压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

將數(shù)據(jù)和過程遷移到云端給企業(yè)安全運(yùn)營中心(SOC)提出了一些挑戰(zhàn)。公司企業(yè)該如何收集、監(jiān)視和分析基于云的安全數(shù)據(jù)呢？

隨著越來越多的關(guān)鍵業(yè)務(wù)職能脫離現(xiàn)場環(huán)境遷移向云端，SOC面臨適應(yīng)改變和監(jiān)視新環(huán)境的嚴(yán)峻挑戰(zhàn)。有些SOC依賴供應(yīng)商提供的管理與安全工具，有些采用第三方服務(wù)從其SaaS、PaaS和IaaS提供商處拉入數(shù)據(jù)，還有些則打造自己的安全門戶。

INAP是一家數(shù)據(jù)中心、云及主機(jī)托管服務(wù)提供商，這家公司不僅要管理和保護(hù)其基礎(chǔ)設(shè)施，還要為其客戶提供管理及安全數(shù)據(jù)反饋。由于除60萬平方英尺的數(shù)據(jù)中心外還為客戶管理著多云實(shí)例，該公司的管理任務(wù)列表中還包括了所有主流云供應(yīng)商提供的基礎(chǔ)設(shè)施。

INAP全球云服務(wù)高級副總裁 Jennifer Curry 表示：這些環(huán)境中傳統(tǒng)監(jiān)視工具沒用，用戶訪問不到網(wǎng)絡(luò)，也接觸不到底層基礎(chǔ)設(shè)施。

云供應(yīng)商，比如亞馬遜、谷歌和微軟，會提供數(shù)據(jù)反饋。INAP運(yùn)用其API往自身系統(tǒng)中拉取日志和其他數(shù)據(jù)，但這一過程總是說起來容易做起來難。

用API時(shí)總會碰到范圍和速度的改變，很難跟上這種變動。云空間里就是這樣，變化多端是云環(huán)境的本質(zhì)。發(fā)展很快，總在維護(hù)。

可行的時(shí)候，INAP會使用商業(yè)工具。在知道將會快速改變的情況下，INAP會編寫解決方案并定制之。目前沒有哪個(gè)平臺能滿足公司所有需求。INAP的定制對其客戶而言是項(xiàng)增值服務(wù)，單個(gè)平臺無法實(shí)現(xiàn)在發(fā)現(xiàn)更有效率的功能時(shí)進(jìn)行加載或替換。

當(dāng)然，INAP的部分核心業(yè)務(wù)定位就是云環(huán)境管理，該公司必須能夠處理好這些事務(wù)并分配足夠的人員專門負(fù)責(zé)此事。其他沒有多云環(huán)境及服務(wù)管理業(yè)務(wù)的公司企業(yè)可能不具備類似的資源。

發(fā)現(xiàn)云服務(wù)問題

首先，很多安全團(tuán)隊(duì)甚至都不了解自家公司有多少云服務(wù)在用。BetterCloud主營SaaS應(yīng)用管理及安全防護(hù)，其首席業(yè)務(wù)戰(zhàn)略官 Shreyas Sadalgi 稱，普通公司企業(yè)通常用他們公司的服務(wù)處理7個(gè)SaaS應(yīng)用。

BetterCloud支持谷歌 G Suite、Okta、Dropbox、Slack、Box、Salesforce、Zendesk、Namely和 Office 365，今年還將在其新的社區(qū)交換平臺上添加10個(gè)支持對象。只要有API，還可按客戶需求連接其他云服務(wù)。

該公司目前擁有2,500家客戶，其安全團(tuán)隊(duì)最為重視經(jīng)許可的任務(wù)關(guān)鍵應(yīng)用。Sadalgi認(rèn)為：這些應(yīng)用是客戶想要保護(hù)的。長長的SaaS應(yīng)用列表真沒那么重要，因?yàn)樗腥蝿?wù)關(guān)鍵工作都在這些經(jīng)許可的應(yīng)用里做了。

然而，專注一小撮經(jīng)許可的云服務(wù)也許是個(gè)錯(cuò)誤。云安全供應(yīng)商N(yùn)etskope產(chǎn)品管理總監(jiān) Gautam Kanaparthi 說：

我們問道‘你們在用多少個(gè)云服務(wù)’時(shí)，他們回答說10個(gè)，或許是20個(gè)。但當(dāng)我們審查時(shí)，往往會發(fā)現(xiàn)數(shù)百個(gè)云應(yīng)用，有時(shí)候甚至是數(shù)千個(gè)。

Netskope最近的云安全報(bào)告中，公司企業(yè)平均在用1,246個(gè)云服務(wù)，比一年前的1,022個(gè)上升了22%。其中包括175個(gè)人力資源相關(guān)的服務(wù)，170個(gè)市場營銷相關(guān)的，110個(gè)協(xié)作相關(guān)，財(cái)務(wù)和客戶關(guān)系管理各76個(gè)。這些應(yīng)用中任何一個(gè)都有可能給出敏感業(yè)務(wù)數(shù)據(jù)，而且其中大多數(shù)都不是企業(yè)級可用的。

