有效的云服务报警系统

原文作者:Venkat Pothamsetty

原文地址: https://dzone.com/articles/effective-cloud-security-alerting

任何安全系统的首要组件应是它的报警系统。当异常发生时,警报通常是最快也最有效的方式来提醒你尽快采取行动。但是过于恼人的警报也同样被诟病,例如发出误报或需要繁重精细的调校来保证报警系统的正常工作。毕竟,不影响到终端用户的轻微代码漏洞并不是那类需要在深更半夜叫醒你起床立即着手解决的问题。

那么,为了实现一个能够切合实际地、关注到真正的事故的风险报警系统,我们目前有什么足够好的解决方案呢?你可以在 Threat Stack 云安全平台使用手册 这个网站中了解到搭建安全报警系统的一些非常值得尝试的代码实践内容。

躲开“噪声”:如何设置警报的严重等级

当一些不寻常的事件在你的云服务环境中发生时,你希望能被告警以便及时做出处理。但如果说**每一个**反常的事件包括持续时间非常短的宕机行为都会触发大量并且烦人的警报,反而会给你带不来任何的好处。你需要的应该是触发稳定且准确的警报,并且这些警报应当附带有异常发生的上下文信息,以便你总是能够快速地做出判断,这是否是一个真正需要采取行动的问题。换句话说,你需要一个“克制”的系统:一个能产生不多不少,刚好合适的警报数量的报警系统。

一个很多组织都会犯的错误是,他们在警报系统内添加了太多不同的警报等级。事实上,传统的安全性升级过程 中有超过7个不同的等级(P0 - P7)。尽管能把大量的警报层次分明地分类看上去很美好,但事实却是各种警报很难能如我们所愿般那么容易地归类到不同的等级中。与之相对的,这也是为什么我们推荐只分为3类不同的警报和应对等级:**严重**、**警告**或**信息**/**监听**/**记录**,分别对应不同严重程度的威胁。

这是一个简单的、分为3个等级的升级过程看上去的样子:

3级预警升级过程

远离风吹草动:消除误报

除了使用如上文中提出的3级安全性升级过程模型之外,你还需要持续地为你的系统调整“正常”的标准以避免误报警的情况出现。为了实现这一功能,你需要考虑选择一个 云安全平台,这类平台能够通过结合你的历史数据来理解、区分在你的服务器上什么事件是“正常”或“异常”的,并以此为依据动态调整新的报警基准。值得注意的是,考虑到对于一个存在大数据、物联网、员工使用自己的设备办公(BYOD)的世界来说,手动的调整报警基准是一件非常困难的事情,更何况我们面对的风险和威胁也在不断地发展变化,所以通过自动化实现这些功能是最好的选择。

通过理解你的云服务环境中的各类活动或事件的规律,你能够更加准确地判断到底什么指标或事件才是值得需要被持续不断地记录或监视的。

回到基础:优化得到更加高效的报警系统搭建流程

你需要的报警系统,要能够在需要你采取行动应对异常的时候引起你的注意,但同时,你也不能本末倒置地把所有的时间和精力都用于搭建和仔细精调每一个警报规则上。

实际上,如果你能把搭建报警系统的流程优化的越好,你就能有更多的时间去关注应对异常上。

从基础的报警规则集开始是一个不错的选择,而且这套规则集经过调整后已经用在了很多的产品上。基础的报警规则集能够根据在其他环境中预先观测到的资料来提供自动区分警报等级的功能。举个例子,基础报警规则集能在一个新节点被从网络中删除时、配置列表发生了未被授权的修改、创建了新的用户或着访问权限被修改时提醒你。此外基础的报警规则集往往提供了一定的自定义修改空间让你能够根据你的部门需要单独设置各个报警规则的启用状态和指定各个事件对应警报的严重程度,但不需要任何配置也同样能使用默认的基础框架快速的上手开始使用。

实现你自己的云服务安全报警系统

为了能确定你的组织需要的报警系统应该是什么样子,最好的方法就是先对发生在你的云环境中的各类事件有清晰且透彻的理解,并分析在你的环境中,3个不同的安全等级分别包括了哪些事件,如参考在上文中所提到的3级分类标准。同时请始终牢记,被其他公司分配为1级的警报,对你而言可能属于其它等级的警报,所以一定要结合你的云环境特点和使用情况来决定,该怎样指配警报等级才是合理的。从这里开始,选择一个能实现自动设置警报触发基准、能提供给你一个基础的规则集来缩短你的配置时间的云安全解决方案,以便能让你能将更多的时间用于解决真正的问题上。

本文的版权归 Weston Wu 所有,如需转载请联系作者。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏生信技能树

生信小技巧第8课,加上 TCGA的28篇教程- 批量下载TCGA所有数据

(复制http://v.qq.com/x/page/v0666qu5y66.html这个链接在浏览器打开观看,当然,腾讯视频会给你看一分钟广告,而且需要自己选择...

873
来自专栏申龙斌的程序人生

搞定GTD-掌控流程之一:捕捉(2)

GTD流程的第一步是捕捉,来一次全面捕捉(收集)只是开始,要把收集变为日常的一种习惯,如果你看到一个人在闲聊的过程中不经意地掏出一个小本子,写了几笔之后又放入口...

2698
来自专栏工作随笔

改VB.NET“偷懒”技巧

【开篇胡侃】虽然搞软件开发很多年了,但似乎从没有动手写过什么(很丢脸的感觉),因为,我的精力都献给了我的其他爱好,比如健身、美食、旅游等等,反而把自己最该专注的...

25413
来自专栏IT技术精选文摘

当代码变更遇上精准测试的总结

敏捷模式下迭代频繁,回归测试时总是不知道变动的范围。Devlop 有的时候也不知道他改了哪些东西,影响到哪些节点,或者是很多人改的,彼此不知道。遇到有代码洁癖的...

1155
来自专栏包子铺里聊IT

10分钟拥有自己的Wikipedia

谁是花和尚? 花和尚是一个定居西雅图的程序员,拥有多年系统设计和开发经验。喜欢研究和总结System Design, 并传授给大家。花和尚在MITBBS一篇 "...

4536
来自专栏北京马哥教育

专为设计师而写的GitHub快速入门教程

在互联网行业工作的想必都多多少少听说过GitHub的大名,除了是最大的开源项目托管平台,许多企业也都是用GitHub来协同开发工作,当然我们彩程也是其中之一。笔...

3416
来自专栏阮一峰的网络日志

中文技术文档的写作规范

很多人说,不知道怎么写文档,都是凭着感觉写。 网上也很少有资料,教你写文档。这已经影响了中文软件的发展。 ? 英语世界里,文档非常受重视,许多公司和组织都有自己...

40410
来自专栏数据派THU

独家 | Python数据分析入门指南

作者:Zack Jost 翻译:梁傅淇 校对:丁楠雅 本文长度为1500字,建议阅读3分钟 Zack Jost是美国第一资本投资国际集团的首席数据科学家,这是他...

1856
来自专栏互联网杂技

产品容错性设计原则

随着互联网的飞速发展,越来越多产品尤其是2C类产品更加注重用户体验,其中错误对用户体验的影响是灾难性的,在此我总结出一些容错性设计原则供大家参考和探讨。 ? 一...

4269
来自专栏DevOps时代的专栏

小红书在 Kubernetes 容器环境的CD实践

前言 容器推出以来,给软件开发带来了极具传染性的振奋和创新,并获得了来自各个行业、各个领域的巨大的支持——从大企业到初创公司,从研发到各类IT人员等等。跨境知名...

2398

扫码关注云+社区