云采用已势不可挡,但层出不穷的安全事件也将一个重要问题置于每个CIO和安全部门面前——在更开放的云服务上,威胁事件也在指数级增加,如何构建较有效的风险检测技术?
导论
安全厂商的答案是云安全解决方案——整合了基于数据的新一代安全技术如机器学习、威胁情报、情境分析等,核心是帮助企业有效提高威胁检测精准率(集中降低误报率),从而全面提升安全水准。无论是接受第三方服务商,还是自我升级,企业都需要对云安全基本策略有基本理解。
在启动令人头晕的复杂云安全体系之前,首先需要确定哪些数据需要监控。记住,威胁边界在云工作单元中是动态的,所以全部活动源都需要监控,包括配置、APIs、终端用户、管理员特权用户、联合用户、服务账户及事务类型等等。
其次需要理解情境的重要性,因为这是理解威胁严重程度以及判断特定活动和用户行为是否异常的途径。一个商业用户下班后执行了一个大规模对象删除命令、一个兼职合同工在不同云应用上执行了管理员操作、一个工程师从未知地址拷贝了源代码等,这些都是情境信息的简单示例。
全面监控和用户行为分析并结合情境进行分析,企业才能判断云服务的安全状态,在开始构建云安全体系前需考虑如下6个基本策略。
1. 威胁分析及检测架构
云安全系统的起点是威胁检测和分析,用于收集上述提及的全部源数据,并对早期线索进行处理,其中分析部分应利用机器学习技术输出确定的异常事件。有监督学习和无监督学习技术都应该被使用。
2. 安全配置
安全服务状况部分取决于安全配置的严密程度,一个薄弱的安全配置会为恶意用户敞开大门,导致的风险包括管理用户密码较弱、服务器连接限制宽松、允许匿名用户访问敏感内容等,严密的安全配置和持续监控其修改是很重要的。
3. 情境数据源
一个特定的风险事件应该置于当前情境之下进行分析。如果没有情境信息,就会出现很高的误报率。例如,分析用户异常行为只有用户登录活动目录的数据是不够的,为提升准确率,登录会话中,用户登录行为必须关联其它属性:事务类型、事务敏感程度、用户角色等,情境数据可以帮助威胁检测更加准确。
4. 用户行为分析
以用户为中心的行为分析系统中应覆盖特权用户和终端用户,高权限用户和连接着多个云服务的终端用户一样,都具有高风险性,都需要加入观察列表持续监控其行为,包括密码强度、认证策略、敏感权限等。
5. 有监督和无监督机器学习技术
机器学习技术用于定义基线和检测异常。具体方法需结合使用有监督和无监督模型去改进准确率和减少误报率。很多实施方法只用了其中一种,结果误报率很高,可扩展性也很差。
要改进威胁检测的准确率和扩展性,可使用无监督学习去为用户正常行为建模,通过统计及概率混合模型来验证用户正常行为,并筛选出高风险用户的异常行为。有监督模型需从安全专家中获得提示,并基于这些提示,来构建基准数据集来训练、验证和测试模型成熟度。
6. 威胁情报源
与安全社区以及商业威胁情报源实时合作,可加大在事件早期发现黑客攻击的成功率。例如,如果某外部情报为企业提供了一个黑名单网络信息,当黑客通过该黑名单IP地址中选择感染用户来入侵应用时,就会被迅速检测定位。
随着企业云迁移加速,广泛利用前沿安全技术包括机器学习、威胁情报、预测分析及情境感知等,可以将威胁检测响应提升到一个全新的高度。
