?企業(yè)采用更多的云計(jì)算服務(wù)意味著具有更大的網(wǎng)絡(luò)攻擊面。它還使企業(yè)如何準(zhǔn)確地尋找潛在威脅變得復(fù)雜。但是有一些措施可以降低風(fēng)險(xiǎn)。

如今很多企業(yè)的業(yè)務(wù)都在運(yùn)行在云中。事實(shí)上，大多數(shù)都是中大型企業(yè)。然而，隨著多云變得越來越普遍，確保多個(gè)云平臺(tái)之間的安全變得更具挑戰(zhàn)性。

這有幾個(gè)原因，其中包括云計(jì)算提供商之間不同的安全模型和機(jī)制，缺乏跨環(huán)境的無(wú)縫可見性和不統(tǒng)一的工具集。

好消息是，意識(shí)到這些后勤挑戰(zhàn)對(duì)于圍繞它們進(jìn)行規(guī)劃有很長(zhǎng)的路要走。做到這一點(diǎn)的最佳方法之一是部署全面的多云威脅搜尋策略。

以下了解一些基于云的威脅搜尋用例，以及多云威脅搜尋引入的一些后勤和其他復(fù)雜性，以及如何應(yīng)對(duì)這些挑戰(zhàn)。

為什么威脅搜尋在云計(jì)算環(huán)境中很重要？

首先從定義威脅搜尋及其在單云和多云部署中提供的價(jià)值開始。

威脅搜尋采用情報(bào)驅(qū)動(dòng)的分析來確定網(wǎng)絡(luò)攻擊者是否以及在何處已經(jīng)獲得了對(duì)其資源的訪問權(quán)限。雖然這種描述過于簡(jiǎn)單化，但簡(jiǎn)而言之，威脅追蹤涉及基于已知的對(duì)手交易技術(shù)提出假設(shè)，即網(wǎng)絡(luò)攻擊者可能已經(jīng)獲得了對(duì)其運(yùn)營(yíng)環(huán)境的訪問權(quán)限，然后制定測(cè)試條件來證明或反駁這些假設(shè)看法。

威脅搜尋很重要，因?yàn)榻?jīng)驗(yàn)豐富的網(wǎng)絡(luò)攻擊者可以逃避檢測(cè)并繞過警報(bào)。通過對(duì)網(wǎng)絡(luò)攻擊者可能已經(jīng)在其網(wǎng)絡(luò)中入侵的跡象保持警惕，企業(yè)可以提高檢測(cè)這些對(duì)手的能力，在理想情況下，在他們能夠按照預(yù)期目標(biāo)采取行動(dòng)之前將其破壞。

相同的原則適用于云環(huán)境。不同之處在于企業(yè)如何獲取和分析進(jìn)入流程的信息以及可用于響應(yīng)的工具。

基于云的威脅搜尋基于三個(gè)基本規(guī)則：

• 僅僅因?yàn)槠髽I(yè)的業(yè)務(wù)在云中運(yùn)營(yíng)并不意味著網(wǎng)絡(luò)攻擊者停止攻擊活動(dòng)。
• 了解對(duì)手的目標(biāo)以及他們?yōu)閷?shí)現(xiàn)這些目標(biāo)而使用的交易手段對(duì)企業(yè)的防御策略是有益的。
• 而跨所有層的可見性，即使是那些運(yùn)營(yíng)管理位于共享責(zé)任模型的云服務(wù)提供商(CSP)一側(cè)的層，也可以幫助企業(yè)更好地了解對(duì)手或他們的方法。

多云使事情變得更加復(fù)雜

從邏輯上講，云計(jì)算使威脅搜尋更加復(fù)雜。隨著企業(yè)從物理基礎(chǔ)設(shè)施/內(nèi)部部署環(huán)境遷移到云環(huán)境，由于合規(guī)性和配置透明度、遠(yuǎn)程數(shù)據(jù)源和基礎(chǔ)設(shè)施、核心安全功能和API數(shù)量等方面的困難，威脅識(shí)別將更具挑戰(zhàn)性。簡(jiǎn)而言之，隨著網(wǎng)絡(luò)攻擊面的擴(kuò)大，威脅追蹤需要更多的關(guān)注。

