的裝置加雲環境協同滿足業務需要。
列舉幾點來說明Hybrid後的IR策略變化:
1. 傳統的IT環境變化慢、相對比較穩定;Hybrid環境下,cloud中也會有部署的傳統裝置,在雲環境中的IR需要更快的響應。
2. 傳統的日誌上報路徑是SIEM到SOC再到IR;Hybrid環境下,會有更多外部的日誌出現,對這些日誌的可靠性和可用性都是不小的挑戰。
3. 傳統環境的OT(Operational Technology)在防火牆後端;Hybrid環境下,OT和IT的界限模糊了,二者之間的互動連線方式也越來越多樣化。
4. Hybrid環境中的技術支援團隊需要更加貼近雲產品開發團隊。
Hybrid在更加高效的同時,也給IR帶來了更多的安全風險,傳統的IT IR經驗不能被直接複製到Hybrid環境中。高效和安全,不可兼得,企業需要找到適合自己的平衡點。Hybrid的新風險主要是以下幾個方面:
1. 需要同更多的裝置提供商打交道。
2. OT連線增加的同時,也增加了被攻擊的風險。
3. OT環境中的專業系統越來越多,但卻缺乏相關的專家。
4. 雲環境的變化很快,平臺和服務都可能快速變化,無法確保及時瞭解各種系統、服務的最新狀態。
5. 缺乏統一的雲服務維護模式和工具。
Hybrid對IR的挑戰
傳統安全裝置同雲環境的協同,需要針對不同的雲環境進行適配,安全能力由傳統的依賴硬體平臺變成同雲環境緊密相關,處理IR的技術支援團隊或者運營團隊需要同開發團隊進行更加緊密的配合,這對雙方都是很大的挑戰。
黑產團體也越來越多的關注雲安全漏洞,缺乏完善安全保護的雲環境更容易受到安全威脅。
雲安全威脅主要來自幾個方面:
1. API濫用
2. 可用性攻擊,比如DDoS
3. 缺乏身份控制
4. 雲策略和配置採用預設方式,未進行優化
5. 資產暴露
拿API濫用來說,API的開發者主要考慮效率和功能,很少考慮安全,很少有API開發者會考慮當同一個API被多次惡意呼叫會發生什麼,當面臨API DoS的時候往往束手無策。很多API的呼叫未對order number的唯一性做出限制,也未對APP進行身份識別,所以資料可能通過API被洩露出去。
雲環境的變化是極快的,傳統可以靠人工處理的IR,在雲環境中大部分需要通過自動化的IR來解決,否則從人工看到告警到開始響應,這個告警可能都已經失效了。典型的如針對遊戲網站的DoS攻擊,當本地抗D裝置被打爆、需要雲清洗的時候,如果雲清洗的響應是幾十分鐘乃至小時級,遊戲使用者早就離開了,雲清洗需要做到分鐘級甚至是秒級響應。
如何應對IR的挑戰?
