云計算技術的采用速度如今正在不斷加快，并將超過人們的預期。根據(jù)調研機構Gartner公司的預計，公共云市場將在2022年再增長21.7%，雖然這對各行業(yè)領域來說是一個積極的方向，但它會導致網絡安全風險發(fā)生巨大轉變，它還促使重新評估解決這些風險所需的解決方案。

不斷發(fā)展的新興技術和快速采用相結合，給試圖保持企業(yè)安全的安全部門帶來了巨大的挑戰(zhàn)，同時也試圖避免被視為阻礙數(shù)字化轉型的反對者。而企業(yè)面臨的挑戰(zhàn)是雙重的：一方面，不斷采用新的云計算服務來引入更多新技術(并且經常需要大量權限，為潛在的供應鏈攻擊開辟了新途徑)。另一方面，即使是已經過審查和采用(在理想情況下也是安全的)的現(xiàn)有云計算解決方案，在供應商級別和采用級別都在快速變化。這使得負責安全的人員幾乎不可能跟蹤和了解所有更改，并保持高水平的安全性。

此外，云計算服務(尤其是SaaS)易于采用，以及以產品為導向的增長方式(個人最終用戶支持產品并擴大其在企業(yè)中的采用)的增加，使得企業(yè)很難跟蹤其云計算資源清單及其相關風險。影子IT的挑戰(zhàn)更加突出，使曾經是一個小眾問題成為企業(yè)的主要風險。

除了所有這些挑戰(zhàn)之外，企業(yè)還面臨著技能的巨大短缺。網絡安全行業(yè)多年來一直面臨技能短缺的問題，全球估計有270萬個職位空缺。此外，了解傳統(tǒng)本地安全挑戰(zhàn)和解決方案的安全從業(yè)人員遠多于具有云安全專業(yè)知識的安全從業(yè)人員。緩解職位短缺的一種嘗試是將云計算專家轉變?yōu)樵瓢踩珜＜?，但這只是從另一個角度提出了同樣的問題——隨著云計算服務的迅速擴張，專家也很短缺。

不幸的是，所有這一切的結果是云平臺中的網絡攻擊空前增加，其增長速度甚至超過了云采用本身。由新冠疫情驅動的向遠程工作的過渡進一步加劇了這種情況。僅在新冠疫情發(fā)生的2020年第一季度，人們就看到云計算攻擊增加了630%，并且從那以后這個數(shù)字一直在持續(xù)增長。

毫不奇怪，很多企業(yè)并沒有為網絡攻擊事件的大量增加做好準備。許多人仍在建立他們的事件響應(IR)實踐，其中大部分都集中在他們的內部部署環(huán)境上，該環(huán)境將內部事件響應(IR)用于破壞性較低的事件與某種形式的保留與大型事件響應(IR)用于破壞性更嚴重的事件。對于具有成熟事件響應(IR)實踐的企業(yè)來說，只有傳統(tǒng)的本地事件響應(IR)功能對于內部和外部事件響應者來說都是成熟的。

不幸的是，很多企業(yè)現(xiàn)在發(fā)現(xiàn)，云計算內部事件響應(IR)實際上在幾個關鍵方面完全不同：

• 云攻擊不同。企業(yè)不僅關注惡意軟件和主機攻擊，還要關注功能濫用和跨資源傳播。不熟悉特定于云計算的攻擊的事件響應者將難以識別它們。
• 云中的取證調查完全不同。取證更側重于跟蹤跨云資源和應用程序的活動，而不是主機和端點取證。它還更多地依賴于云計算供應商提供的東西，而不是企業(yè)自己的軟件和硬件，它需要不同的工具和技能集(當然需要對云安全有深入的了解)。
• 取證數(shù)據(jù)不足或缺失可能是最困難的挑戰(zhàn)之一。一些丟失的數(shù)據(jù)可能是由于云計算提供商施加的限制，或者僅僅是由于較短的默認保留時間(通常不超過90天)。在其他情況下，它可能是該技術所固有的。例如一個被破壞的Kubernetespod在幾天后就無法調查，因為它已經作為普通操作的一部分被銷毀。
• 極端互連。隨著企業(yè)采用的增長，云計算變得越來越相互關聯(lián)，并且在不關閉企業(yè)的情況下控制和隔離事件變得更加困難。
• 技能短缺。非常了解云計算并能夠在這些環(huán)境中部署事件響應(IR)的事件響應者非常少見。

鑒于這些挑戰(zhàn)，現(xiàn)在是開始為企業(yè)的云計算事件做好準備的時候了。對于想要開始這一旅程的企業(yè)，這里有五個提示：

(1)意識——第一步是承認和理解存在安全漏洞并且必須加以解決。這包括不同的利益相關者，從高層管理人員到安全運營中心的一線人員。

(2)取證數(shù)據(jù)保留——云計算取證的最大挑戰(zhàn)之一是數(shù)據(jù)的可用性;因此，企業(yè)必須收集取證數(shù)據(jù)并將其保留以供將來調查。

(3)特定于云的事件響應(IR)計劃、劇本和桌面練習——許多傳統(tǒng)的事件響應(IR)計劃不適合云計算事件。企業(yè)需要調整這些計劃以包括這些類型的事件。

(4)雇傭、培訓和鍛煉——雖然技能短缺是真實存在的，但除了投入工作來緩解這個問題之外，別無選擇。企業(yè)必須聘請云安全專家，同時培訓和訓練現(xiàn)有員工成為云安全專家。

(5)需要云IR專業(yè)知識——確保事件響應(IR)合作伙伴和分配給您處理未來事件的人員真正了解云計算事件響應(IR)，并且可以在下一個重大事件中為企業(yè)提供支持。

云采用率不斷提高，推動向這些服務轉變的創(chuàng)新也在不斷增加。對于尋求改善當前和未來安全狀況的企業(yè)而言，為云計算環(huán)境中的新挑戰(zhàn)和網絡攻擊做好準備是至關重要的一步。