行業(yè)專家表示，分析人員在云中尋找威脅時(shí)需要更多信息和培訓(xùn)。這是因?yàn)樗麄儽仨毩私夂褪褂霉ぞ呒踩Ｐ?、架?gòu)、技術(shù)堆棧和其他元素，這些元素不僅由他們自己的組織部署，而且由他們的云計(jì)算服務(wù)供應(yīng)商、云計(jì)算供應(yīng)商和其他提供商部署。

多云威脅搜尋進(jìn)一步加大了賭注。這意味著更多的工具、更多的概念、更多的API和更多的數(shù)據(jù)源。還必須考慮跨環(huán)境分析和數(shù)據(jù)關(guān)聯(lián)。例如，考慮本地用戶、PaaS中的應(yīng)用程序前端和IaaS虛擬機(jī)中的后端API之間的三向?qū)υ?。確定在該對(duì)話中提出的請(qǐng)求是否合法可能涉及跨每個(gè)環(huán)境的各種日志存儲(chǔ)庫(kù)和不同的監(jiān)控工具。

將威脅搜尋擴(kuò)展到多云

如果企業(yè)想要推出多云威脅搜尋，首先，詢問可以建立哪些實(shí)踐來實(shí)現(xiàn)這一目標(biāo)。最終，制定戰(zhàn)略對(duì)企業(yè)來說是獨(dú)一無(wú)二的。這取決于企業(yè)的云使用情況、企業(yè)的威脅搜尋能力和方法以及其業(yè)務(wù)需求。雖然沒有一刀切的方法，但可以采取一些基本步驟來開始。

首先，規(guī)范在多個(gè)環(huán)境（包括云計(jì)算供應(yīng)商和內(nèi)部部署設(shè)施）之間流動(dòng)的數(shù)據(jù)和事件信息。這已經(jīng)是多云的一個(gè)已知問題；例如，考慮到網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)的基本支柱包括安全分析和智能，以及整合的儀表板。

了解跨環(huán)境的事件是多云安全管理、運(yùn)營(yíng)、事件響應(yīng)的核心組成部分，并且出于企業(yè)的目的——威脅搜尋。為此，必須了解正在使用的云環(huán)境和服務(wù)，了解所采用的安全模型，并確認(rèn)可以并且正在從每個(gè)位置收集正確的數(shù)據(jù)。

其次，解決系統(tǒng)威脅建模問題。考慮一個(gè)跨越多個(gè)云環(huán)境的應(yīng)用程序。企業(yè)如何知道威脅何時(shí)成為優(yōu)先事項(xiàng)以及如何以及在何處應(yīng)用資源來收集需要的信息？威脅建?？梢蕴峁椭?。通過從網(wǎng)絡(luò)攻擊者的角度查看應(yīng)用程序，可以開始提出假設(shè)，以衡量網(wǎng)絡(luò)攻擊者更有可能在何處以及如何進(jìn)行攻擊。通過擴(kuò)展，企業(yè)可以優(yōu)先考慮這些領(lǐng)域以進(jìn)行進(jìn)一步探索。這可以幫助企業(yè)了解要從每個(gè)環(huán)境中收集哪些數(shù)據(jù)，并幫助其制定要測(cè)試的假設(shè)以確定環(huán)境中是否存在網(wǎng)絡(luò)攻擊者。

最后是教育和實(shí)現(xiàn)。企業(yè)了解在不同環(huán)境中部署的內(nèi)容（例如構(gòu)建可靠和系統(tǒng)的庫(kù)存），并了解組件如何組合在一起、正在使用哪些本地服務(wù)以及企業(yè)使用的服務(wù)如何與更大、更全面的敘述聯(lián)系起來，這聽起來可能很簡(jiǎn)單，但只有少數(shù)超過一定規(guī)模的企業(yè)才能可靠、準(zhǔn)確和完整地做到這一點(diǎn)。

就像所有與安全相關(guān)的事情一樣，企業(yè)通過了解使用情況、了解安全和業(yè)務(wù)目標(biāo)以及進(jìn)行必要的思考和規(guī)劃來進(jìn)行多云威脅搜尋。威脅搜尋可以而且應(yīng)該在企業(yè)的云安全策略（多云或其他）中扮演與內(nèi)部部署運(yùn)營(yíng)環(huán)境相同的角色。?