【解读】《云事件响应框架》:云服务用户响应和管理事件首选指南

news2024/12/23 0:12:05

在这里插入图片描述

微信搜索”国际云安全联盟“,回复关键词“云事件”下载本报告

当今互联时代,全面的事件响应策略对于需要管理与降低风险的组织必不可少。然而,在基于云的基础设施和系统的事件响应策略方面,部分由于云的责任共担特性,存在诸多顾虑因素。

许多政府与行业的指南中都有针对传统的本地信息技术(IT)环境制定事件响应的框架,但是,当把云计算环境也考虑在内时,必须修改和完善传统事件响应框架中定义的角色和职责,以便与在不同云服务模式及部署模式的云服务提供商(以下简称:CSP)和云服务客户(以下简称:CSC)的角色和职责保持一致。

国际云安全联盟CSA发布《云事件响应(CIR)框架》,旨在为用户提供一个广泛使用的整体框架和一致的视图,提供有效准备和管理云事件风险的指南,并为CSP与CSC共享云事件响应实践提供透明和通用的框架。

在这里插入图片描述

CSC和CSP共同责任风险矩阵

云事件响应框架(CIR)可以定义为在云环境中管理网络攻击的过程,本白皮书框架采用了《CSA云计算关键领域安全指南》和《NIST计算机安全事件处理指南》(NIST 800-61rev2 08/2012)中普遍接受的“事件响应生命周期”,包括四个阶段:

· 第一阶段: 准备和后续评审

· 第二阶段:检测与分析

· 第三阶段:遏制、根除和恢复

· 第四阶段:事后分析

在这里插入图片描述

第一阶段:准备和后续评审

准备工作涉及云事件之前所需的策略和行动。有效的事件响应计划包括组建CIR团队(CIRT)、战略规划和准备、程序开发、技术准备和沟通计划创建。

在云环境中,CSC并不是所有系统的所有者。根据采用的服务模型及其相应的责任共担模型,一些工件和日志由CSP管理。当第三方 IR 提供者参与时,CIR 计划也应将它们包括在整个过程中。

CIR计划应包括:

· 现有环境、云架构、责任模型分析。

· 为有效和高效的CIR响应和补救制定事件处理计划、流程和程序/自动化(CSC和CSP)。

· 技术层面的准备(CSC和CSP),主动监控运行错误和恶意活动的指标。

· 沟通渠道准备(CSC和CSP)

同时,在整个IR过程中,组织应维护事件文件,确保有系统的记录,有效地审查事件和经验学习。

第二阶段:检测和分析

检测和分析涵盖了云事件的各种迹象和可能的原因,以便及早发现。为了确定根本原因,讨论了多种方法,早期事件通知的速度(以及基于业务影响的相应解决时间)也是CSP/CSC考虑的重点。

以下为分析事件,判断影响的步骤:

事件分析:如果问题判断是“假报警”,那么文档(也就是工单)应该将该评估更新并关闭该问题。必须评估每个指标,确定其合法性。

事件通知:事件响应计划需要系统地安排使得业务和服务运营影响最小化,并且在事件发生时通知相关方。事件发布应该取决于事件影响的严重程度,由于高度复杂的云环境存在大量的事件,只有那些关键和影响严重的事件才需要通知高层。CSP和CSC应将事件发布矩阵集成到双方合同和(或)SLA中。

事件通知时机:通知时间至关重要。尽管需要快速处置事件,但是尽快通知利益相关方也同样重要,使得他们理解当前情况,从而能够建议和采取必要行动降低事件影响。

事件影响:事件影响模型必须事先建立,CSP和CSC使用该模型保障在事件评估、事件影响、通知和相应的响应活动的一致性。事件优先矩阵(也被称为“影响和应急矩阵”)来源于影响的严重程度和应急水平。必下面例子包括了CSP和CSC应该共同考虑的关键影响类型:

· 业务:业务危急的范围和水平

· 财务:停工损失或声誉损害

· 监管/法律:数据隐私和合同条款

证据收集与处理:识别与调查相关的数据对于确定事件的根本原因和识别经验教训以避免重复至关重要。识别出的数据还可以帮助支持有益的信息共享计划,以防止类似事件的发生。

第三阶段:遏制、根除和恢复

遏制、根除和恢复解释了在进行调查和取证时选择正确策略阻止攻击者进一步破坏系统的重要性。

选择遏制策略:在某些情况下,一些组织将攻击者重定向到沙盒(一种类似蜜罐的遏制形式),以便监视攻击者的活动。IR团队应该与其法律顾问讨论该策略,确定其可行性。

根除:消除问题。这包括最大限度地减少损失、信息被盗和服务中断,以及消除威胁。

恢复:包括安全、及时地恢复计算服务。恢复过程将系统修复到原始的或增强的状态。此过程通过应用补丁、重建系统的密钥文件、重新安装应用程序、更改密码和从备份中恢复文件,将其返回到生产过程中。

