雲端資安事件應變團隊建立與計畫

17 分鐘閱讀

在雲端原生架構下,安全防護和事件應變機制已成為企業營運的根本。面對日益複雜的網路攻擊,建立一個具備跨領域專業技能的資安事件應變團隊至關重要。除了技術能力,團隊成員也需具備良好的溝通和協作能力,才能在高壓環境下有效運作。同時,制定一個完善的應變計畫,涵蓋事件分類別、嚴重程度分級、應對和資源調配,才能確保在事件發生時迅速有效地做出反應,並將損失降至最低。除了預先規劃,定期演練和持續改進應變計畫也同樣重要,才能確保團隊隨時做好準備,應對各種突發狀況。

雲端資安事件應變團隊的建立與計畫

在雲端運算環境中,資安事件的應變處理至關重要。建立有效的資安事件應變團隊和計畫,可以幫助企業快速應對和還原因資安事件造成的損害。

資安事件應變團隊的組成

資安事件應變團隊的成員應該具備多樣化的技能,包括技術、溝通和管理能力。團隊成員可能包括安全專家、系統管理員、網路工程師和溝通專員等。這些成員可以是專職或兼職的,但必須確保每項任務都有主要和備份的人員負責。

團隊管理的注意事項

在建立資安事件應變團隊時,需要注意以下幾點:

  • 沒有人願意在週末或假日值班,但攻擊者通常會選擇這些時間發動攻擊。
  • 如果資安事件應變是團隊的常規工作,成員可能會感到疲勞,因此需要適當地輪換成員。
  • 預先定義團隊成員的角色和職責,以避免在事件發生時產生混淆。
  • 定期召開團隊會議,以確保成員瞭解最新的計畫和流程。

資安事件應變計畫

資安事件應變計畫應該根據雲端環境的特定需求和場景制定。計畫中需要考慮以下幾點:

  • 瞭解雲端服務提供商在資安事件中的責任和承諾,例如是否提供額外的日誌或取證影像。
  • 預先規劃和預算,以便在資安事件發生時能夠快速採取行動。
  • 根據事件的嚴重程度,制定不同的應變計畫和優先順序。

事件優先順序和嚴重程度

企業應該根據事件的嚴重程度和影響,制定不同的優先順序和應變計畫。例如,將事件分為「確認失敗的攻擊」、「確認成功的攻擊但未造成資料遺失」和「確認成功的攻擊且造成資料遺失」等不同類別。

員工培訓和意識

企業應該向員工提供有關資安事件報告和應變的培訓和意識提升。例如,在員工手冊中加入相關的,指示員工在發現可疑活動時如何報告和處理。

桌面演練

為了測試資安事件應變計畫的有效性,企業可以進行桌面演練。這種演練可以模擬真實的資安事件場景,測試團隊的反應和協調能力。

桌面演練範例

@startuml
skinparam backgroundColor #FEFEFE
skinparam componentStyle rectangle

title 雲端資安事件應變團隊建立與計畫

package "安全架構" {
    package "網路安全" {
        component [防火牆] as firewall
        component [WAF] as waf
        component [DDoS 防護] as ddos
    }

    package "身份認證" {
        component [OAuth 2.0] as oauth
        component [JWT Token] as jwt
        component [MFA] as mfa
    }

    package "資料安全" {
        component [加密傳輸 TLS] as tls
        component [資料加密] as encrypt
        component [金鑰管理] as kms
    }

    package "監控審計" {
        component [日誌收集] as log
        component [威脅偵測] as threat
        component [合規審計] as audit
    }
}

firewall --> waf : 過濾流量
waf --> oauth : 驗證身份
oauth --> jwt : 簽發憑證
jwt --> tls : 加密傳輸
tls --> encrypt : 資料保護
log --> threat : 異常分析
threat --> audit : 報告生成

@enduml

此圖示展示了一個桌面演練的基本流程,包括模擬資安事件、啟動應變計畫、評估團隊反應和檢討改善計畫等步驟。

內容解密:

