如果企業(yè)做好準備，云中的事件響應將很簡單

如果企業(yè)已經(jīng)將業(yè)務轉(zhuǎn)向云計算，AWS和Microsoft 365可以提供的靈活性和可擴展性服務將獲得額外的收益。云中的事件響應遠比內(nèi)部部署事件響應簡單。

但是有一個問題：需要執(zhí)行事件響應的所有工具都駐留在企業(yè)最喜歡的云計算提供商和SaaS產(chǎn)品的平臺中，因此需要進行一些初始設置，以便為災難事件做好準備。

集中日志記錄

云中的默認日志儀表板并不是為事件響應調(diào)查而構建的。這就是GCP Chronicle和Azure Sentinel等SIEM解決方案存在于每個主要云平臺上的原因。這些解決方案增強了可以使云中的事件響應變得簡單的原生功能，其前提是這些功能被啟用。

利用云的內(nèi)置事件，首先要集中所有日志記錄。

在通常情況下，可以記錄兩種操作：

·“讀取”操作無需修改即可揭示有關云計算環(huán)境及其組件的信息。

·“寫入”操作對環(huán)境進行更改，例如創(chuàng)建新帳戶、添加新用戶和部署服務。

記錄修改云計算帳戶的“寫入”操作對于檢測至關重要。但對于事件調(diào)查來說，這還不夠。徹底的事件響應需要能夠查看威脅參與者采取的全部行動范圍，其中包括“讀取”和“寫入”事件。

設置完全集中的日志記錄至關重要，維護也是如此。這需要檢查數(shù)據(jù)的健康狀況和覆蓋范圍。

人們經(jīng)常發(fā)現(xiàn)在中央日志記錄解決方案中限制日志記錄以降低成本。與此同時，客戶團隊可能會假設擁有一套完整的日志，因為隨著企業(yè)的一些員工離職而失去了對這些限制的了解。如果企業(yè)面臨與成本相關的問題，建議實施將篩選出的日志存儲在冷存儲中的程序，以便在需要時將其引入集中式日志記錄解決方案。

不能指望云計算提供商

幾乎所有云計算提供商都允許用戶使用其默認日志門戶從特定時間跨度下載操作。但研究發(fā)現(xiàn)，這些云計算提供商的門戶雖然不斷更新，但在較長時間內(nèi)對下載的完整性存在限制。在下載之后，必須以某種方式處理日志以進行分析，如果正在響應活動事件，這可能會造成重大障礙。

此外，大多數(shù)云計算日志門戶都對按需下載進行了限制，以保護所有客戶端的日志服務的整體可用性。如果企業(yè)有一個相當大的云計算環(huán)境，這可能是一個大問題。

在最好的情況下，缺少集中式日志會落后一個小時，而這一個小時可能對企業(yè)的響應至關重要。這就是為什么所有云服務仍然需要集中日志記錄的原因。

默認日志記錄是不夠的

在通常情況下，企業(yè)在云帳戶之上使用的服務是將遭受網(wǎng)絡事件影響最大的地方。不幸的是，這些服務中很少有默認情況下啟用日志記錄。

還應特別考慮云中使用的服務的日志記錄。這可能需要定義簡單的配置，這需要一些時間。但是，未能在這些服務上設置日志記錄的成本可能很高。

考慮一個未啟用日志的情況，并且AWS S3存儲桶已被錯誤地公開。當監(jiān)管機構詢問企業(yè)誰訪問了這些數(shù)據(jù)時，可能將無法回答，因為證據(jù)不存在。這可能會讓企業(yè)面臨巨額罰款或帶來更多的后果。

標記和映射資產(chǎn)

內(nèi)部部署事件響應最困難的部分之一是跟蹤資產(chǎn)。這通常會阻礙響應者嘗試優(yōu)先考慮哪些計算機要保護或首先調(diào)查。

在云中，映射環(huán)境也比在內(nèi)部部署網(wǎng)絡中容易得多，可以在任何地方進行映射。證據(jù)收集也得到簡化。使用云原生工具而不是第三方工具，可以在的家中/辦公室捕獲證據(jù)，而無需進入數(shù)據(jù)中心獲取數(shù)據(jù)。但是，如果沒有正確標記這些快照以幫助調(diào)查團隊了解它們的場景，那么這些快照可能幾乎毫無價值。

至少，云計算資源應標記有成本中心、負責人、相關服務以及這一云計算資源對服務的角色。如果沒有這些信息，將浪費一些時間來嘗試獲取資源周圍的場景。

例如，沒有適當標記的卷快照很少提供調(diào)查所需的證據(jù)。對單個卷快照的調(diào)查可能很快成為對所有卷快照的審查，但將再次浪費時間。

建立響應者帳戶

即使企業(yè)擁有所需的所有日志，其安全團隊也可能無法訪問它們。因此，需要在事件開始之前為其云計算環(huán)境創(chuàng)建響應者帳戶。如果需要與外部供應商共享日志以獲得第三方保證或支持，這些帳戶將變得至關重要。

通過間接或只讀的訪問權限，這些響應者帳戶可以訪問日志和日志儀表板，并開始調(diào)查。這些帳戶將無法對環(huán)境進行更改，并且需要與云計算管理員聯(lián)系以直接修復威脅參與者。如果企業(yè)安全團隊了解在云計算環(huán)境中更改策略和重置憑據(jù)的直接影響，那么對響應者帳戶的直接訪問可能是有意義的。

充分利用云計算的優(yōu)勢

傳統(tǒng)的事件響應誕生于十多年前，當時操作系統(tǒng)的設計并未考慮到安全性。這要求調(diào)查人員依靠無意中留在系統(tǒng)中的證據(jù)。

使用云計算解決方案，那里有一個數(shù)據(jù)基線等待調(diào)查。例如，當檢查AWS公司的泄露事件時，其調(diào)查幾乎完全依賴于日志。在通常情況下，不會進行數(shù)字取證，其中涉及解析數(shù)字文件以找出數(shù)據(jù)泄露事件是如何發(fā)生的。這是因為與任何用戶一樣，威脅參與者在云計算環(huán)境中的行動受到限制。幾乎所有的操作都在日志中。因此，調(diào)查依賴于相對完整且易于解析的數(shù)據(jù)源。

將云計算事件響應與內(nèi)部部署事件響應進行比較，在這種情況下，證據(jù)可能不完整，并且格式各異，因此需要特定的解析工作，可能需要幾天甚至幾周的時間。

企業(yè)不可避免地會遭受網(wǎng)絡攻擊，通過事件響應做好準備節(jié)省的時間和資源將超過其本身的成本。沒有采取這些步驟所帶來的危害可能比任何事件持續(xù)得更久。