RSAC2019观察：在高效和安全中找到Incident Response新的平衡点

IR（Incident Response）正在变化

企业级的安全市场，除了传统的服务器、工作站、设备之外，越来越多的云、IoT、移动设备也快速纳入到企业安全环境中，企业需要面对更多的服务提供者、设备厂商以及服务和产品的分散化，安全问题无法像过去一样被封闭在可控的范围内，越来越多的薄弱环节变得更加易受攻击，这种变化在Hybrid环境下尤其突出。

什么是Hybrid？Hybrid的定义是On-premise加cloud，即企业IT环境的设备加云环境协同满足业务需要。

列举几点来说明Hybrid后的IR策略变化：

1. 传统的IT环境变化慢、相对比较稳定；Hybrid环境下，cloud中也会有部署的传统设备，在云环境中的IR需要更快的响应。

2. 传统的日志上报路径是SIEM到SOC再到IR；Hybrid环境下，会有更多外部的日志出现，对这些日志的可靠性和可用性都是不小的挑战。

3. 传统环境的OT（Operational Technology）在防火墙后端；Hybrid环境下，OT和IT的界限模糊了，二者之间的互动连接方式也越来越多样化。

4. Hybrid环境中的技术支持团队需要更加贴近云产品开发团队。

Hybrid在更加高效的同时，也给IR带来了更多的安全风险，传统的IT IR经验不能被直接复制到Hybrid环境中。高效和安全，不可兼得，企业需要找到适合自己的平衡点。Hybrid的新风险主要是以下几个方面：

1. 需要同更多的设备提供商打交道。

2. OT连接增加的同时，也增加了被攻击的风险。

3. OT环境中的专业系统越来越多，但却缺乏相关的专家。

4. 云环境的变化很快，平台和服务都可能快速变化，无法确保及时了解各种系统、服务的最新状态。

5. 缺乏统一的云服务维护模式和工具。

Hybrid对IR的挑战

传统安全设备同云环境的协同，需要针对不同的云环境进行适配，安全能力由传统的依赖硬件平台变成同云环境紧密相关，处理IR的技术支持团队或者运营团队需要同开发团队进行更加紧密的配合，这对双方都是很大的挑战。

黑产团体也越来越多的关注云安全漏洞，缺乏完善安全保护的云环境更容易受到安全威胁。

云安全威胁主要来自几个方面：

1. API滥用

2. 可用性攻击，比如DDoS

3. 缺乏身份控制

4. 云策略和配置采用默认方式，未进行优化

5. 资产暴露

拿API滥用来说，API的开发者主要考虑效率和功能，很少考虑安全，很少有API开发者会考虑当同一个API被多次恶意调用会发生什么，当面临API DoS的时候往往束手无策。很多API的调用未对order number的唯一性做出限制，也未对APP进行身份识别，所以数据可能通过API被泄露出去。

云环境的变化是极快的，传统可以靠人工处理的IR，在云环境中大部分需要通过自动化的IR来解决，否则从人工看到告警到开始响应，这个告警可能都已经失效了。典型的如针对游戏网站的DoS攻击，当本地抗D设备被打爆、需要云清洗的时候，如果云清洗的响应是几十分钟乃至小时级，游戏用户早就离开了，云清洗需要做到分钟级甚至是秒级响应。

如何应对IR的挑战

想要提高IR的效率同时保障新的Hybrid SLA（Service Level Agreement），云环境中关键的IR改进措施如下。

1. 进行接入控制

云环境中的IR关联角色包括on-premise技术支持团队、云技术支持团队、运营服务团队，开发团队、合作方团队，这些团队的接入权限要有明确的区分，接入的范围要有明确的边界。

2. 量化动态资源

量化云资源的安全策略，包括技术。这些安全策略应该从可视化的角度来设计，是否可视以及是否采用这些策略都是可以选择的。

3. 及时更新TTP（Tactics, Techniques and Procedures ）

TTP包括SOP、SLA和工具等等，人员的重要性应该放在IR前面，经验丰富的人员可以通过最佳实践来将流程由人工变成自动化。

4. DevOps集成的SOP和自动化

云环境中的设备、应用的部署需要有清晰的pipeline，并且要不断提高工具的自动化和智能化。

5. 持续改进

云用户的业务不断变化，也需要云服务和应用的开发不断改进。

IR的能力是运营能力的展示，需要强大的解决方案Hybrid能力、技术能力、标准化能力、开发能力以及人员培养体系、标准化体系和持续改进体系共同支撑，方能应对安全业务乃至客户业务不断变化带来的挑战。IR的核心能力是快，没有这个核心能力，其他也都无用武之地。正所谓皮之不存，毛将焉附。

绿盟科技基于国际市场日益增多的Hybrid安全服务的需求，提出了“Cloud In a Box”的云地端到端的解决方案。基于这套方案云清洗的IR可达到秒级，安全团队的干预和处置能达到分钟级的要求。

“Cloud In a Box”的方案在近日喜提硅谷通信《信息安全产品指南》颁发的“2019年全球卓越奖”。硅谷通信作为国际知名信息安全研究和咨询指导机构，其发布的《信息安全产品指南》在帮助终端用户了解可选解决方案、保护其数字资源安全方面具有权威的指导作用。

参考资料：

《Incident Response beyond Enterprise IT》, Jason Escaravage/Phil Hamill, Booz Allen Hamilton, 2019 RSA Conference

《Designing for API Doomsday》,Josh Shaul, Akamai Technologies, 2019 RSA Conference

作者简介：

石丰 - 绿盟科技副总裁

王为 - 绿盟科技国际支持经理

声明：本文来自工业互联网安全应急响应中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。