如何實施多云威脅搜尋策略

常莽

如今很多企業(yè)的業(yè)務(wù)都在云中運行，然而隨著多云變得越來越普遍，確保多個云平臺之間的安全變得更具挑戰(zhàn)性，其中包括云計算提供商之間不同的安全模型和機制，缺乏跨環(huán)境的無縫可見性和不統(tǒng)一的工具集。

威脅搜尋在云計算環(huán)境中的重要性

首先從定義威脅搜尋及其在單云和多云部署中提供的價值開始。威脅搜尋采用情報驅(qū)動的分析來確定網(wǎng)絡(luò)攻擊者是否以及在何處獲得了對其資源的訪問權(quán)限。但簡而言之，就是威脅追蹤涉及基于已知的對手交易技術(shù)提出假設(shè)，即網(wǎng)絡(luò)攻擊者可能已經(jīng)獲得了對其運營環(huán)境的訪問權(quán)限，然后制定測試條件來證明或反駁這些假設(shè)看法。

威脅搜尋很重要，因為經(jīng)驗豐富的網(wǎng)絡(luò)攻擊者可以逃避檢測并繞過警報。通過對網(wǎng)絡(luò)攻擊者入侵的跡象保持警惕，企業(yè)可以提高檢測這些對手的能力，理想情況下，在可攻擊者采取行動之前將其破壞。

相同的原則適用于云環(huán)境，不同之處在于企業(yè)如何獲取和分析進(jìn)入流程的信息以及可用于響應(yīng)的工具。

云的威脅搜尋有3個基本規(guī)則：僅僅因為企業(yè)的業(yè)務(wù)在云中運營并不意味著網(wǎng)絡(luò)攻擊者會停止攻擊活動；了解對手的目標(biāo)以及他們?yōu)閷崿F(xiàn)這些目標(biāo)而使用的手段對企業(yè)的防御策略很有益；跨所有層的可見性，即使是那些運營管理位于共享責(zé)任模型的云服務(wù)提供商（CSP）一側(cè)的層，也可以幫助企業(yè)更好地了解對手或他們使用的方法。

多云使事情變得更加復(fù)雜

從邏輯上講，云計算使威脅搜尋更加復(fù)雜。隨著企業(yè)從物理基礎(chǔ)設(shè)施或內(nèi)部部署環(huán)境遷移到云環(huán)境，由于合規(guī)性和配置透明度、遠(yuǎn)程數(shù)據(jù)源和基礎(chǔ)設(shè)施、核心安全功能和API數(shù)量等方面的困難，威脅識別將更具挑戰(zhàn)性。

行業(yè)專家表示，分析人員在云中尋找威脅時需要更多信息和培訓(xùn)。這是因為他們必須了解和使用工具集、安全模型、架構(gòu)、技術(shù)堆棧和其他元素，這些元素不僅由他們自己的組織部署，還會由云計算服務(wù)供應(yīng)商、云計算供應(yīng)商和其他提供商部署。

多云威脅搜尋進(jìn)一步加大了賭注，這意味著更多的工具、更多的概念、更多的API和更多的數(shù)據(jù)源，還必須考慮跨環(huán)境分析和數(shù)據(jù)關(guān)聯(lián)。例如，考慮本地用戶、PaaS中的應(yīng)用程序前端和IaaS虛擬機中的后端API之間的三向?qū)υ挕４_定在該對話中提出的請求是否合法，因為可能涉及跨每個環(huán)境的各種日志存儲庫和不同的監(jiān)控工具。

將威脅搜尋擴展到多云

如果企業(yè)想要推出多云威脅搜尋，首先要考慮可以建立哪些實踐來實現(xiàn)這一目標(biāo)，最終制定出對企業(yè)來說是獨一無二的戰(zhàn)略。這取決于企業(yè)的云使用情況、威脅搜尋能力和方法以及其業(yè)務(wù)需求，雖然沒有一刀切的方法，但可以采取一些基本步驟來開始。

首先，規(guī)范在多個環(huán)境（包括云計算供應(yīng)商和內(nèi)部部署設(shè)施）之間流動的數(shù)據(jù)和事件信息。這已經(jīng)是多云的一個已知問題，例如，考慮到網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的基本支柱包括安全分析和智能，以及整合的儀表板。了解跨環(huán)境的事件是多云安全管理、運營、事件響應(yīng)的核心組成部分，并且出于企業(yè)的目的———威脅搜尋。為此，必須了解正在使用的云環(huán)境和服務(wù)，了解所采用的安全模型，并確認(rèn)可以并且正在從每個位置收集正確的數(shù)據(jù)。

其次，解決系統(tǒng)威脅建模問題。考慮一個跨越多個云環(huán)境的應(yīng)用程序，企業(yè)需要知道威脅何時成為優(yōu)先事項，以及如何或者在何處來收集需要的信息？威脅建模可以提供幫助。通過從網(wǎng)絡(luò)攻擊者的角度查看應(yīng)用程序提出假設(shè)，以衡量網(wǎng)絡(luò)攻擊者更有可能在何處以及如何進(jìn)行攻擊。通過擴展，企業(yè)可以優(yōu)先考慮這些領(lǐng)域以進(jìn)一步探索，可以幫助企業(yè)了解要從哪個環(huán)境中收集哪些數(shù)據(jù)，并幫助其制定要測試的假設(shè)，以確定環(huán)境中是否存在網(wǎng)絡(luò)攻擊。

最后是教育和實現(xiàn)。企業(yè)了解在不同環(huán)境中部署的內(nèi)容（例如構(gòu)建可靠和系統(tǒng)的庫存），并了解組件如何組合在一起，正在使用哪些本地服務(wù)以及使用的服務(wù)如何與更大、更全面的敘述聯(lián)系起來。這聽起來可能很簡單，但只有少數(shù)超過一定規(guī)模的企業(yè)才能有效、準(zhǔn)確和完整地做到這一點。