云采用已勢不可擋,但層出不窮的安全事件也將一個重要問題置于每個CIO和安全部門面前——在更開放的云服務(wù)上,威脅事件也在指數(shù)級增加,如何構(gòu)建最有效的風(fēng)險檢測技術(shù)?
導(dǎo)論
安全廠商的答案是云安全解決方案——整合了基于數(shù)據(jù)的新一代安全技術(shù)如機器學(xué)習(xí)、威脅情報、情境分析等,核心是幫助企業(yè)有效提高威脅檢測精準(zhǔn)率(集中降低誤報率),從而全面提升安全水準(zhǔn)。無論是接受第三方服務(wù)商,還是自我升級,企業(yè)都需要對云安全基本策略有基本理解。
在啟動令人頭暈的復(fù)雜云安全體系之前,首先需要確定哪些數(shù)據(jù)需要監(jiān)控。記住,威脅邊界在云工作單元中是動態(tài)的,所以全部活動源都需要監(jiān)控,包括配置、APIs、終端用戶、管理員特權(quán)用戶、聯(lián)合用戶、服務(wù)賬戶及事務(wù)類型等等。
其次需要理解情境的重要性,因為這是理解威脅嚴(yán)重程度以及判斷特定活動和用戶行為是否異常的唯一途徑。一個商業(yè)用戶下班后執(zhí)行了一個大規(guī)模對象刪除命令、一個兼職合同工在不同云應(yīng)用上執(zhí)行了管理員操作、一個工程師從未知地址拷貝了源代碼等,這些都是情境信息的簡單示例。
全面監(jiān)控和用戶行為分析并結(jié)合情境進(jìn)行分析,企業(yè)才能判斷云服務(wù)的安全狀態(tài),在開始構(gòu)建云安全體系前需考慮如下6個基本策略。
1. 威脅分析及檢測架構(gòu)
云安全系統(tǒng)的起點是威脅檢測和分析,用于收集上述提及的全部源數(shù)據(jù),并對早期線索進(jìn)行處理,其中分析部分應(yīng)利用機器學(xué)習(xí)技術(shù)輸出確定的異常事件。有監(jiān)督學(xué)習(xí)和無監(jiān)督學(xué)習(xí)技術(shù)都應(yīng)該被使用。
2. 安全配置
安全服務(wù)狀況部分取決于安全配置的嚴(yán)密程度,一個薄弱的安全配置會為惡意用戶敞開大門,導(dǎo)致的風(fēng)險包括管理用戶密碼較弱、服務(wù)器連接限制寬松、允許匿名用戶訪問敏感內(nèi)容等,嚴(yán)密的安全配置和持續(xù)監(jiān)控其修改是很重要的。
3. 情境數(shù)據(jù)源
一個特定的風(fēng)險事件應(yīng)該置于當(dāng)前情境之下進(jìn)行分析。如果沒有情境信息,就會出現(xiàn)很高的誤報率。例如,分析用戶異常行為只有用戶登錄活動目錄的數(shù)據(jù)是不夠的,為提升準(zhǔn)確率,登錄會話中,用戶登錄行為必須關(guān)聯(lián)其它屬性:事務(wù)類型、事務(wù)敏感程度、用戶角色等,情境數(shù)據(jù)可以幫助威脅檢測更加準(zhǔn)確。
4. 用戶行為分析
以用戶為中心的行為分析系統(tǒng)中應(yīng)覆蓋特權(quán)用戶和終端用戶,高權(quán)限用戶和連接著多個云服務(wù)的終端用戶一樣,都具有高風(fēng)險性,都需要加入觀察列表持續(xù)監(jiān)控其行為,包括密碼強度、認(rèn)證策略、敏感權(quán)限等。
5. 有監(jiān)督和無監(jiān)督機器學(xué)習(xí)技術(shù)
機器學(xué)習(xí)技術(shù)用于定義基線和檢測異常。具體方法需結(jié)合使用有監(jiān)督和無監(jiān)督模型去改進(jìn)準(zhǔn)確率和減少誤報率。很多實施方法只用了其中一種,結(jié)果誤報率很高,可擴展性也很差。
要改進(jìn)威脅檢測的準(zhǔn)確率和擴展性,可使用無監(jiān)督學(xué)習(xí)去為用戶正常行為建模,通過統(tǒng)計及概率混合模型來驗證用戶正常行為,并篩選出高風(fēng)險用戶的異常行為。有監(jiān)督模型需從安全專家中獲得提示,并基于這些提示,來構(gòu)建基準(zhǔn)數(shù)據(jù)集來訓(xùn)練、驗證和測試模型成熟度。
6. 威脅情報源
與安全社區(qū)以及商業(yè)威脅情報源實時合作,可加大在事件早期發(fā)現(xiàn)黑客攻擊的成功率。例如,如果某外部情報為企業(yè)提供了一個黑名單網(wǎng)絡(luò)信息,當(dāng)黑客通過該黑名單IP地址中選擇感染用戶來入侵應(yīng)用時,就會被迅速檢測定位。
隨著企業(yè)云遷移加速,廣泛利用前沿安全技術(shù)包括機器學(xué)習(xí)、威脅情報、預(yù)測分析及情境感知等,可以將威脅檢測響應(yīng)提升到一個全新的高度。