如何实施多云威胁搜寻策略

常莽

如今很多企业的业务都在云中运行，然而随着多云变得越来越普遍，确保多个云平台之间的安全变得更具挑战性，其中包括云计算提供商之间不同的安全模型和机制，缺乏跨环境的无缝可见性和不统一的工具集。

威胁搜寻在云计算环境中的重要性

首先從定义威胁搜寻及其在单云和多云部署中提供的价值开始。威胁搜寻采用情报驱动的分析来确定网络攻击者是否以及在何处获得了对其资源的访问权限。但简而言之，就是威胁追踪涉及基于已知的对手交易技术提出假设，即网络攻击者可能已经获得了对其运营环境的访问权限，然后制定测试条件来证明或反驳这些假设看法。

威胁搜寻很重要，因为经验丰富的网络攻击者可以逃避检测并绕过警报。通过对网络攻击者入侵的迹象保持警惕，企业可以提高检测这些对手的能力，理想情况下，在可攻击者采取行动之前将其破坏。

相同的原则适用于云环境，不同之处在于企业如何获取和分析进入流程的信息以及可用于响应的工具。

云的威胁搜寻有3个基本规则：仅仅因为企业的业务在云中运营并不意味着网络攻击者会停止攻击活动；了解对手的目标以及他们为实现这些目标而使用的手段对企业的防御策略很有益；跨所有层的可见性，即使是那些运营管理位于共享责任模型的云服务提供商（CSP）一侧的层，也可以帮助企业更好地了解对手或他们使用的方法。

多云使事情变得更加复杂

从逻辑上讲，云计算使威胁搜寻更加复杂。随着企业从物理基础设施或内部部署环境迁移到云环境，由于合规性和配置透明度、远程数据源和基础设施、核心安全功能和API数量等方面的困难，威胁识别将更具挑战性。

行业专家表示，分析人员在云中寻找威胁时需要更多信息和培训。这是因为他们必须了解和使用工具集、安全模型、架构、技术堆栈和其他元素，这些元素不仅由他们自己的组织部署，还会由云计算服务供应商、云计算供应商和其他提供商部署。

多云威胁搜寻进一步加大了赌注，这意味着更多的工具、更多的概念、更多的API和更多的数据源，还必须考虑跨环境分析和数据关联。例如，考虑本地用户、PaaS中的应用程序前端和IaaS虚拟机中的后端API之间的三向对话。确定在该对话中提出的请求是否合法，因为可能涉及跨每个环境的各种日志存储库和不同的监控工具。

将威胁搜寻扩展到多云

如果企业想要推出多云威胁搜寻，首先要考虑可以建立哪些实践来实现这一目标，最终制定出对企业来说是独一无二的战略。这取决于企业的云使用情况、威胁搜寻能力和方法以及其业务需求，虽然没有一刀切的方法，但可以采取一些基本步骤来开始。

首先，规范在多个环境（包括云计算供应商和内部部署设施）之间流动的数据和事件信息。这已经是多云的一个已知问题，例如，考虑到网络安全网格架构的基本支柱包括安全分析和智能，以及整合的仪表板。了解跨环境的事件是多云安全管理、运营、事件响应的核心组成部分，并且出于企业的目的———威胁搜寻。为此，必须了解正在使用的云环境和服务，了解所采用的安全模型，并确认可以并且正在从每个位置收集正确的数据。

其次，解决系统威胁建模问题。考虑一个跨越多个云环境的应用程序，企业需要知道威胁何时成为优先事项，以及如何或者在何处来收集需要的信息？威胁建模可以提供帮助。通过从网络攻击者的角度查看应用程序提出假设，以衡量网络攻击者更有可能在何处以及如何进行攻击。通过扩展，企业可以优先考虑这些领域以进一步探索，可以帮助企业了解要从哪个环境中收集哪些数据，并帮助其制定要测试的假设，以确定环境中是否存在网络攻击。

最后是教育和实现。企业了解在不同环境中部署的内容（例如构建可靠和系统的库存），并了解组件如何组合在一起，正在使用哪些本地服务以及使用的服务如何与更大、更全面的叙述联系起来。这听起来可能很简单，但只有少数超过一定规模的企业才能有效、准确和完整地做到这一点。