  1. 開始演練:啟動桌面演練,模擬真實的資安事件場景。
  2. 模擬資安事件:根據預先設定的場景,模擬資安事件的發生。
  3. 啟動應變計畫:根據資安事件應變計畫,啟動相關的應變程式。
  4. 評估團隊反應:評估團隊在應變過程中的反應和協調能力。
  5. 檢討和改善計畫:根據演練結果,檢討和改善資安事件應變計畫。

雲端安全事件應對與還原策略

在雲端運算環境中,安全事件的應對和還原至關重要。企業需要制定周密的計畫,以應對潛在的安全威脅,並確保業務的持續運作。

制定周密的應對計畫

為了有效地應對安全事件,企業應該制定一個全面的計畫,包括以下幾個關鍵步驟:

  1. 環境關閉與重建:制定一個計畫,以便在必要時關閉整個環境、鎖定秘密伺服器,並重新建立一個新的環境。
  2. 資料備份與還原:確保備份資料儲存在一個獨立的帳戶中,與生產資料的管理憑證分開。這樣可以避免攻擊者同時破壞生產資料和備份資料。
  3. 還原時間評估:瞭解資料還原所需的時間,並確保還原策略不會對業務營運造成過大的影響。

工具與資源

為了有效地實施應對計畫,企業需要具備一些必要的工具和資源:

  • 虛擬雲端工具:使用虛擬雲端等同於傳統環境中的「跳躍包」(jump bags)的工具,例如攜帶筆記型電腦、電纜等。
  • 雲端感知數位鑑識工具:使用能夠感知雲端的數位鑑識工具,以瞭解特定系統上發生的事件。
  • 網路組態圖表:更新網路組態、資料位置和事件日誌位置的圖表。
  • 通訊系統:測試通訊系統,以確保在緊急情況下能夠有效地溝通。
  • 聯絡人清單:建立內部和外部聯絡人的清單,包括雲端供應商、事件應對公司等。
  • 戰情室:建立一個實體或虛擬的戰情室,以便團隊成員能夠聚集、交換資訊和做出決定。

事件應對流程

當安全事件發生時,企業需要迅速採取行動,以遏制事件並減少損失。以下是一些關鍵步驟:

  1. 遏制事件:透過關閉或隔離系統、更改密碼、復原存取許可權和封鎖網路連線等方式來遏制事件。
  2. 記錄事件:記錄事件的詳細資訊,以便事後進行分析和改進。
  3. 尋求幫助:在必要時尋求外部專業公司的幫助,例如事件應對公司。

內容解密:

事件應對流程需要迅速、有效地遏制事件,並減少損失。企業需要制定周密的計畫,並具備必要的工具和資源,以應對潛在的安全威脅。

檢查清單與檔案

為了確保事件應對流程的有效性,企業可以使用檢查清單和檔案來輔助流程:

  • 檢查清單:使用檢查清單來確保關鍵步驟不會被遺漏,例如檢查日誌、驗證系統狀態等。
  • 檔案:建立檔案來記錄事件應對活動,例如SANS研究所提供的表格。

內容解密:

檢查清單和檔案可以幫助企業確保事件應對流程的有效性,並減少錯誤的發生。

事件應對軟體

企業可以使用事件應對軟體來追蹤事件和管理應對流程。這些軟體通常具有內建的劇本,可以幫助企業快速應對事件。

內容解密:

事件應對軟體可以幫助企業更有效地管理事件應對流程,並減少錯誤的發生。

回應安全事件

當你發現疑似真正的攻擊時,接下來該怎麼做?你的反應將很大程度上取決於攻擊者的行為和你的威脅模型,但有一些準則可以提供幫助。

事件應對

首先,動員至少部分團隊進行事件分類別。你不會希望因為一個可以迅速被控制的惡意軟體感染而喚醒30個人。過度反應和反應不足都很容易發生,因此擁有預定義的嚴重程度級別和對應的應對是非常有用的。

接著,開始執行你已經制定的計劃,嘗試根據殺傷鏈或攻擊鏈預測攻擊者的目標。

網路殺傷鏈

最流行的殺傷鏈之一是洛克希德·馬丁公司的網路殺傷鏈。根據這個模型,威脅會經歷以下階段:

  1. 偵察:攻擊者進行研究,以確定要進入的目標並識別可能有幫助的漏洞。這可能涉及從谷歌搜尋到垃圾桶搜尋、社交工程到網路埠掃描等任何事情。

  2. 武器化:攻擊者開發惡意軟體來利用漏洞。更先進的攻擊者可能會編寫自定義的惡意軟體,但較不先進的攻擊可能會使用已經存在的工具。

  3. 交付:攻擊者讓受害者執行惡意軟體,無論是透過網路攻擊、電子郵件還是其他方式。

  4. 利用:惡意軟體執行並獲得未授權的存取許可權。

  5. 安裝:惡意軟體獲得永續性,或稱“駐留能力”,透過以某種方式安裝自己,使攻擊者希望這很難被發現和移除。通常,第一個惡意軟體會下載並安裝第二個惡意軟體來實作這一點。在某些情況下,這種永續性惡意軟體的支援和更新甚至比你的合法程式更好!

  6. 命令和控制:惡意軟體建立某種通訊通路,以便攻擊者可以遠端控制它——遠端殼層、向外的網頁連線,甚至從合法的雲端檔案儲存服務讀取命令。在這一點上,對你係統的存取權可能在黑市上以很好的價格被出售給真正想要它的人。

  7. 達成目標:攻擊者(可能不是最初的攻擊者)做他們想做的任何事情——竊取你的資料、破壞你的網站、攻擊你的客戶、勒索錢財等。

其他流行的鏈條,如MITRE ATT&CK,具有略微不同的步驟。無論你使用哪一個,熟悉至少其中之一是一個好主意,這樣你對攻擊者可能已經做了什麼和可能接下來會做什麼有一定的瞭解。

OODA迴圈

你有你的計劃,並且你可能對攻擊者的進展和目標有一定的瞭解。現在是時候做出反應了。事件回應中的一個流行概念是OODA迴圈:觀察、定向、決定和行動。

  1. 觀察階段:從你的系統(如雲端供應商日誌、防火牆、作業系統日誌、指標和其他位置)收集資訊,以發現可能表明攻擊者正在做某事的異常行為。

  2. 定向階段:嘗試瞭解正在發生什麼以及可能接下來會發生什麼。這可能涉及內部知識(你的最重要的資產在哪裡)和外部威脅情報(誰可能是攻擊者背後的人以及為什麼)。並非所有的威脅情報都需要花錢。例如,US-CERT定期發布關於惡意活動的警示。如果你正在看到可疑行為,並且US-CERT發布了一份警示,指出你的行業正被特定的威脅參與者使用特定的策略、技術和程式進行攻擊,那可能會幫助你進行定向。

  3. 決定階段:選擇接下來要使用的策略來最小化損害或促進還原。例如,你可能會決定將某些系統下線、復原存取許可權、隔離系統或建立一個新的環境。

  4. 行動階段:實際執行這些策略。這是使用雲端基礎設施可以真正有所幫助的地方,特別是如果你已經投資於可重複的方法來建立你的雲環境,而不是讓它們隨著時間的推移而有機地增長。以下是一些例子:

    • 大多數雲環境在計算基礎設施和儲存之間有更強的分離,而不是傳統環境。攻擊者僅透過修改你的資料儲存中的內容來保持永續性(保留未授權的存取許可權)要困難得多——但並非不可能。計算基礎設施的每個例項都包含數千個可執行檔和組態項,但這些通常可以比資料更容易地重建。鑒於這種分離,你可能能夠對你的映像應用修復程式以關閉允許攻擊者進入的漏洞,關閉所有計算例項,用修復後的例項替換它們,並將新的例項連線到你的資料儲存,同時最小化停機時間。

    • 你也可能能夠輕鬆地隔離系統,使用指令碼呼叫API來鎖定安全組或網路ACL。在傳統環境中,你可能必須手動登入許多不同的路由器或防火牆,或開始拔掉網線,以達到相同的效果。