第四阶段 事后分析

事后分析过程识别人员、流程或技术方面的差距,并将其转化为必须在准备阶段吸取的“经验教训”。这一结束阶段的关键目标是改进未来的事件处理。

事件评估

对事件特征的分析可以在最低限度上指出安全弱点和威胁、云配置弱点以及事件趋势的变化。这些数据可以作为反馈循环添加到风险评估过程中,可能导致选择和实施额外的控制措施、流程和预防措施。

事件评估指标

收集突发事件数据,确定是否随着时间的推移而存在显著的趋势。集到的事件数据应该包含以下信息的指标(性能指标):

· 平均检测时间(MTTD):发现安全事件的平均时间。

· 平均确认时间 (MTTA):安全操作员响应系统警报所需的时间。

· 平均恢复时间 (MTTR):使系统恢复运行状态所需的时间。

· 平均遏制时间 (MTTC):检测、响应、消除和从事件中恢复所需的平均时间。

· 威胁指标,例如DDoS攻击时的Gbps或Tbps。

· 威胁行为者TTP(策略、技术和程序)。这些包括网络钓鱼和账户操纵。

事件总结报告

事件结束后,管理事件的CIR团队应使用从先前阶段和事件评估收集的数据撰写正式的事后报告 (AAR)。通常认为有必要在向高层管理人员报告信息后向更广泛的公众发布报告,促进跨企业的事件信息共享,这种透明度有助于同行更好地识别和控制风险。

事故证据保留

在“第2阶段检测和分析”期间收集的所有已识别证据必须根据企业适用的法律、法规、行业或合同义务的要求予以保留。为以下三个目的保留证据:

· 监管合规要求(即审计日志、警报生成、活动报告和数据保留的特定级别和粒度)。数据保留可能不是受提供商影响的标准服务协议的一部分。

· 法律:支持对破坏PII/PHI或企业系统的起诉。

· 风险管理:反映和重新评估新的威胁策略和技术。

· 培训:为了促进团队更好地为未来的事件做好准备,将适应性事件学习纳入其中

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/185914.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

sql的四种连接——左外连接、右外连接、内连接、全连接

一、内连接 满足条件的记录才会出现在结果集中。 二、 左外连接(left outer join,outer可省略) 左表全部出现在结果集中,若右表无对应记录,则相应字段为NULL 举例说明: 客户表: 订单表&#x…

2023年2月系统集成项目管理工程师认证【报名入口】

系统集成项目管理工程师是全国计算机技术与软件专业技术资格(水平)考试(简称软考)项目之一,是由国家人力资源和社会保障部、工业和信息化部共同组织的国家级考试,既属于国家职业资格考试,又是职…

Qt 根据参数 自动生成vs 工程

一,需求 给算法部门提供一套代码框架,让其写算法dll。为了使dll能融入主工程,其框架对格式有一定要求,为了增加算法部门的快发效率,因此开发一个小工具,用于自动生成这套框架。 运行后,只需要…

cdh+dolphinscheduler开启kerberos

搭建环境多台linux主机搭建集群CDH 6.3.2 (Parcel)版本dolphinscheduler 1.3.2版本本流程在CDH已搭建完成并可正常使用后,开启kerberos功能dolphinscheduler用于大数据任务管理与执行,是很不错的任务调度平台,是否提前部署均可开启kerberos目…

数据结构与算法:二叉树的学习

1.了解树形结构 1.概念 树是一种非线性的数据结构,它是由n(n>0)个有限结点组成一个具有层次关系的集合。把它叫做树是因为它看起来像一棵倒挂的树,也就是说它是根朝上,而叶朝下的。它具有以下的特点: …

《Unity Shader 入门精要》 第7章 基础纹理

第7章 基础纹理 纹理最初的目的就是使用一张图片来控制模型的外观。使用纹理映射技术(texture mapping),我们可以把一张图黏在模型表面,逐纹素(texel)(纹素的名字是为了和像素进行区分)地控制模型的颜色。…

爱了爱了,这是什么神仙级Apache Dubbo实战资料,清晰!齐全!已跪!

