企业为迎接下一个云计算事件做好准备了吗？

作者：奇志 2022-04-05 14:10:28

云计算

云原生 企业采用云计算技术会面临很多挑战，现在是开始为企业的云计算事件做好准备的时候了。

云计算技术的采用速度如今正在不断加快，并将超过人们的预期。根据调研机构Gartner公司的预计，公共云市场将在2022年再增长21.7%，虽然这对各行业领域来说是一个积极的方向，但它会导致网络安全风险发生巨大转变，它还促使重新评估解决这些风险所需的解决方案。

不断发展的新兴技术和快速采用相结合，给试图保持企业安全的安全部门带来了巨大的挑战，同时也试图避免被视为阻碍数字化转型的反对者。而企业面临的挑战是双重的：一方面，不断采用新的云计算服务来引入更多新技术(并且经常需要大量权限，为潜在的供应链攻击开辟了新途径)。另一方面，即使是已经过审查和采用(在理想情况下也是安全的)的现有云计算解决方案，在供应商级别和采用级别都在快速变化。这使得负责安全的人员几乎不可能跟踪和了解所有更改，并保持高水平的安全性。

此外，云计算服务(尤其是SaaS)易于采用，以及以产品为导向的增长方式(个人最终用户支持产品并扩大其在企业中的采用)的增加，使得企业很难跟踪其云计算资源清单及其相关风险。影子IT的挑战更加突出，使曾经是一个小众问题成为企业的主要风险。

除了所有这些挑战之外，企业还面临着技能的巨大短缺。网络安全行业多年来一直面临技能短缺的问题，全球估计有270万个职位空缺。此外，了解传统本地安全挑战和解决方案的安全从业人员远多于具有云安全专业知识的安全从业人员。缓解职位短缺的一种尝试是将云计算专家转变为云安全专家，但这只是从另一个角度提出了同样的问题——随着云计算服务的迅速扩张，专家也很短缺。

不幸的是，所有这一切的结果是云平台中的网络攻击空前增加，其增长速度甚至超过了云采用本身。由新冠疫情驱动的向远程工作的过渡进一步加剧了这种情况。仅在新冠疫情发生的2020年第一季度，人们就看到云计算攻击增加了630%，并且从那以后这个数字一直在持续增长。

毫不奇怪，很多企业并没有为网络攻击事件的大量增加做好准备。许多人仍在建立他们的事件响应(IR)实践，其中大部分都集中在他们的内部部署环境上，该环境将内部事件响应(IR)用于破坏性较低的事件与某种形式的保留与大型事件响应(IR)用于破坏性更严重的事件。对于具有成熟事件响应(IR)实践的企业来说，只有传统的本地事件响应(IR)功能对于内部和外部事件响应者来说都是成熟的。

不幸的是，很多企业现在发现，云计算内部事件响应(IR)实际上在几个关键方面完全不同：

• 云攻击不同。企业不仅关注恶意软件和主机攻击，还要关注功能滥用和跨资源传播。不熟悉特定于云计算的攻击的事件响应者将难以识别它们。
• 云中的取证调查完全不同。取证更侧重于跟踪跨云资源和应用程序的活动，而不是主机和端点取证。它还更多地依赖于云计算供应商提供的东西，而不是企业自己的软件和硬件，它需要不同的工具和技能集(当然需要对云安全有深入的了解)。
• 取证数据不足或缺失可能是最困难的挑战之一。一些丢失的数据可能是由于云计算提供商施加的限制，或者仅仅是由于较短的默认保留时间(通常不超过90天)。在其他情况下，它可能是该技术所固有的。例如一个被破坏的Kubernetespod在几天后就无法调查，因为它已经作为普通操作的一部分被销毁。
• 极端互连。随着企业采用的增长，云计算变得越来越相互关联，并且在不关闭企业的情况下控制和隔离事件变得更加困难。
• 技能短缺。非常了解云计算并能够在这些环境中部署事件响应(IR)的事件响应者非常少见。

鉴于这些挑战，现在是开始为企业的云计算事件做好准备的时候了。对于想要开始这一旅程的企业，这里有五个提示：

(1)意识——第一步是承认和理解存在安全漏洞并且必须加以解决。这包括不同的利益相关者，从高层管理人员到安全运营中心的一线人员。

(2)取证数据保留——云计算取证的最大挑战之一是数据的可用性;因此，企业必须收集取证数据并将其保留以供将来调查。

(3)特定于云的事件响应(IR)计划、剧本和桌面练习——许多传统的事件响应(IR)计划不适合云计算事件。企业需要调整这些计划以包括这些类型的事件。

(4)雇佣、培训和锻炼——虽然技能短缺是真实存在的，但除了投入工作来缓解这个问题之外，别无选择。企业必须聘请云安全专家，同时培训和训练现有员工成为云安全专家。

(5)需要云IR专业知识——确保事件响应(IR)合作伙伴和分配给您处理未来事件的人员真正了解云计算事件响应(IR)，并且可以在下一个重大事件中为企业提供支持。

云采用率不断提高，推动向这些服务转变的创新也在不断增加。对于寻求改善当前和未来安全状况的企业而言，为云计算环境中的新挑战和网络攻击做好准备是至关重要的一步。