IR(Incident Response)正在变化

企业级的安全市场,除了传统的服务器、工作站、设备之外,越来越多的云、IoT、移动设备也快速纳入到企业安全环境中,企业需要面对更多的服务提供者、设备厂商以及服务和产品的分散化,安全问题无法像过去一样被封闭在可控的范围内,越来越多的薄弱环节变得更加易受攻击,这种变化在Hybrid环境下尤其突出。

什么是Hybrid?Hybrid的定义是On-premise加cloud,即企业IT环境的设备加云环境协同满足业务需要。

列举几点来说明Hybrid后的IR策略变化:

1. 传统的IT环境变化慢、相对比较稳定;Hybrid环境下,cloud中也会有部署的传统设备,在云环境中的IR需要更快的响应。

2. 传统的日志上报路径是SIEM到SOC再到IR;Hybrid环境下,会有更多外部的日志出现,对这些日志的可靠性和可用性都是不小的挑战。

3. 传统环境的OT(Operational Technology)在防火墙后端;Hybrid环境下,OT和IT的界限模糊了,二者之间的互动连接方式也越来越多样化。

4. Hybrid环境中的技术支持团队需要更加贴近云产品开发团队。

Hybrid在更加高效的同时,也给IR带来了更多的安全风险,传统的IT IR经验不能被直接复制到Hybrid环境中。高效和安全,不可兼得,企业需要找到适合自己的平衡点。Hybrid的新风险主要是以下几个方面:

1. 需要同更多的设备提供商打交道。

2. OT连接增加的同时,也增加了被攻击的风险。

3. OT环境中的专业系统越来越多,但却缺乏相关的专家。

4. 云环境的变化很快,平台和服务都可能快速变化,无法确保及时了解各种系统、服务的最新状态。

5. 缺乏统一的云服务维护模式和工具。

Hybrid对IR的挑战

传统安全设备同云环境的协同,需要针对不同的云环境进行适配,安全能力由传统的依赖硬件平台变成同云环境紧密相关,处理IR的技术支持团队或者运营团队需要同开发团队进行更加紧密的配合,这对双方都是很大的挑战。

黑产团体也越来越多的关注云安全漏洞,缺乏完善安全保护的云环境更容易受到安全威胁。

云安全威胁主要来自几个方面:

1. API滥用

2. 可用性攻击,比如DDoS

3. 缺乏身份控制

4. 云策略和配置采用默认方式,未进行优化

5. 资产暴露

拿API滥用来说,API的开发者主要考虑效率和功能,很少考虑安全,很少有API开发者会考虑当同一个API被多次恶意调用会发生什么,当面临API DoS的时候往往束手无策。很多API的调用未对order number的唯一性做出限制,也未对APP进行身份识别,所以数据可能通过API被泄露出去。

云环境的变化是极快的,传统可以靠人工处理的IR,在云环境中大部分需要通过自动化的IR来解决,否则从人工看到告警到开始响应,这个告警可能都已经失效了。典型的如针对游戏网站的DoS攻击,当本地抗D设备被打爆、需要云清洗的时候,如果云清洗的响应是几十分钟乃至小时级,游戏用户早就离开了,云清洗需要做到分钟级甚至是秒级响应。

如何应对IR的挑战

想要提高IR的效率同时保障新的Hybrid SLA(Service Level Agreement),云环境中关键的IR改进措施如下。

1. 进行接入控制

云环境中的IR关联角色包括on-premise技术支持团队、云技术支持团队、运营服务团队,开发团队、合作方团队,这些团队的接入权限要有明确的区分,接入的范围要有明确的边界。

2. 量化动态资源

量化云资源的安全策略,包括技术。这些安全策略应该从可视化的角度来设计,是否可视以及是否采用这些策略都是可以选择的。

3. 及时更新TTP(Tactics, Techniques and Procedures )

TTP包括SOP、SLA和工具等等,人员的重要性应该放在IR前面,经验丰富的人员可以通过最佳实践来将流程由人工变成自动化。

4. DevOps集成的SOP和自动化

云环境中的设备、应用的部署需要有清晰的pipeline,并且要不断提高工具的自动化和智能化。

5. 持续改进

云用户的业务不断变化,也需要云服务和应用的开发不断改进。

IR的能力是运营能力的展示,需要强大的解决方案Hybrid能力、技术能力、标准化能力、开发能力以及人员培养体系、标准化体系和持续改进体系共同支撑,方能应对安全业务乃至客户业务不断变化带来的挑战。IR的核心能力是快,没有这个核心能力,其他也都无用武之地。正所谓皮之不存,毛将焉附。

绿盟科技基于国际市场日益增多的Hybrid安全服务的需求,提出了“Cloud In a Box”的云地端到端的解决方案。基于这套方案云清洗的IR可达到秒级,安全团队的干预和处置能达到分钟级的要求。

“Cloud In a Box”的方案在近日喜提硅谷通信《信息安全产品指南》颁发的“2019年全球卓越奖”。硅谷通信作为国际知名信息安全研究和咨询指导机构,其发布的《信息安全产品指南》在帮助终端用户了解可选解决方案、保护其数字资源安全方面具有权威的指导作用。

参考资料:

《Incident Response beyond Enterprise IT》, Jason Escaravage/Phil Hamill, Booz Allen Hamilton, 2019 RSA Conference

《Designing for API Doomsday》,Josh Shaul, Akamai Technologies, 2019 RSA Conference

作者简介:

石丰 - 绿盟科技副总裁

王为 - 绿盟科技国际支持经理

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。