在企业将业务转向云计算之后,需要执行事件响应的所有工具都驻留在企业最喜欢的云计算提供商和SaaS产品的平台中,因此需要进行一些初始设置,以便为灾难事件做好准备。
如果企业已经将业务转向云计算,AWS和Microsoft 365可以提供的灵活性和可扩展性服务将获得额外的收益。云中的事件响应远比内部部署事件响应简单。
但是有一个问题:需要执行事件响应的所有工具都驻留在企业最喜欢的云计算提供商和SaaS产品的平台中,因此需要进行一些初始设置,以便为灾难事件做好准备。
集中日志记录
云中的默认日志仪表板并不是为事件响应调查而构建的。这就是GCP Chronicle和Azure Sentinel等SIEM解决方案存在于每个主要云平台上的原因。这些解决方案增强了可以使云中的事件响应变得简单的原生功能,其前提是这些功能被启用。
利用云的内置事件,首先要集中所有日志记录。
在通常情况下,可以记录两种操作:
- “读取”操作无需修改即可揭示有关云计算环境及其组件的信息。
- “写入”操作对环境进行更改,例如创建新帐户、添加新用户和部署服务。
记录修改云计算帐户的“写入”操作对于检测至关重要。但对于事件调查来说,这还不够。彻底的事件响应需要能够查看威胁参与者采取的全部行动范围,其中包括“读取”和“写入”事件。
设置完全集中的日志记录至关重要,维护也是如此。这需要检查数据的健康状况和覆盖范围。
人们经常发现在中央日志记录解决方案中限制日志记录以降低成本。与此同时,客户团队可能会假设拥有一套完整的日志,因为随着企业的一些员工离职而失去了对这些限制的了解。如果企业面临与成本相关的问题,建议实施将筛选出的日志存储在冷存储中的程序,以便在需要时将其引入集中式日志记录解决方案。
不能指望云计算提供商
几乎所有云计算提供商都允许用户使用其默认日志门户从特定时间跨度下载操作。但研究发现,这些云计算提供商的门户虽然不断更新,但在较长时间内对下载的完整性存在限制。在下载之后,必须以某种方式处理日志以进行分析,如果正在响应活动事件,这可能会造成重大障碍。
此外,大多数云计算日志门户都对按需下载进行了限制,以保护所有客户端的日志服务的整体可用性。如果企业有一个相当大的云计算环境,这可能是一个大问题。
在最好的情况下,缺少集中式日志会落后一个小时,而这一个小时可能对企业的响应至关重要。这就是为什么所有云服务仍然需要集中日志记录的原因。
默认日志记录是不够的
在通常情况下,企业在云帐户之上使用的服务是将遭受网络事件影响最大的地方。不幸的是,这些服务中很少有默认情况下启用日志记录。
还应特别考虑云中使用的服务的日志记录。这可能需要定义简单的配置,这需要一些时间。但是,未能在这些服务上设置日志记录的成本可能很高。
考虑一个未启用日志的情况,并且AWS S3存储桶已被错误地公开。当监管机构询问企业谁访问了这些数据时,可能将无法回答,因为证据不存在。这可能会让企业面临巨额罚款或带来更多的后果。
标记和映射资产
内部部署事件响应最困难的部分之一是跟踪资产。这通常会阻碍响应者尝试优先考虑哪些计算机要保护或首先调查。
在云中,映射环境也比在内部部署网络中容易得多,可以在任何地方进行映射。证据收集也得到简化。使用云原生工具而不是第三方工具,可以在的家中/办公室捕获证据,而无需进入数据中心获取数据。但是,如果没有正确标记这些快照以帮助调查团队了解它们的场景,那么这些快照可能几乎毫无价值。
至少,云计算资源应标记有成本中心、负责人、相关服务以及这一云计算资源对服务的角色。如果没有这些信息,将浪费一些时间来尝试获取资源周围的场景。
例如,没有适当标记的卷快照很少提供调查所需的证据。对单个卷快照的调查可能很快成为对所有卷快照的审查,但将再次浪费时间。
建立响应者帐户
即使企业拥有所需的所有日志,其安全团队也可能无法访问它们。因此,需要在事件开始之前为其云计算环境创建响应者帐户。如果需要与外部供应商共享日志以获得第三方保证或支持,这些帐户将变得至关重要。
通过间接或只读的访问权限,这些响应者帐户可以访问日志和日志仪表板,并开始调查。这些帐户将无法对环境进行更改,并且需要与云计算管理员联系以直接修复威胁参与者。如果企业安全团队了解在云计算环境中更改策略和重置凭据的直接影响,那么对响应者帐户的直接访问可能是有意义的。
充分利用云计算的优势
传统的事件响应诞生于十多年前,当时操作系统的设计并未考虑到安全性。这要求调查人员依靠无意中留在系统中的证据。
使用云计算解决方案,那里有一个数据基线等待调查。例如,当检查AWS公司的泄露事件时,其调查几乎完全依赖于日志。在通常情况下,不会进行数字取证,其中涉及解析数字文件以找出数据泄露事件是如何发生的。这是因为与任何用户一样,威胁参与者在云计算环境中的行动受到限制。几乎所有的操作都在日志中。因此,调查依赖于相对完整且易于解析的数据源。
将云计算事件响应与内部部署事件响应进行比较,在这种情况下,证据可能不完整,并且格式各异,因此需要特定的解析工作,可能需要几天甚至几周的时间。
企业不可避免地会遭受网络攻击,通过事件响应做好准备节省的时间和资源将超过其本身的成本。没有采取这些步骤所带来的危害可能比任何事件持续得更久。