隨著業界持續向雲端遷移,安全實踐者不僅僅需要保護雲實現的安全,還需要在上線後能夠做出應急響應和取證。很多企業已經在以一種或者另外的格式使用雲,這取決於服務模型——基礎架構即服務,軟體即服務或者平台即服務——需要按需採用對應的應急響應和取證調查流程來支援雲計算服務。本文調研了實現雲應急響應和取證的注意點和好處。
雲應急響應:讓我們開始吧
遷移到某個雲服務**商的時候,需要做的第一件事情是評估企業當前擁有的東西,以及遷移到雲端將如何改變自己的應急響應和取證流程。在雲上執行這些流程是乙個全新的領域,需要在轉變開始之前就完整地理解所有東西。這樣過程中的核心因素是決定實現雲的所有系統的服務模型,以及資料會儲存在**。這有助於指導決策,如果企業已經知道資料儲存在**,那麼在事件發生時就能夠更快地處理整個流程。
另外,企業通常會減慢向雲端遷移的速度,並且仍然在本地資料中心保留乙個例項。使用這樣的混合架構時,企業需要更加小心,因為當前的應急響應和取證工具並非為雲而設計或者實現的。這會在網路上留下安全盲區,使得發現不了攻擊,並且沒有能力執行雲取證。比如,登入進雲系統是否就能夠獲得登入本地日誌管理儲存的能力?既然流量並沒有離開雲例項,那麼企業如何處理入侵防禦系統的檢查?如果不從這個角度徹底設計,那麼既處在雲端又鏈結到物理世界的架構可能就是危險的。
進行針對企業內已有應急響應/取證工具和流程是如何使用的,以及它們如何在雲端使用的差距分析至關重要。這決定了遷移到雲端是否會造成流程裡的限制,或者可能會有什麼改進。程序的所有改動需要基於以後將如何工作來決定。在這期間,需要進行對雲裡的應急響應和取證流程的csp角色和職責的審核,這樣企業能夠理解如何在雲上在合作模型下執行。
csp支援和資料管理
取決於服務模型,csp支援在流程裡扮演的角色有所不同,這點必須在遷移上雲之前了解清楚。csp支援團隊會成為應急響應團隊的重要且活躍的成員,並且需要知道如何在runbook裡工作。這些流程必須在遷移之前就制定出來,並且在整合階段進行測試,在雲端和本地都要進行驗證。企業從iaas服務模型裡得到的越多,**商通常需要負責的就越少;這對於應急響應和取證評估也是一樣的。必須理解每個部門負責什麼,以及在真正的事件發生時該如何處理。
執行應急響應和取證需要考慮到的另乙個因素是事件中如何收集並儲存資料。完成這些時,產銷監管鏈很重要,並且現在會包含乙個輔助流程的第三方工具。非常有可能系統會作為共享基礎架構的一部分來實現,之前也去所擁有的日誌源現在都不可用了。比如,如果針對某個託管在公有雲上的**發起拒絕服務攻擊,因為基於其他客戶的隱私考慮,很可能不會接受到netflow資料。即使在iaas模型裡,請求日誌時還不可用這樣的情況也會經常發生。只要有內建的共享基礎架構,那麼就有可能丟失日誌和可見性。
很多csp都在全面地提供擴充套件的安全產品或者功能,幫助雲上的安全服務盡可能得不出問題。如果整個基礎架構都是基於雲的,那麼本質上你需要按需管理所有在乙個**商裡的系統。可以凍結,停用鏈結,或者甚至為應急響應和取證所需而在安全地域隔離虛擬機器。
應急響應和取證:問題列表
當選擇提供很好的應急響應和取證框架的雲**商/應用程式時,可以檢視如下列表:
開放api使得企業可以直達csp產品,並且直接接入到企業已有的產品和服務裡。如果往雲上的遷移最終是混合狀態的話,這一點至關重要。
決定系統如何記錄日誌,以及會儲存哪些型別的日誌。產品不同時這一點會有所區別,但是csp是否能提供這樣的功能或者你是否需要雲上的日誌管理產品,或者需要傳送日誌的單獨的系統?
檢查csp和你的安全軟體如何是處理雲上的彈性的。當新系統出現,或者摧毀時,日誌,端點安全和網路安全如何處理?從應急響應和取證的角度來看,這些團隊都需要了解這些系統是如何遷移的,以及它們的軟體能否被部署。另外,還需要了解系統退役時,如何處理資料。
決定是否現有的安全服務也能夠在雲上實現。如何執行ips?大部分情況下,是在網路上完成的,但是現在在雲上,那麼很多情況下會在主機級別完成這件事情。在雲上是否有當前在本地使用的東西的虛擬副本?這一點在進行調查時很重要。
你的資料,系統,應用程式和日誌是否可能需要移動到別的國家?如果那個國家的隱私法規限制應急響應和取證團隊完成他們的工作的話,就有可能讓調查停滯不前。
提前審查csp,soc 2以及其他合規相關的文件。這會讓你充分了解csp是什麼,以及填補雲上的應急響應和取證流程還有哪些缺失的地方。
總結
進行應急響應和取證有很多好處;並不總是很難進行。企業在開始完全向雲上遷移時就能夠最大地體會到這些好處,但是要知道服務模型在這上面起著很大的作用。如果企業是從iaas角度進入雲世界的話,就需要首先從安全的角度調研csp能夠提供什麼。
自由響應和強迫響應和零輸入零狀態 脈衝響應
在昨天對熱風槍工作電壓與出口風溫度建立三階線性模型的時候,遇到乙個奇怪的問題 同樣的離散時間系統函式,在matlab中和python環境中對應的單位階躍響應結果居然不一樣!乙個是穩定的系統輸出,另乙個則是發散的系統輸出。使用matlab中的系統建模工具對熱風槍chirp激勵和輸出資料建立三階模型,並...
Linux應急響應
檢視登入歷史記錄 last aulast 檢視所有 戶的最後登入記錄 aulastlog 檢視命令歷史記錄 history cat bash history 檢視當前可登入的 戶列表 cat etc passwd grep v s grep e v sbin nologin bin sync sbi...
linux應急響應
linux常用命令 常見日誌的位置以及分析方法 熟悉常規黑客的攻擊手法 常規安全事件的處置思路根目錄下所有.jsp字尾檔案 find name jsp最近3天修改過的檔案 find type f mtime 3最近3天建立的檔案 find type f ctime 3grep nv root etc...