重庆苹果X手机修理_云计算事件响应优秀实践
云计算已经成为主流技术,重庆苹果X手机修理几乎所有组织都在公共云中运行一些资源——无论是SaaS、PaaS还是IaaS。他们的安全团队一直在努力适应云计算环境。随着DevSecOps的日益普及,他们正在与DevOps团队合作,致力于保护云计算系统。
当企业发现保护其云计算投资的最佳方式时,还需要为云计算制定事件响应策略。即使企业的云安全控制措施完善,网络攻击也会发生。安全团队需要知道在网络攻击过程中应该做什么,并为事件响应做好准备,事件响应可能是快速控制和解决灾难事件和可能造成数百万美元损失的区别。
事件响应是什么?
事件响应使企业能够确保他们了解安全事件,并及时响应以限制对系统的损坏。它的目标是阻止网络攻击,防止类似的攻击发生在未来。
SANSInstitute六个步骤的事件响应过程为安全事件提供了一个结构化的框架。其中包括:
(1)准备-制定安全政策,评估风险,确定哪些资产比较敏感,并建立一个事件响应团队。
(2)识别-监视系统检测异常活动,识别真正的安全事件,调查威胁的严重性和类型。
(3)遏制-执行短期遏制程序,防止威胁传播,然后进行长期遏制,如应用临时修复和重新运行干净系统。
(4)根除-确定事件的根源,删除恶意软件,并采取预防未来攻击的措施。
(5)恢复-恢复生产系统,并采取措施防止进一步的网络攻击。最终对恢复系统进行测试和监控。
(6)学习-在事件发生后两周内进行复习分析,使用完整的文件评估来遏制工作,并决定如何改进事件响应过程。
如何为事件响应准备云平台?
企业可以通过各种方式准备事件响应团队和云计算环境,重庆苹果X手机修理实现更有效的事件响应:
(1)确立响应目标——与利益相关者、法律顾问和企业领导协商确定事件响应目标。共同目标包括问题控制和缓解、资源恢复和数据存储,以提供证据和归属。
(2)使用云平台进行响应——确保企业的云计算资源包括响应事件所需的工具和资源。举例来说,确保企业有一个强大的基于云计算的日志记录和监控系统,并设置基于云计算的备份和灾难恢复,以便快速恢复受影响的系统。
(3)确定企业的要求——在集中云计算账户中保留日志、快照和其他证据的副本。它的应用机制实施保留策略。使用标签和元数据保持可见性,并将日志和云计算资源连接到企业的单位、项目或公司系统。
(4)使用重新部署机制——如果安全异常是由于配置错误造成的,企业应该可以通过使用合适的配置重新部署资源来轻松修复。确保响应机制够在必要时多次执行。
(5)使用自动化-在识别重复出现的问题和事件之后,尽可能地实现自动化,并通过编程方式对其进行分解,从而建立一个针对常见情况的响应机制。举例来说,使用AWS公司成熟的AutoScaling服务或者MicrosoftAzure的基础设施,即代码(IaC)功能。它比在云平台上部署数据中心要容易得多。公司确保只对独特、新或关键事件进行人工响应。
云端有效事件响应
利用下列提示,可以提高企业在公共云环境中对安全事件的反应能力。
(1)转移注意力。
与传统的内部部署环境相比,云计算环境要求企业监控不同的元素。在云中,企业应该关注应用程序、应用编程接口和用户角色,考虑事件响应者如何在云计算环境中成功运行,以及他们可能需要执行什么任务。事件响应团队必须对企业系统有适当的访问权限和可见性,以便他们能够检测、修复和防止攻击。
(2)综合报警和事件管理工具。
安全团队必须能够直接访问支持数据,对报警进行分类,对事件进行分类。因此,安全报警工具应与企业使用的任何事件管理工具集成,如PagerDuty和Slack。这样,安全报警就可以直接到达企业团队使用的现有工具和工作流程。响应者不需要在不同的工具之间切换来检查发生的事情。
建立审计跟踪以捕捉对每一个报警的响应,这将提供可见性和问责制,并帮助企业改进响应过程。所有安全工具中执行的操作都必须在相关的协作工具中看到,所以企业可以看到谁解除了特定的报警,什么时候解除报警,他们做了什么注释。
(3)与云计算提供商合作。
云计算提供商通常有一个事件响应团队,但是企业不能假设他们的供应商会在事件期间处理一切。需要注意的是责任共担模型,其中云计算提供商负责保护基础设施,企业负责数据和工作。
确保企业知道云计算提供商的服务协议以及谁对应的要素负责。正确理解企业从供应商团队中可以得到什么样的警报,以及如何支持企业团队。有明确的关系,建立联系方式,可以在事件发生期间节省重要的时间。
(4)保护企业日志。
主要云计算供应商为其环境提供日志记录功能,包括日志文件或操作指标,以提供对服务操作的洞察力。它的日志服务可以是免费的,也可以是付费的,从基本的访问日志到完整的审计和配置日志。大多数云计算日志服务允许企业将日志存储在云平台以外或内部部署设施中,这非常重要。
日志是事件响应调查的有用资源,企业必须确保网络攻击者不能访问。网络攻击者可能会破坏企业的云计算系统和服务,但不能修改或删除企业的日志。日志是受保护的信息来源,有助于企业识别攻击时间线、目标系统和网络攻击者的IP地址。这为调查提供了可靠的起点。
(5)网络靶场训练。
企业通常通过练习来训练或测试他们的安全性和事件响应能力。如今,云计算环境为企业的生产网络提供了模拟受保护环境的机会,使企业的安全团队能够在安全环境中练习对网络上真实攻击的反应。
AWSCloudFormation等工具允许企业快速设计和部署与实际网络相同的培训网络。企业可以通过限制培训持续时间来降低成本。这些培训可能是企业团队应对现实世界中网络攻击的最好方法。
这些是安全事件响应的基础知识,为事件响应准备云计算环境,以及团队在不可避免的网络攻击发生时如何有效地做出反应。简而言之,重要的是:
(1)专注于重要的事情——在云平台上,API、应用程序、身份和访问管理系统。
(2)集成报警和事件管理工具云平台提供了足够的自动化功能。用它们自动响应常见的异常情况。
(3)与云计算提供商合作——企业在云中并不孤独,团队需要准确了解云计算提供商在应对事件时会采取什么措施。
(4)保护企业日志——如果企业日志被篡改,将无法检测、调查和响应攻击。保护他们需要付出一切代价。
(5)网络靶场训练——在事件真实发生之前,企业永远不会真正知道如何对事件做出反应。与其等待真正的网络攻击,不如进行网络靶场训练或者安全演习,看看大家如何在攻击场景中合作。
重庆苹果X手机修理企业在为开发人员、运营商和安全团队制定凝聚力的云安全战略时,需要做好准备。