雲端資安攻擊事件的反應能力

事件回應(IR) 是管理組織環境內網路安全事件的實踐。這包括偵測、調查、遏制、修復潛在的網路攻擊或其他安全事件並從中恢復。

隨著組織採用雲端運算並將資料和應用程式遷移到雲端環境，他們還需要具備管理雲端資安事件的能力。雲端事件回應是在一個與許多組織習慣於管理的本地、公司擁有的系統顯著不同的環境中管理這些事件的過程。

雲端 IR 與傳統事件回應有何不同

雲端中事件回應的工作方式與本地環境非常不同。原因是雲端本身與傳統的本地資料中心不同。在雲端中，該公司不擁有底層基礎設施，只能遠端存取系統。

這對雲端 IR 的工作方式產生了重大影響。如果無法存取底層基礎設施，事件回應人員就無法使用許多與本地環境相同的工具和技術。遠端存取也會影響組織如何調查、控制和補救事件。

雖然雲端 IR 和本地 IR 之間的差異確實帶來了挑戰，但雲端 IR 有一些值得注意的好處：

簡化的資料管理：雲端事件回應者可以利用與其他使用者相同的雲端靈活性和可擴展性。事件回應人員可以輕鬆備份關鍵資料以供日後調查，並可利用虛擬機器 (VM) 快照保存系統狀態以供日後分析。
快速回應：雲端環境依賴虛擬化，包括虛擬機器和虛擬網路。這使得事件回應者能夠快速、輕鬆地控制事件或透過將虛擬機器回滾到已知良好狀態來修復事件。

公司使用雲端環境的許多目的與傳統的本地資料中心相同。然而，雲端與這些環境有很大不同，帶來了重大的安全挑戰。

雲端中事件回應的一些不同之處包括：

- 缺乏實體存取：事件回應人員通常會使用對系統的實體存取來控制事件或收集取證資料。在雲端環境中，基礎設施由雲端供應商擁有和管理，客戶將無法存取託管其資料和應用程式的實體伺服器。
- 快速開發生命週期：雲端環境鼓勵使用開發營運開發流程，程式設計師可以在其中快速、定期更新軟體。隨著公司根據需求的變化啟動或關閉雲端基礎設施，這些更新可能會導致雲端基礎設施發生變化。這些快速變化使事件回應變得複雜，因為調查基礎設施變化很快，且事件涉及的虛擬機器可能已被刪除。
- 缺乏控制：公司缺乏對其雲端環境的所有權和控制權，這意味著事件回應人員可能無法在調查中使用熟悉的工具和技術。此外，雲端環境中影子 IT 的風險可能意味著事件是由具有 IT 知識或監督的員工設定的雲端環境引起的。
- 主題專業知識：由於雲端環境和雲端 IR 與本地部署有很大不同，因此公司可能很難找到具備在雲端有效執行 IR 所需知識和能力的專家。

缺乏可見性：雲端環境通常非常複雜和動態，因此很難保持所有資產和活動的完全可見性。跨多個雲端提供者和區域監控和追蹤資源可能很困難，從而增加了遺漏安全事件的機會。

數據和證據收集：由於使用了虛擬機，數據和證據收集變得容易。然而，它的另一方面的缺點是，日誌可以/需要在不同的地方找到，特別是在多雲端環境中，這是一個挑戰。

雲端中的 IR 與傳統環境不同。提高雲端中事件回應團隊 (IRT) 效率的一些最佳實踐包括：

雲端中的事件響應可能與其他環境不同。該公司面臨的最常見挑戰之一是尋找具有調查和修復雲端安全事件所需知識和專業知識的事件回應人員。

Check Point Infinity Global提供雲端事件回應支持，作為其專業服務組合的一部分。歡迎您詳細了解 Check Point 如何協助您的組織管理其雲端基礎架構內的潛在安全事件。