最大的問題出自身份與訪問管理(IAM)領(lǐng)域，其次是監(jiān)視、網(wǎng)絡(luò)和日志記錄。Kanaparthi稱：這絕對是現(xiàn)代安全團(tuán)隊(duì)面臨的巨大挑戰(zhàn)。最主要的困難在于安全不再處于企業(yè)IT部門控制之下。過去所有流量都要經(jīng)過企業(yè)數(shù)據(jù)中心，但現(xiàn)在可以從任何地點(diǎn)訪問任何服務(wù)。這對安全團(tuán)隊(duì)而言是個(gè)全新挑戰(zhàn)。

平臺特定的安全與管理工具

大多數(shù)面向企業(yè)的云供應(yīng)商提供的都是同樣的管理與安全工具，無論是通過儀表板還是API提供，或者是雙管齊下。但若使用儀表板，安全團(tuán)隊(duì)需在不同系統(tǒng)中切換。這就很頭疼了。因?yàn)樗麄儾坏貌粚W(xué)習(xí)各種不同工具的用法。而且也更難以檢測同時(shí)襲擊多個(gè)不同平臺的攻擊。

云提供商并非總能獲取到安全團(tuán)隊(duì)所需的全部信息。比如說，某公司想確保員工從有口令和殺軟保護(hù)的安全設(shè)備登錄其SaaS服務(wù)。通常，SaaS提供商關(guān)注用戶本身：用戶有訪問授權(quán)嗎？但他們不會知道用戶是不是從不安全的家用電腦登錄。這才是企業(yè)客戶當(dāng)前的最大問題。

為解決這些問題，企業(yè)開始采用云訪問安全代理(CASB)或單點(diǎn)登錄解決方案。比如說，Pulse就出售裝在用戶設(shè)備上的軟件客戶端，可以監(jiān)視并報(bào)警安全策略違反現(xiàn)象。公司的安全團(tuán)隊(duì)可以登錄到基于云的儀表板上查看問題。

雖然Pulse解決了移動勞動力登錄云應(yīng)用的可見性空白，但安全團(tuán)隊(duì)又因此而新增了一個(gè)問題：他們需要登錄的云儀表板又多了一個(gè)——一塊沒集成進(jìn)其他云服務(wù)或自家SIEM的儀表板。

客戶要的是能融入SIEM的數(shù)據(jù)饋送，但Pulse當(dāng)前并沒有這個(gè)功能，2019年晚些時(shí)候會增加這個(gè)集成。

將云應(yīng)用登錄數(shù)據(jù)饋送進(jìn)SIEM或其他集中式安全平臺的最佳辦法是使用API，用一個(gè)腳本就能通過HTTPS拉取日志。該過程正變得越來越簡單，但你必須弄清楚自己想要查看哪些數(shù)據(jù)，然后據(jù)此微調(diào)。

云數(shù)據(jù)反饋聚合器

為解決多云提供商安全管理問題，有些供應(yīng)商打造了多云平臺連接器，然后將之全都推入一個(gè)儀表板或數(shù)據(jù)饋送中去。Netskope的Kanaparthi稱：

我們的API鉤上所有這些應(yīng)用，與所有供應(yīng)商建立聯(lián)系，提供單一管理面板。

Netskope還提供超細(xì)粒度控制，可以跟蹤與公司外部人員共享最多文檔的員工，監(jiān)視有多少個(gè)人賬戶用作在Box和Dropbox之類文件共享服務(wù)。

我們也理解客戶有SIEM且想將數(shù)據(jù)饋送進(jìn)SIEM。所以，我們在Splunk上設(shè)有應(yīng)用，并創(chuàng)建了可以插入其他任何SIEM應(yīng)用的API。

將云數(shù)據(jù)拉入自有SIEM

大型企業(yè)的SOC一般都有自己的SIEM或類似的平臺。如果一個(gè)云服務(wù)提供API數(shù)據(jù)饋送，其日志數(shù)據(jù)就能被拉入該SIEM供安全分析師在單一平臺上審視自家各類系統(tǒng)。

面向企業(yè)的供應(yīng)商通常都有這樣的API，但某些情況下，SaaS應(yīng)用的第一或第二版可能暫時(shí)沒有這樣的API可用。

有時(shí)候，數(shù)據(jù)是可用的，但客戶沒設(shè)置對數(shù)據(jù)的訪問。比如說，微軟有幾種不同的 Office 365 許可版本，價(jià)格低的就沒有提供所需的數(shù)據(jù)。最便宜的一版是E3許可。公司企業(yè)從現(xiàn)場Exchange環(huán)境遷往云端，覺得自己轉(zhuǎn)向云端 Office 365 可以節(jié)省成本。但E3的安全日志與審計(jì)非常有限，與原先的現(xiàn)場Exchange環(huán)境不是同一個(gè)量級的，提供不了企業(yè)所需的日志功能。而且E3也不如E5許可或高級安全許可健壯。

