SOC怎樣適應云時代
責編:gltian |2019-01-08 17:07:53將數據和過程遷移到云端給企業安全運營中心(SOC)提出了一些挑戰。公司企業該如何收集、監視和分析基于云的安全數據呢?
隨著越來越多的關鍵業務職能脫離現場環境遷移向云端,SOC面臨適應改變和監視新環境的嚴峻挑戰。有些SOC依賴供應商提供的管理與安全工具,有些采用第三方服務從其SaaS、PaaS和IaaS提供商處拉入數據,還有些則打造自己的安全門戶。
INAP是一家數據中心、云及主機托管服務提供商,這家公司不僅要管理和保護其基礎設施,還要為其客戶提供管理及安全數據反饋。由于除60萬平方英尺的數據中心外還為客戶管理著多云實例,該公司的管理任務列表中還包括了所有主流云供應商提供的基礎設施。
INAP全球云服務高級副總裁 Jennifer Curry 表示:這些環境中傳統監視工具沒用,用戶訪問不到網絡,也接觸不到底層基礎設施。
云供應商,比如亞馬遜、谷歌和微軟,會提供數據反饋。INAP運用其API往自身系統中拉取日志和其他數據,但這一過程總是說起來容易做起來難。
用API時總會碰到范圍和速度的改變,很難跟上這種變動。云空間里就是這樣,變化多端是云環境的本質。發展很快,總在維護。
可行的時候,INAP會使用商業工具。在知道將會快速改變的情況下,INAP會編寫解決方案并定制之。目前沒有哪個平臺能滿足公司所有需求。INAP的定制對其客戶而言是項增值服務,單個平臺無法實現在發現更有效率的功能時進行加載或替換。
當然,INAP的部分核心業務定位就是云環境管理,該公司必須能夠處理好這些事務并分配足夠的人員專門負責此事。其他沒有多云環境及服務管理業務的公司企業可能不具備類似的資源。
發現云服務問題
首先,很多安全團隊甚至都不了解自家公司有多少云服務在用。BetterCloud主營SaaS應用管理及安全防護,其首席業務戰略官 Shreyas Sadalgi 稱,普通公司企業通常用他們公司的服務處理7個SaaS應用。
BetterCloud支持谷歌 G Suite、Okta、Dropbox、Slack、Box、Salesforce、Zendesk、Namely和 Office 365,今年還將在其新的社區交換平臺上添加10個支持對象。只要有API,還可按客戶需求連接其他云服務。
該公司目前擁有2,500家客戶,其安全團隊最為重視經許可的任務關鍵應用。Sadalgi認為:這些應用是客戶想要保護的。長長的SaaS應用列表真沒那么重要,因為所有任務關鍵工作都在這些經許可的應用里做了。
然而,專注一小撮經許可的云服務也許是個錯誤。云安全供應商Netskope產品管理總監 Gautam Kanaparthi 說:
我們問道‘你們在用多少個云服務’時,他們回答說10個,或許是20個。但當我們審查時,往往會發現數百個云應用,有時候甚至是數千個。
Netskope最近的云安全報告中,公司企業平均在用1,246個云服務,比一年前的1,022個上升了22%。其中包括175個人力資源相關的服務,170個市場營銷相關的,110個協作相關,財務和客戶關系管理各76個。這些應用中任何一個都有可能給出敏感業務數據,而且其中大多數都不是企業級可用的。
最大的問題出自身份與訪問管理(IAM)領域,其次是監視、網絡和日志記錄。Kanaparthi稱:這絕對是現代安全團隊面臨的巨大挑戰。最主要的困難在于安全不再處于企業IT部門控制之下。過去所有流量都要經過企業數據中心,但現在可以從任何地點訪問任何服務。這對安全團隊而言是個全新挑戰。
平臺特定的安全與管理工具
大多數面向企業的云供應商提供的都是同樣的管理與安全工具,無論是通過儀表板還是API提供,或者是雙管齊下。但若使用儀表板,安全團隊需在不同系統中切換。這就很頭疼了。因為他們不得不學習各種不同工具的用法。而且也更難以檢測同時襲擊多個不同平臺的攻擊。
云提供商并非總能獲取到安全團隊所需的全部信息。比如說,某公司想確保員工從有口令和殺軟保護的安全設備登錄其SaaS服務。通常,SaaS提供商關注用戶本身:用戶有訪問授權嗎?但他們不會知道用戶是不是從不安全的家用電腦登錄。這才是企業客戶當前的最大問題。
為解決這些問題,企業開始采用云訪問安全代理(CASB)或單點登錄解決方案。比如說,Pulse就出售裝在用戶設備上的軟件客戶端,可以監視并報警安全策略違反現象。公司的安全團隊可以登錄到基于云的儀表板上查看問題。
雖然Pulse解決了移動勞動力登錄云應用的可見性空白,但安全團隊又因此而新增了一個問題:他們需要登錄的云儀表板又多了一個——一塊沒集成進其他云服務或自家SIEM的儀表板。
客戶要的是能融入SIEM的數據饋送,但Pulse當前并沒有這個功能,2019年晚些時候會增加這個集成。
