未知风险
如果您一直专注于定制警报、通过自动化改进事件响应程序以及改进安全防御,那么您可能会想知道接下来要改进什么。您可能对未知风险感到好奇,如图 3 中的未知类别所示。您可以通过以下方法降低未知风险:
-
定义安全断言 – 您可以断言哪些事实? 在您的环境中绝对应该存在哪些安全原语? 明确定义这些原语使您可以逆向搜索。这在云之旅的早期阶段更容易做到,而不是在以后尝试对安全断言进行逆向工程。
-
教育、沟通和研究 – 在员工中培养云安全专家,或让专家合作伙伴协助仔细检查您的环境。挑战您的假设,警惕微妙的推理。在流程中创建反馈循环,并为工程团队提供与安全团队沟通的机制。您还可以扩展监控相关安全邮件列表和信息安全披露的方法。
-
减少攻击面 – 提高防御能力,规避风险,让自己有更多时间抵御未知攻击。阻止攻击者和减慢攻击者的速度,并迫使他们发出噪音。
-
威胁情报 – 订阅世界各地的当前和相关威胁、风险和指标的持续馈送。
-
警报 – 生成通知,提醒您注意异常、恶意或代价高昂的活动。例如,您可为在不使用的区域或服务中发生的活动创建通知。
-
机器学习 – 使用机器学习来识别特定组织或个人角色的复杂异常。为了帮助您识别异常行为,您还可以分析网络、用户和系统的正常特征。
当您考虑盲点和未知的未知数时,威胁情报成为主要话题。乔哈里视窗显示了如何对您知道和不知道的内容进行分类,而威胁情报显示如何解释您还不知道的内容。威胁情报是一门学科,可以帮助公司了解威胁模型的各个角落,以发现贵公司可能还不知道存在的威胁。
通常,威胁情报包括:
-
发现新的威胁。
-
定义新模式。
-
定义新的自动化采集技术。
-
重复这些过程。
尽管这种做法可能会有所帮助,但威胁情报团队的照护和维护可能会使许多企业(甚至是大型企业)负担过重。最后,问题变成了匹配威胁模型、规模和风险逆境的问题。考虑这些问题:
-
您的威胁模型是否与企业所处的标准垂直行业有足够的显著差异?
-
您的风险偏好是否足够低,导致需要这样的团队?
-
为您的企业组建一支团队在财务上是否可行?
-
您的风险状况是否足以吸引合理的人才加入您的事业?
如果您对这些问题中的任何一个的回答是否,您很可能应该找一个威胁情报合作伙伴。这项服务由许多大型知名公司提供,具有竞争力。
AWS 为您提供了自行管理这些问题的工具和服务。使用机器学习识别恶意模式是一个经过充分研究的研究领域,其模式由客户、AWS 专业服务、APN 合作伙伴以及通过 Amazon GuardDuty 和 Amazon Macie 等 AWS 服务来实施。其中一些模式已在 AWS re:Invent 会议上进行了讨论。有关更多信息,请参阅本白皮书的媒体部分。
客户还在扩展其传统上以业务为中心的数据湖,以便在开发安全数据湖时利用类似的架构模式。安全运营团队还将传统日志记录和监控工具(例如 Amazon OpenSearch Service 和 OpenSearch Dashboards)的使用扩展到大数据架构。
这些客户从 AWS CloudTrail 事件日志、VPC 流日志、Amazon CloudFront 访问日志、数据库日志和应用程序日志中收集内部数据,然后将这些数据与公有数据和威胁情报相结合。有了这些宝贵的数据,客户已经扩展到将数据科学和数据工程技能纳入其安全运营团队,以便利用 AWS 上的 Amazon EMR、Amazon Kinesis Data Analytics、Amazon Redshift、Amazon QuickSight、AWS Glue、Amazon SageMaker 和 Apache MXNet 等工具来构建用于识别和预测其业务特有的异常情况的自定义解决方案。
最后,请参阅安全合作伙伴解决方案