攻擊發(fā)生時(shí)，使用 Office 365 的公司并不能立即查看日志，得向微軟發(fā)出請求，然后祈禱他們能返回些有用的數(shù)據(jù)。

即便設(shè)置了API，數(shù)據(jù)也推入了SIEM，問題仍未完結(jié)。很多SaaS供應(yīng)商仍在完善其產(chǎn)品和安全功能，API隨時(shí)在變。圍繞這些數(shù)據(jù)的操作總在改變，跟上這種變化本身就是一大負(fù)擔(dān)。

只要數(shù)據(jù)饋送領(lǐng)域發(fā)生改變，饋送就可能中斷。或者，SaaS供應(yīng)商添加新的功能，而饋送未能拾取。舉個(gè)例子，去年亞馬遜發(fā)布了GuardDuty，這是個(gè)很棒的安全服務(wù)，然后今年他們又推出了 Security Hub，是GuardDuty與其他服務(wù)的聚合。這是向簡化服務(wù)到單一饋送所邁出的一步，但因?yàn)楸戎暗墓δ芨S富，企業(yè)想要用新服務(wù)就得更改自己的集成以融入該新添服務(wù)。

對客戶而言，這意味著更多的工作，是客戶的一大痛點(diǎn)，尤其是在聚合領(lǐng)域。沒人會只消費(fèi)一種東西，緊跟所有變動令人身心俱疲。對中型企業(yè)而言數(shù)據(jù)流會驟增，大多數(shù)安全預(yù)算支持不了這個(gè)。

Salesforce這樣的成熟企業(yè)有自己的發(fā)布周期，也有詳細(xì)的文檔和提前測試的能力。但仍需有人跟進(jìn)該服務(wù)，而這需要時(shí)間。有太多原因讓公司企業(yè)想要將此類工作交托給別人。

Pondurance就是不想手動做這一切的公司之一。很多托管安全服務(wù)提供商都自行承擔(dān)了這項(xiàng)工作，還未找到可靠的服務(wù)來從云服務(wù)提供商收集所有數(shù)據(jù)饋送并保持更新。但此類服務(wù)肯定是很多公司企業(yè)所渴求的。

同時(shí)，一些較老的SIEM平臺在從云數(shù)據(jù)源收集日志數(shù)據(jù)時(shí)可能會遭遇麻煩，因?yàn)檫@些老舊平臺原本只設(shè)計(jì)了處理現(xiàn)場系統(tǒng)數(shù)據(jù)饋送的功能。老舊平臺在這方面存在架構(gòu)性問題，只能跑在現(xiàn)場服務(wù)器上，但公司企業(yè)需要訪問的服務(wù)依托云端。

不過，公司企業(yè)也在迎頭趕上。比如說，Splunk就設(shè)置了云選項(xiàng)。Gartner剛剛發(fā)布了魔力象限報(bào)告，其中幾個(gè)SIEM供應(yīng)商如今開始提供云交付了。除了Splunk，還有IBM、AlienVault、BlackStratus、ManageEngine和Rapid7。

基于云的SOC

對很多公司而言，將其SIEM安置在安全數(shù)據(jù)所處的云端是有利的。遺留系統(tǒng)無法納入這些數(shù)據(jù)，讓這些數(shù)據(jù)通過防火墻就是件棘手的工作，需要做配置上的改動。如果SIEM就在云端，事情就簡單多了，分分鐘搞定。

而且，不僅僅是SaaS供應(yīng)商和云計(jì)算平臺會產(chǎn)生饋送，越來越多的服務(wù)正向云端遷移。就以下一代殺毒軟件公司為例，殺軟數(shù)據(jù)絕對需要進(jìn)入SIEM，但一些最流行的殺軟技術(shù)如今已位于云端，比如CrowdStrike和Cylance。

數(shù)據(jù)防丟失技術(shù)、入侵預(yù)防技術(shù)也在向云端遷移。Gartner報(bào)告指出，到2020年，25%的新SIEM實(shí)現(xiàn)將以服務(wù)形式交付，而這一數(shù)字在2017年僅5%。安全人才短缺和威脅態(tài)勢的快速變化也驅(qū)動著很多公司寄希望于 SaaS SIEM 和共管式SIEM。

Netskope云安全報(bào)告：

https://resources.netskope.com/cloud-reports/netskope-cloud-report-october-2018

Gartner SIEM魔力象限報(bào)告2018獲取地址：

https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant/thanks.html