都2026年了 还没有用过Dubbo? Dubbo是国内最出名的分布式服务框架,也是 Java 程序员必备的必会的框架之一。Dubbo 更是中高级面试过程中经常会问的技术,面试的时候是不是经常不能让面试官满意?无论你是否用过,你都必须…

Postman(2): postman发送带参数的GET请求

发送带参数的GET请求示例:微信公众号获取access_token接口,业务操作步骤1、打开微信公众平台,微信扫码登录:https://mp.weixin.qq.com/debug/cgi-bin/sandbox?tsandbox/login2、打开微信开放文档,找到获取access_toek…

运放电路中各种电阻的计算-运算放大器

运放电路中各种电阻的计算 在学习运算放大器电路的时候,经常需要计算电路的: 输入阻抗Ri, 输出阻抗Ro, 同相端对地等效电阻RP, 反相端对地等效电阻RN, 这些参数很重要,在学习运放相关电路的时候经常要用到&#…

mysql8+mybatis-plus 查询json格式数据

sql 测试json表CREATE TABLE testjson (id int NOT NULL AUTO_INCREMENT,json_obj json DEFAULT NULL,json_arr json DEFAULT NULL,json_str varchar(100) DEFAULT NULL,PRIMARY KEY (id) ) ENGINEInnoDB AUTO_INCREMENT2 DEFAULT CHARSETutf8mb4 COLLATEutf8mb4_0900_ai_ci;IN…

API 网关策略二三事

作者暴渊,API7.ai 技术工程师,Apache APISIX Committer。 近些年随着云原生和微服务架构的日趋发展,API 网关以流量入口的角色在技术架构中扮演着越来越重要的作用。API 网关主要负责接收所有请求的流量并进行处理转发至上游服务,…

【数据结构和算法】认识队列,并实现循环队列

上接前文,我们学习了栈的相关知识内容,接下来,来认识一个与栈类似的,另一种特殊的线性表,队列,本文目的是了解并认识队列这一概念,并实现循环队列 目录 一、认识队列 1.队列的概念 2.队列的实…

入门力扣自学笔记232 C++ (题目编号:1669)

1669. 合并两个链表 题目: 给你两个链表 list1 和 list2 ,它们包含的元素分别为 n 个和 m 个。 请你将 list1 中下标从 a 到 b 的全部节点都删除,并将list2 接在被删除节点的位置。 下图中蓝色边和节点展示了操作后的结果: 请…

Docker-harbor私有仓库部署与管理

目录 前言 一、Harbor概述 二、Harbor的特性 三、Harbor的构成 四、Harbor构建Docker私有仓库 环境配置 部署Harbor服务 物理机访问server IP 添加项目并填写项目名称 通过127.0.0.1来登陆和推送镜像 其他客户端上传镜像到Harbor 维护管理Harbor 创建Harbor用户 …

JavaWeb_JavaScript

一、简介 JavaScript 是一门跨平台、面向对象的脚本语言,而Java语言也是跨平台的、面向对象的语言,只不过Java是编译语言,是需要编译成字节码文件才能运行的;JavaScript是脚本语言,不需要编译,由浏览器直接…

GPT-3是精神病患者吗?从心理学角度评估大型语言模型

原文链接:https://www.techbeat.net/article-info?id4494 作者:seven_ 20世纪60年代,麻省理工学院人工智能实验室的Joseph Weizenbaum编写了第一个自然语言处理(NLP)聊天机器人ELIZA[1],ELIZA通过使用模式…

linux Redis 集群搭建

在单例模式下继续执行,新增文件夹将之前解压后的文件复制到新增的文件夹中修改配置文件,并放入bin中bind 10.88.99.251(ip设置)protected-mode yes(默认yes,开启保护模式,限制为本地访问&#x…

ASEMI整流桥GBU808在选型的过程中需要注意几点

编辑-Z 型号:GBU808 最大重复峰值反向电压(VRRM):800V 最大RMS电桥输入电压(VRMS):560V 最大直流阻断电压(VDC):800V 最大平均正向整流输出电流&#xf…

为2023年做好 IT 安全防御准备

随着网络安全威胁形势的不断演变,安全运营中心 (SOC) 团队在新年伊始花时间审查他们的战略和关键保护措施。 SOC 团队明白,有效的安全性永远不会是一劳永逸的项目。现有的工具和服务需要不断监控和更新,以确保它们能够抵御当前和新出现的威…

测试人员提高业务掌握度的方案

测试人员除了掌握测试相关技术,比如测试流程、测试用例编写思路、自动化脚本的编写、维护之外,还需要对自己所测试的具体业务进行学习和掌握。 只有这样,才能去涉及灰盒、白盒测试,在测试执行过程中,提高自己分析、定位…