在你採取行動之後,迴圈重新開始——觀察攻擊者對你所做的事情的反應,定向、決定和再次行動。這些迴圈應該相對較快,並且應該持續到你的觀察表明事件已經解決。

雲端數位鑑識

這可能會讓人聯想到CSI電視節目,但不幸的是,現實情況要平淡得多。本質上,你只是想要製作任何可能重要的東西的鑑識副本,然後使用工具來分析它。

以一種有檔案記錄、可重複的方式製作副本非常重要,這樣你就可以始終證明你有原始資料的良好副本,沒有被更改過。這通常涉及生成一個驗證字串(密碼雜湊),可以用來表明你有未被破壞的資料的副本。像SHA-256這樣的密碼雜湊函式被設計為快速計算,但幾乎不可能用來建立另一個具有相同雜湊值的資料片段。有了資料的副本和密碼雜湊,任何人都可以快速生成一個雜湊值,並將其與原始值進行比較,以確保他們的副本與最初調查人員收集的副本相同。此外,沒有人可以在不被輕易發現更改的情況下更改資料(無論是有意還是無意)。你也可以將原始副本寫入某些只讀媒體,並每次進行位元對位元的比較,但這需要花費更長的時間!

內容解密:

此段落主要描述了在安全事件發生後,如何進行事件回應和鑑識工作。首先,需要根據既定的計劃和殺傷鏈模型來預測攻擊者的下一步行動。然後,透過OODA迴圈不斷觀察、定向、決定和行動,以控制和解決事件。在這個過程中,利用雲端基礎設施的可重複建立和快速調整能力,可以有效地隔離受影響的系統並修復漏洞。同時,為了保留證據,需要製作鑑識副本並生成密碼雜湊,以確保資料的完整性和可驗證性。整個過程需要快速、靈活且有條不紊,以最小化事件的影響。

偵測、回應與復原安全事件

在前一章的“工具”部分(第159頁)中,我們已經示範了一種取得虛擬機器記憶體和磁碟映像的法醫影像的方法,但在調查過程中,您可能需要其他數位鑑識文物。例如,您可能希望對資料函式庫進行快照或備份,以比較並檢視攻擊者是否對資料函式庫進行了任何更改。您還可能需要檢視網路封包或流量捕捉,以瞭解攻擊者或惡意軟體在網路上的活動。

封鎖未授權存取

這看似簡單,但實際操作起來往往更為困難,特別是當攻擊者已經在系統中逗留了一段時間並獲得了管理員許可權時。希望您已經按照第6章的指示進行了內部細分,以便將攻擊限制在網路的特定部分。

這裡常見的反應是重設所有人的密碼和API金鑰(包括自動化),這可能會對正常運作造成幹擾,同時封鎖輸入和輸出的網路存取。您應該預先建立工具和流程,以便快速且一次性地封鎖存取。

停止資料外洩和命令控制

如果您在封鎖未授權存取時沒有關閉網路通訊,您可能仍需要關閉輸出通訊,以停止攻擊者與命令控制伺服器的連線,或停止持續的資料遺失。

復原

您已經發現了攻擊並且認為已經停止了攻擊,現在是時候進行清理,並確保沒有留下任何讓攻擊者再次進入系統的後門。

重新佈署IT系統

從IT的角度來看,復原最簡單、最有效的方法是重新佈署所有受影響的系統。同樣,在雲端環境中這比較容易,因為您不需要購買新的實體硬體;您的雲端供應商將提供足夠的容量。任何受損的雲端系統都應該被重新建立,並且生產流量應該切換到新的系統。任何受影響的工作站都應該被清除並從已知的良好映像中重新建立。用《異形》中的艾倫·雷普利的話來說,“從軌道上摧毀整個站點。這是唯一能確保安全的方法。”

如果無法做到這一點,您需要獲得高層的確認,即您正在接受繼續操作曾經被攻擊者控制一段時間的系統所帶來的重大風險。您可以執行惡意軟體掃描器,保持對網路和程式的額外監控以尋找入侵指標,並實施其他一些安全措施,但單個被修改的登入檔項就足以讓攻擊者重新進入您的系統,而單個遺漏的惡意軟體就足以呼叫並提供一個簡單的進入方式。

