有效的云服务报警系统

原文作者:Venkat Pothamsetty

原文地址: https://dzone.com/articles/effective-cloud-security-alerting

任何安全系统的首要组件应是它的报警系统。当异常发生时,警报通常是最快也最有效的方式来提醒你尽快采取行动。但是过于恼人的警报也同样被诟病,例如发出误报或需要繁重精细的调校来保证报警系统的正常工作。毕竟,不影响到终端用户的轻微代码漏洞并不是那类需要在深更半夜叫醒你起床立即着手解决的问题。

那么,为了实现一个能够切合实际地、关注到真正的事故的风险报警系统,我们目前有什么足够好的解决方案呢?你可以在 Threat Stack 云安全平台使用手册 这个网站中了解到搭建安全报警系统的一些非常值得尝试的代码实践内容。

躲开“噪声”:如何设置警报的严重等级

当一些不寻常的事件在你的云服务环境中发生时,你希望能被告警以便及时做出处理。但如果说**每一个**反常的事件包括持续时间非常短的宕机行为都会触发大量并且烦人的警报,反而会给你带不来任何的好处。你需要的应该是触发稳定且准确的警报,并且这些警报应当附带有异常发生的上下文信息,以便你总是能够快速地做出判断,这是否是一个真正需要采取行动的问题。换句话说,你需要一个“克制”的系统:一个能产生不多不少,刚好合适的警报数量的报警系统。

一个很多组织都会犯的错误是,他们在警报系统内添加了太多不同的警报等级。事实上,传统的安全性升级过程 中有超过7个不同的等级(P0 - P7)。尽管能把大量的警报层次分明地分类看上去很美好,但事实却是各种警报很难能如我们所愿般那么容易地归类到不同的等级中。与之相对的,这也是为什么我们推荐只分为3类不同的警报和应对等级:**严重**、**警告**或**信息**/**监听**/**记录**,分别对应不同严重程度的威胁。

这是一个简单的、分为3个等级的升级过程看上去的样子:

3级预警升级过程

远离风吹草动:消除误报

除了使用如上文中提出的3级安全性升级过程模型之外,你还需要持续地为你的系统调整“正常”的标准以避免误报警的情况出现。为了实现这一功能,你需要考虑选择一个 云安全平台,这类平台能够通过结合你的历史数据来理解、区分在你的服务器上什么事件是“正常”或“异常”的,并以此为依据动态调整新的报警基准。值得注意的是,考虑到对于一个存在大数据、物联网、员工使用自己的设备办公(BYOD)的世界来说,手动的调整报警基准是一件非常困难的事情,更何况我们面对的风险和威胁也在不断地发展变化,所以通过自动化实现这些功能是最好的选择。

通过理解你的云服务环境中的各类活动或事件的规律,你能够更加准确地判断到底什么指标或事件才是值得需要被持续不断地记录或监视的。

回到基础:优化得到更加高效的报警系统搭建流程

你需要的报警系统,要能够在需要你采取行动应对异常的时候引起你的注意,但同时,你也不能本末倒置地把所有的时间和精力都用于搭建和仔细精调每一个警报规则上。

实际上,如果你能把搭建报警系统的流程优化的越好,你就能有更多的时间去关注应对异常上。

从基础的报警规则集开始是一个不错的选择,而且这套规则集经过调整后已经用在了很多的产品上。基础的报警规则集能够根据在其他环境中预先观测到的资料来提供自动区分警报等级的功能。举个例子,基础报警规则集能在一个新节点被从网络中删除时、配置列表发生了未被授权的修改、创建了新的用户或着访问权限被修改时提醒你。此外基础的报警规则集往往提供了一定的自定义修改空间让你能够根据你的部门需要单独设置各个报警规则的启用状态和指定各个事件对应警报的严重程度,但不需要任何配置也同样能使用默认的基础框架快速的上手开始使用。

实现你自己的云服务安全报警系统

为了能确定你的组织需要的报警系统应该是什么样子,最好的方法就是先对发生在你的云环境中的各类事件有清晰且透彻的理解,并分析在你的环境中,3个不同的安全等级分别包括了哪些事件,如参考在上文中所提到的3级分类标准。同时请始终牢记,被其他公司分配为1级的警报,对你而言可能属于其它等级的警报,所以一定要结合你的云环境特点和使用情况来决定,该怎样指配警报等级才是合理的。从这里开始,选择一个能实现自动设置警报触发基准、能提供给你一个基础的规则集来缩短你的配置时间的云安全解决方案,以便能让你能将更多的时间用于解决真正的问题上。

本文的版权归 Weston Wu 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏极乐技术社区

小程序 · 一周报

6 月 21 日,微信升级小程序插件能力:开放插件登录能力;支持在插件内使用微信支付能力,便于用户在插件内完成预订、购买等流程;新增全页面插件,开发者可开发完整...

720
来自专栏IMWeb前端团队

Crosswalk携手深度操作系统发布15版本

? 深度操作系统是由英特尔开源技术中心创建的一个基于Blink/Chromium内核的开源HTML 5引擎,通过全方位的创新和优化提升HTML 5的体...

1879
来自专栏BIT泽清

金融理财类app上架因苹果PLA1.2;5.2.1;3.2.1等审核拒绝

从今年1月初以来,苹果应用商店针对应用审核所采取的行动让大批金融理财应用、其他应用、马甲应用陷入了苦站:被拒几率暴增,很多开发者都被苹果暴击了、多次审核不过、审...

5137
来自专栏前沿技墅

微服务框架全家福【多语言版】

1995
来自专栏姬小光

如何洞悉隐性需求

俗话说,计划赶不上变化快,无论需求文档做得如何细致,考虑得如何周全,总会有些难以预料的需求变更在每天困扰着我们。开发人员苦恼,产品运营人员更苦恼,毕竟谁也不愿意...

713
来自专栏知晓程序

小程序搜索功能不容忽视,背后大有深意

1162
来自专栏互联网数据官iCDO

Google Analytics增强版电子商务功能的分步指南

译者:陈荣芳、审校:朱玉雪 本文长度为3728字,预估阅读时间7分钟。 我们今天要向大家简单介绍下,如何使用Google Analytics增强版电子商务插件...

3534
来自专栏黑白安全

将“窃取隐私的贼”扼杀在襁褓中

导读:互联网时代,运筹帷幄之中,决胜千里之外不再是奇人所为,大数据的发展更让我们觉得,世界都在关注我。想你之所想,急你之所急,精准的营销和推荐让我们享受着主人公...

684
来自专栏安恒信息

物联网安全漏洞!LED灯泡存漏洞幸已修补

英国资安研究公司ContextInformation Security发布声明警告所有与物联网相关的公司,由LIFX公司生产,支持无线连网的LED...

3367
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

1100

扫码关注云+社区