將云應用登錄數據饋送進SIEM或其他集中式安全平臺的最佳辦法是使用API,用一個腳本就能通過HTTPS拉取日志。該過程正變得越來越簡單,但你必須弄清楚自己想要查看哪些數據,然后據此微調。
云數據反饋聚合器
為解決多云提供商安全管理問題,有些供應商打造了多云平臺連接器,然后將之全都推入一個儀表板或數據饋送中去。Netskope的Kanaparthi稱:
我們的API鉤上所有這些應用,與所有供應商建立聯系,提供單一管理面板。
Netskope還提供超細粒度控制,可以跟蹤與公司外部人員共享最多文檔的員工,監視有多少個人賬戶用作在Box和Dropbox之類文件共享服務。
我們也理解客戶有SIEM且想將數據饋送進SIEM。所以,我們在Splunk上設有應用,并創建了可以插入其他任何SIEM應用的API。
將云數據拉入自有SIEM
大型企業的SOC一般都有自己的SIEM或類似的平臺。如果一個云服務提供API數據饋送,其日志數據就能被拉入該SIEM供安全分析師在單一平臺上審視自家各類系統。
面向企業的供應商通常都有這樣的API,但某些情況下,SaaS應用的第一或第二版可能暫時沒有這樣的API可用。
有時候,數據是可用的,但客戶沒設置對數據的訪問。比如說,微軟有幾種不同的 Office 365 許可版本,價格低的就沒有提供所需的數據。最便宜的一版是E3許可。公司企業從現場Exchange環境遷往云端,覺得自己轉向云端 Office 365 可以節省成本。但E3的安全日志與審計非常有限,與原先的現場Exchange環境不是同一個量級的,提供不了企業所需的日志功能。而且E3也不如E5許可或高級安全許可健壯。
攻擊發生時,使用 Office 365 的公司并不能立即查看日志,得向微軟發出請求,然后祈禱他們能返回些有用的數據。
即便設置了API,數據也推入了SIEM,問題仍未完結。很多SaaS供應商仍在完善其產品和安全功能,API隨時在變。圍繞這些數據的操作總在改變,跟上這種變化本身就是一大負擔。
只要數據饋送領域發生改變,饋送就可能中斷。或者,SaaS供應商添加新的功能,而饋送未能拾取。舉個例子,去年亞馬遜發布了GuardDuty,這是個很棒的安全服務,然后今年他們又推出了 Security Hub,是GuardDuty與其他服務的聚合。這是向簡化服務到單一饋送所邁出的一步,但因為比之前的功能更豐富,企業想要用新服務就得更改自己的集成以融入該新添服務。
對客戶而言,這意味著更多的工作,是客戶的一大痛點,尤其是在聚合領域。沒人會只消費一種東西,緊跟所有變動令人身心俱疲。對中型企業而言數據流會驟增,大多數安全預算支持不了這個。
Salesforce這樣的成熟企業有自己的發布周期,也有詳細的文檔和提前測試的能力。但仍需有人跟進該服務,而這需要時間。有太多原因讓公司企業想要將此類工作交托給別人。
Pondurance就是不想手動做這一切的公司之一。很多托管安全服務提供商都自行承擔了這項工作,還未找到可靠的服務來從云服務提供商收集所有數據饋送并保持更新。但此類服務肯定是很多公司企業所渴求的。
同時,一些較老的SIEM平臺在從云數據源收集日志數據時可能會遭遇麻煩,因為這些老舊平臺原本只設計了處理現場系統數據饋送的功能。老舊平臺在這方面存在架構性問題,只能跑在現場服務器上,但公司企業需要訪問的服務依托云端。
不過,公司企業也在迎頭趕上。比如說,Splunk就設置了云選項。Gartner剛剛發布了魔力象限報告,其中幾個SIEM供應商如今開始提供云交付了。除了Splunk,還有IBM、AlienVault、BlackStratus、ManageEngine和Rapid7。
基于云的SOC
對很多公司而言,將其SIEM安置在安全數據所處的云端是有利的。遺留系統無法納入這些數據,讓這些數據通過防火墻就是件棘手的工作,需要做配置上的改動。如果SIEM就在云端,事情就簡單多了,分分鐘搞定。
而且,不僅僅是SaaS供應商和云計算平臺會產生饋送,越來越多的服務正向云端遷移。就以下一代殺毒軟件公司為例,殺軟數據絕對需要進入SIEM,但一些最流行的殺軟技術如今已位于云端,比如CrowdStrike和Cylance。
數據防丟失技術、入侵預防技術也在向云端遷移。Gartner報告指出,到2020年,25%的新SIEM實現將以服務形式交付,而這一數字在2017年僅5%。安全人才短缺和威脅態勢的快速變化也驅動著很多公司寄希望于 SaaS SIEM 和共管式SIEM。
Netskope云安全報告:
https://resources.netskope.com/cloud-reports/netskope-cloud-report-october-2018
Gartner SIEM魔力象限報告2018獲取地址:
https://www.splunk.com/en_us/form/gartner-siem-magic-quadrant/thanks.html