想要提高IR的效率同時保障新的Hybrid SLA(Service Level Agreement),雲環境中關鍵的IR改進措施如下。
1. 進行接入控制
雲環境中的IR關聯角色包括on-premise技術支援團隊、雲技術支援團隊、運營服務團隊,開發團隊、合作方團隊,這些團隊的接入許可權要有明確的區分,接入的範圍要有明確的邊界。
2. 量化動態資源
量化雲資源的安全策略,包括技術。這些安全策略應該從視覺化的角度來設計,是否可視以及是否採用這些策略都是可以選擇的。
3. 及時更新TTP(Tactics, Techniques and Procedures )
TTP包括SOP、SLA和工具等等,人員的重要性應該放在IR前面,經驗豐富的人員可以通過最佳實踐來將流程由人工變成自動化。
4. DevOps整合的SOP和自動化
雲環境中的裝置、應用的部署需要有清晰的pipeline,並且要不斷提高工具的自動化和智慧化。
5. 持續改進
雲使用者的業務不斷變化,也需要雲服務和應用的開發不斷改進。
IR的能力是運營能力的展示,需要強大的解決方案Hybrid能力、技術能力、標準化能力、開發能力以及人員培養體系、標準化體系和持續改進體系共同支撐,方能應對安全業務乃至客戶業務不斷變化帶來的挑戰。IR的核心能力是快,沒有這個核心能力,其他也都無用武之地。正所謂皮之不存,毛將焉附。
綠盟科技基於國際市場日益增多的Hybrid安全服務的需求,提出了“Cloud In a Box”的雲地端到端的解決方案。基於這套方案雲清洗的IR可達到秒級,安全團隊的干預和處置能達到分鐘級的要求。
“Cloud In a Box”的方案在近日喜提矽谷通訊《資訊保安產品指南》頒發的“2019年全球卓越獎”。矽谷通訊作為國際知名資訊保安研究和諮詢指導機構,其釋出的《資訊保安產品指南》在幫助終端使用者瞭解可選解決方案、保護其數字資源安全方面具有權威的指導作用。
參考資料:
《Incident Response beyond Enterprise IT》, Jason Escaravage/Phil Hamill, Booz Allen Hamilton, 2019 RSA Conference
《Designing for API Doomsday》,Josh Shaul, Akamai Technologies, 2019 RSA Conference
相關文章
- RSA 2019觀察: 應用安全趨勢與解析 —— DevOPS與API安全devAPI
- RSA 2019觀察:機器學習演算法分析引擎 助力安全威脅推理分析機器學習演算法
- RSA 2019觀察 :威脅建模模型ATT&CK模型
- RSA Security:2019年資料隱私和安全報告
- RSA2019觀察:DevSecOps實施中的文化融合與能力構建dev
- RSA 創新沙盒盤點| BluBracket:讓安全的保障和程式碼迭代一樣快Racket
- RSA 2019安全大會:企業資產管理成行業新風向標,雲上安全佔優勢行業
- node中的response.write()和response.end()
- 2020 RSA揭祕:今年最全的安全行業焦點議題全在這了行業
- 在組合中找到重複的資料
- RSA2017前瞻:安全分析和操作
- NSA和安全行業廠商RSA之間的“密謀”行業
- request和response的區別
- RSA創新沙盒盤點|Neosec——面向API安全的SaaS化防護方案API
- RSA創新沙盒盤點 | Satori ——合規、快速、高效的隱私保護解決方案
- Request和Response物件物件
- RSA 創新沙盒盤點| Tala Security——高效檢測和防護各種針對WEB客戶端的攻擊Web客戶端
- RSA創新沙盒盤點|Torq——無程式碼安全自動化
- 在 SSH 中使用 RSA 和 DSA 認證(詳解)
- JAVA的request和response有效域Java
- RSA創新沙盒盤點 | Talon Cyber Security——面向企業的安全瀏覽器瀏覽器
- 使用交叉點觀察器延遲載入影象以提高效能【譯】
- ScaleFlux與UCloud攜手,助力高效能檔案儲存,實現低成本和高效能的完美平衡UXCloud
- 預測現在安全策略新觀點:防範於未然(轉)
- 安全篇-AES/RSA加密機制加密
- RSA創新沙盒盤點 |WIZ——無需代理的全棧多雲安全平臺全棧
- 產業觀察:解剖安全產業之“安全”(轉)產業
- 物理安全和網路安全的交點在哪?
- 構築更安全的“第五空間”,綠盟科技釋出《2019網路安全觀察》報告
- JSP 中的 Request 和 Response 物件JS物件
- Response-->cookie的新增和刪除Cookie
- 文字分類在內容安全應用中的資料不平衡問題文字分類
- RSA議題解讀:日本新網路空間安全戰略彌補物聯網安全短板
- RSA 2023創新沙盒盤點|Pangea:程式碼內生安全
- Servlet第三篇【request和response簡介、response的常見應用】Servlet
- 2010年RSA大會RSA總裁主題演講:雲的安全
- RSA 創新沙盒盤點|Elevate Security——“以人為本”的安全行為改善平臺
- RSA創新沙盒盤點 | WABBI ——面向應用全生命週期的安全防護方案