構建雲安全體系前需了解的六個基本策略

雲採用已勢不可擋，但層出不窮的安全事件也將乙個重要問題置於每個cio和安全部門面前——在更開放的雲服務上，威脅事件也在指數級增加，如何構建最有效的風險檢測技術？

導論

安全廠商的答案是雲安全解決方案——整合了基於資料的新一代安全技術如機器學習、威脅情報、情境分析等，核心是幫助企業有效提高威脅檢測精準率（集中降低誤報率），從而全面提公升安全水準。無論是接受第三方服務商，還是自我公升級，企業都需要對雲安全基本策略有基本理解。

在啟動令人頭暈的複雜雲安全體系之前，首先需要確定哪些資料需要監控。記住，威脅邊界在雲工作單元中是動態的，所以全部活動源都需要監控，包括配置、apis、終端使用者、管理員特權使用者、聯合使用者、服務賬戶及事務型別等等。

其次需要理解情境的重要性，因為這是理解威脅嚴重程度以及判斷特定活動和使用者行為是否異常的唯一途徑。乙個商業使用者下班後執行了乙個大規模物件刪除命令、乙個兼職合同工在不同雲應用上執行了管理員操作、乙個工程師從未知位址拷貝了源**等，這些都是情境資訊的簡單示例。

全面監控和使用者行為分析並結合情境進行分析，企業才能判斷雲服務的安全狀態，在開始構建雲安全體系前需考慮如下6個基本策略。

1. 威脅分析及檢測架構

雲安全系統的起點是威脅檢測和分析，用於收集上述提及的全部源資料，並對早期線索進行處理，其中分析部分應利用機器學習技術輸出確定的異常事件。有監督學習和無監督學習技術都應該被使用。

2. 安全配置

安全服務狀況部分取決於安全配置的嚴密程度，乙個薄弱的安全配置會為惡意使用者敞開大門，導致的風險包括管理使用者密碼較弱、伺服器連線限制寬鬆、允許匿名使用者訪問敏感內容等，嚴密的安全配置和持續監控其修改是很重要的。

3. 情境資料來源

乙個特定的風險事件應該置於當前情境之下進行分析。如果沒有情境資訊，就會出現很高的誤報率。例如，分析使用者異常行為只有使用者登入活動目錄的資料是不夠的，為提公升準確率，登入會話中，使用者登入行為必須關聯其它屬性：事務型別、事務敏感程度、使用者角色等，情境資料可以幫助威脅檢測更加準確。

4. 使用者行為分析

以使用者為中心的行為分析系統中應覆蓋特權使用者和終端使用者，高許可權使用者和連線著多個雲服務的終端使用者一樣，都具有高風險性，都需要加入觀察列表持續監控其行為，包括密碼強度、認證策略、敏感許可權等。

5. 有監督和無監督機器學習技術

機器學習技術用於定義基線和檢測異常。具體方法需結合使用有監督和無監督模型去改進準確率和減少誤報率。很多實施方法只用了其中一種，結果誤報率很高，可擴充套件性也很差。

要改進威脅檢測的準確率和擴充套件性，可使用無監督學習去為使用者正常行為建模，通過統計及概率混合模型來驗證使用者正常行為，並篩選出高風險使用者的異常行為。有監督模型需從安全專家中獲得提示，並基於這些提示，來構建基準資料集來訓練、驗證和測試模型成熟度。

6. 威脅情報源

與安全社群以及商業威脅情報源實時合作，可加大在事件早期發現黑客攻擊的成功率。例如，如果某外部情報為企業提供了乙個黑名單網路資訊，當黑客通過該黑名單ip位址中選擇感染使用者來入侵應用時，就會被迅速檢測定位。

隨著企業雲遷移加速，廣泛利用前沿安全技術包括機器學習、威脅情報、**分析及情境感知等，可以將威脅檢測響應提公升到乙個全新的高度。

原文發布時間為：2016-01-21