通知

您可能有監管或合約義務,需要通知客戶或向執法機構報告漏洞。

即使您沒有被要求通知外界,您也可能希望這樣做,以避免一旦訊息洩露後引發公關危機。出於明顯的原因,我們沒有關於成功掩蓋事件的良好指標,但有一些著名的例子,例如雅虎、國泰航空等公司的掩蓋事件失敗了。

經驗教訓

盡快,在每個人都好好睡了一覺之後,您應該檢討經驗教訓,並對團隊組成、計畫、程式、工具和檢查清單進行任何更新,以便下次做得更好。希望在事件發生過程中,您有機會記下一些快速的筆記和提醒,這些可以用來改進。

建立整個事件回應團隊和流程是一個龐大的主題。雖然我在這裡介紹了雲端環境的高階要點,但為了進一步閱讀,我推薦AlienVault的《內部人士的事件回應》和NIST SP 800-61。

範例指標

如同其他業務流程一樣,如果您無法提供一些關於您的偵測、回應和復原活動的衡量指標,就很難知道您是否正在改進。

以下是一些您可以考慮收集的範例指標:

偵測

  • 每月收集的事件數量,每月觸發的警示數量,已確認的事件所佔百分比,假陽性警示所佔百分比

回應

  • 從警示觸發到檢視警示所需的時間,從確認事件到關閉事件所需的時間

復原

  • 重新佈署受影響系統所需的時間

整體

  • 每個事件的估計成本,包括時間、費用和對聲譽的損害

用於偵測、回應和復原的範例工具

以下是雲端偵測、回應和復原領域的一些代表性解決方案。正如在第5章中一樣,我並不是透過列出這些工具來認可它們,也不是透過排除其他工具來否定它們。這些只是截至撰寫本文時流行的不同工具的範例:

  • Amazon GuardDuty可以在您的AWS帳戶或系統中尋找異常或可疑活動。
  • Amazon CloudWatch Logs、Azure Monitor、Google Stackdriver Logging和IBM Cloud Log Analytics都允許您儲存和搜尋日誌。
  • Amazon CloudWatch、Azure Monitor、Google Stackdriver Monitoring和IBM Cloud Monitoring提供效能指標。
  • AWS CloudTrail、Azure Monitor和IBM Cloud Activity Tracker可以監控雲端帳戶中的特權使用者活動。
  • Azure Security Center可以將安全資料收集到中央位置,並執行檔案完整性監控和其他安全功能。
  • Cisco、McAfee和Snort是流行的網路入侵檢測服務提供商,提供雲端裝置。
  • CloudFlare、Akamai和Signal Sciences提供雲端Web應用防火牆解決方案。
  • OSSEC、Tripwire、AIDE、NT Change Tracker、CloudPassage Halo、Qualys等提供傳統或雲端檔案完整性監控解決方案。
  • SIEM(如IBM QRadar、Splunk Security Intelligence Platform、LogRhythm等)收集日誌事件,分析它們,並發出警示。
  • 許多流行的數位鑑識工具集(如Encase和FTK)現在具有一些雲端功能。

在範例應用程式中整合所有內容

讓我們最後一次檢視我們的範例應用程式,這次從偵測和回應的角度來看。在這種情況下,我們的威脅模型涉及大量資料……(以下省略)

內容解密:

本段主要描述了一個範例應用程式最後一次從偵測與回應的角度進行檢查,並且提到威脅模型涉及到大量的資料。然而,由於原始內容被截斷,我們無法看到完整的描述。通常,這種檢查會涉及如何應用上述的安全措施和工具來加強對威脅的偵測和回應。

後續處理與改進

在完成事件處理後,進行總結和檢討是非常重要的。這包括分析哪些做法是有效的,哪些需要改進,並且根據這些經驗更新團隊的組成、計畫、程式和檢查清單。同時,也需要根據收集到的指標來評估事件處理的效果,並根據需要進行調整。

指標收集與分析

持續收集和分析相關指標,可以幫助團隊更好地瞭解其在事件偵測、回應和復原方面的表現。這不僅能夠幫助團隊找出需要改進的地方,還能夠為未來的事件處理提供寶貴的參考。

安全事件偵測、回應與復原的實踐應用

在現代網路安全領域中,企業面臨著多重威脅,不僅需要保護客戶資料免受攻擊者的竊取,還需維護品牌形象避免遭受惡意破壞。以某應用程式為例,我們將探討如何在複雜的雲端基礎設施中實作有效的安全事件偵測、回應與復原。

