如何实施多云威胁搜寻策略

如何实施多云威胁搜寻策略-51CTO.COM

​企业采用更多的云计算服务意味着具有更大的网络攻击面。它还使企业如何准确地寻找潜在威胁变得复杂。但是有一些措施可以降低风险。

如今很多企业的业务都在运行在云中。事实上，大多数都是中大型企业。然而，随着多云变得越来越普遍，确保多个云平台之间的安全变得更具挑战性。

这有几个原因，其中包括云计算提供商之间不同的安全模型和机制，缺乏跨环境的无缝可见性和不统一的工具集。

好消息是，意识到这些后勤挑战对于围绕它们进行规划有很长的路要走。做到这一点的最佳方法之一是部署全面的多云威胁搜寻策略。

以下了解一些基于云的威胁搜寻用例，以及多云威胁搜寻引入的一些后勤和其他复杂性，以及如何应对这些挑战。

为什么威胁搜寻在云计算环境中很重要？

首先从定义威胁搜寻及其在单云和多云部署中提供的价值开始。

威胁搜寻采用情报驱动的分析来确定网络攻击者是否以及在何处已经获得了对其资源的访问权限。虽然这种描述过于简单化，但简而言之，威胁追踪涉及基于已知的对手交易技术提出假设，即网络攻击者可能已经获得了对其运营环境的访问权限，然后制定测试条件来证明或反驳这些假设看法。

威胁搜寻很重要，因为经验丰富的网络攻击者可以逃避检测并绕过警报。通过对网络攻击者可能已经在其网络中入侵的迹象保持警惕，企业可以提高检测这些对手的能力，在理想情况下，在他们能够按照预期目标采取行动之前将其破坏。

相同的原则适用于云环境。不同之处在于企业如何获取和分析进入流程的信息以及可用于响应的工具。

基于云的威胁搜寻基于三个基本规则：

• 仅仅因为企业的业务在云中运营并不意味着网络攻击者停止攻击活动。
• 了解对手的目标以及他们为实现这些目标而使用的交易手段对企业的防御策略是有益的。
• 而跨所有层的可见性，即使是那些运营管理位于共享责任模型的云服务提供商(CSP)一侧的层，也可以帮助企业更好地了解对手或他们的方法。

多云使事情变得更加复杂

从逻辑上讲，云计算使威胁搜寻更加复杂。随着企业从物理基础设施/内部部署环境迁移到云环境，由于合规性和配置透明度、远程数据源和基础设施、核心安全功能和API数量等方面的困难，威胁识别将更具挑战性。简而言之，随着网络攻击面的扩大，威胁追踪需要更多的关注。

行业专家表示，分析人员在云中寻找威胁时需要更多信息和培训。这是因为他们必须了解和使用工具集、安全模型、架构、技术堆栈和其他元素，这些元素不仅由他们自己的组织部署，而且由他们的云计算服务供应商、云计算供应商和其他提供商部署。

多云威胁搜寻进一步加大了赌注。这意味着更多的工具、更多的概念、更多的API和更多的数据源。还必须考虑跨环境分析和数据关联。例如，考虑本地用户、PaaS中的应用程序前端和IaaS虚拟机中的后端API之间的三向对话。确定在该对话中提出的请求是否合法可能涉及跨每个环境的各种日志存储库和不同的监控工具。

将威胁搜寻扩展到多云

如果企业想要推出多云威胁搜寻，首先，询问可以建立哪些实践来实现这一目标。最终，制定战略对企业来说是独一无二的。这取决于企业的云使用情况、企业的威胁搜寻能力和方法以及其业务需求。虽然没有一刀切的方法，但可以采取一些基本步骤来开始。

首先，规范在多个环境（包括云计算供应商和内部部署设施）之间流动的数据和事件信息。这已经是多云的一个已知问题；例如，考虑到网络安全网格架构的基本支柱包括安全分析和智能，以及整合的仪表板。

了解跨环境的事件是多云安全管理、运营、事件响应的核心组成部分，并且出于企业的目的——威胁搜寻。为此，必须了解正在使用的云环境和服务，了解所采用的安全模型，并确认可以并且正在从每个位置收集正确的数据。

其次，解决系统威胁建模问题。考虑一个跨越多个云环境的应用程序。企业如何知道威胁何时成为优先事项以及如何以及在何处应用资源来收集需要的信息？威胁建模可以提供帮助。通过从网络攻击者的角度查看应用程序，可以开始提出假设，以衡量网络攻击者更有可能在何处以及如何进行攻击。通过扩展，企业可以优先考虑这些领域以进行进一步探索。这可以帮助企业了解要从每个环境中收集哪些数据，并帮助其制定要测试的假设以确定环境中是否存在网络攻击者。

最后是教育和实现。企业了解在不同环境中部署的内容（例如构建可靠和系统的库存），并了解组件如何组合在一起、正在使用哪些本地服务以及企业使用的服务如何与更大、更全面的叙述联系起来，这听起来可能很简单，但只有少数超过一定规模的企业才能可靠、准确和完整地做到这一点。

就像所有与安全相关的事情一样，企业通过了解使用情况、了解安全和业务目标以及进行必要的思考和规划来进行多云威胁搜寻。威胁搜寻可以而且应该在企业的云安全策略（多云或其他）中扮演与内部部署运营环境相同的角色。​