未知風險
如果您一直專注於客製化警示、透過自動化改進事件回應程序以及改善安全防禦,那麼您可能想知道下一步要改進什麼。您可能對未知風險感到好奇,如圖 3 的未知類別所示。您可以透過以下方法降低未知風險:
-
定義安全性聲明 – 您可以聲明哪些真理? 您的環境中絕對真實的安全基本值是什麼? 清楚地定義這些可讓您逆向搜尋。比起稍後才對安全性聲明進行逆向工程,這在雲端之旅的初期更容易完成。
-
教育、溝通和研究 – 為員工成立雲端安全專家,或者納入專家合作夥伴,以協助審查您的環境。挑戰您的假設,提防機巧的推理。在流程中建立回饋迴圈,為工程團隊提供與安全團隊溝通的機制。您還可以擴展監控相關安全郵件清單和資訊安全披露的方法。
-
減少攻擊面 – 提高防禦能力,以避免風險,並給自己更多的時間抵禦未知攻擊。阻止並減慢攻擊者的速度,並強迫他們暴露蹤跡。
-
威脅情報 – 訂閲來自世界各地的最新和相關威脅、風險及指標的持續摘要。
-
警示 – 產生通知,提醒您注意異常、惡意或昂貴的活動。例如,您可以針對在不使用的區域或服務中發生的活動建立通知。
-
機器學習 – 使用機器學習來識別特定組織或個人角色的複雜異常狀況。為了協助識別異常行為,您還可以分析網路、使用者和系統的正常特徵。
在考慮盲點和未知項目時,威脅情報是主要主題。周哈里窗顯示的是如何對您知道和不知道的內容進行分類,而威脅情報則顯示如何解釋您還不知道的內容。威脅情報是一門學科,可協助公司了解威脅模型的各個角落,找出貴公司可能尚未知道的威脅。
通常,威脅情報包括:
-
找到新的威脅。
-
定義新模式。
-
定義新的自動化取得技術。
-
重複以上過程。
雖然這個做法會有幫助,但維護威脅情報團隊對許多企業 (甚至大型企業) 可能是個負擔。最後,問題就變成須符合您的威脅模型、規模和風險逆境。請考慮下列問題:
-
您的威脅模型是否與企業所處的標準垂直領域有很大不同?
-
您的風險承受能力是否過低,因此需要這樣的團隊?
-
為企業經營一個團隊,在財務上是否合理?
-
您的風險概況是否足以吸引合理的人才參與您的事業?
如果任何一個問題的回答為否,則您應尋求威脅情報合作夥伴。許多大型知名公司都提供具有競爭力的服務。
AWS 提供讓您自行管理這些問題的工具和服務。使用機器學習辨別惡意模式是經過充分研究的領域,其模式由客戶、AWS 專業服務、APN 合作夥伴以及透過 Amazon GuardDuty 和 Amazon Macie 等 AWS 服務來實施。其中一些模式已在 AWS re:Invent 會議議程上討論過。如需詳細資訊,請參閲本白皮書的媒體一節。
客戶也在擴展其傳統上以業務為中心的資料湖,以便在開發安全資料湖時,能利用類似的架構模式。安全營運團隊也將傳統日誌記錄和監控工具 (如 Amazon OpenSearch Service 和 OpenSearch Dashboards) 的使用擴展到大數據架構中。
這些客戶正在從 AWS CloudTrail 事件日誌、VPC 流程日誌、Amazon CloudFront 存取日誌、資料庫日誌和應用程式日誌中收集內部資料,然後將這些資料與公有資料和威脅情報相結合。藉助這些寶貴的資料,客戶已經擴展到在其安全營運團隊中包含資料科學和資料工程技能,以利用諸如 Amazon EMR、Amazon Kinesis Data Analytics、Amazon Redshift、Amazon QuickSight、AWS Glue、Amazon SageMaker 和 AWS 上的 Apache MxNet 等工具來建構自訂解決方案,用於識別和預測其業務獨特的異常情況。
最後,請參閲來自 APN 合作夥伴之數百種業界領先產品的安全合作夥伴解決方案