安全防護系統的監控

首先,我們關注由安全防護系統產生的日誌和指標。在正常運作期間,入侵偵測/防禦系統(IDS/IPS)、Web應用防火牆(WAF)和防火牆等系統會記錄相關的安全事件。例如:

  • IDS/IPS 可能會記錄可疑的埠掃描行為或已知惡意特徵碼的匹配。
  • WAF 可能會記錄嘗試進行的 SQL 注入攻擊或反序列化攻擊。
  • 防火牆會例行記錄允許或拒絕的連線,並追蹤網路流入和流出的資料量指標。

應用程式的監控

接下來,我們檢視由應用程式和基礎設施產生的日誌。這些日誌內容高度依賴於應用程式的功能和所使用的技術元件。以下舉例說明:

  • 網頁伺服器會記錄每個請求,包括來源 IP 位址和請求的 URL。在此範例中,網頁伺服器是物件儲存例項,回應網頁請求並將存取日誌傳送至日誌彙總服務。
  • 應用程式伺服器以 Kubernetes 叢集中的 Pod 形式運作,應用程式將每個請求的日誌輸出至 stdout 或 stderr,並記錄被呼叫的元件 URL 和回應內容。同時,應用程式允許檔案上傳,並使用防毒客戶端掃描上傳檔案,隔離含有惡意軟體的檔案並傳送警示。
  • 資料函式庫採用 as-a-Service 服務模式,會記錄拒絕存取嘗試、資料庫存取設定的變更,以及資料傳輸量的指標。由於我們最關心的是資料函式庫資料被竊取,因此這些日誌和指標至關重要。

系統管理員的監控

除了監控應用程式和安全防禦系統,我們還需要監控系統管理員的操作行為。這並不代表我們不信任系統管理員,而是為了偵測可能的憑證竊取或惡意操作。透過監控管理員的操作,我們可以及時發現異常行為並做出回應。

內容解密:

本章節主要闡述了在複雜的雲端基礎設施中,如何透過監控安全防護系統、應用程式和系統管理員的操作來實作安全事件的有效偵測。透過彙總和分析來自不同來源的日誌和指標,結合 SIEM 系統的警示功能,可以提高對安全威脅的檢測和回應能力。

安全事件的偵測與回應機制

圖 7-2 展示了一個具備偵測能力的範例應用程式架構,包括了功能性元件、雲端服務提供者或協調系統,以及稽核框架。該架構的核心目標包括:

  1. 蒐集對營運故障排除和安全事件偵測有用的日誌和指標。
  2. 將日誌和指標安全儲存,防止攻擊者擦除相關記錄。
  3. 分析蒐集到的資料,以判斷是否需要進一步調查。
  4. 自動對需要人為調查的專案發出警示。
  5. 若懷疑發生安全事件,則啟動事件回應和復原計畫。

此架構透過多層次的監控和分析,不僅能有效偵測潛在的安全威脅,還能在發生安全事件時迅速回應,從而將損害降至最低。

內容解密:

  1. 蒐集日誌和指標:透過 IDS/IPS、WAF、防火牆、伺服器、資料函式庫等元件,蒐集對安全事件偵測有用的資訊。
  2. 安全儲存日誌:將日誌傳送至獨立管理的日誌彙總系統或 SIEM,以防止攻擊者篡改或刪除。
  3. 分析資料:利用 SIEM 的日誌解析、關聯規則和機器學習等功能進行分析,並結合安全操作人員的專業判斷。
  4. 自動警示:當 SIEM 發現可疑事件時,自動向具有安全操作員角色的人員傳送警示,並透過回饋機制減少誤報。
  5. 事件回應與復原:當懷疑發生安全事件時,啟動預定的事件回應和復原計畫,以減少損失並還原正常運作。
玄貓 BlackCat

玄貓 BlackCat

技術愛好者,專注於分享程式開發、雲端技術與 AI 應用的心得體會。