大数跨境
首页
>
事件响应与韧性(恢复力)
>
0
0

事件响应与韧性(恢复力)

事件响应与韧性(恢复力) 云容灾备份安全治理
2025-06-02
3
导读:事件响应与韧性(恢复力)事件与事件响应事件响应流程流程闭环:事件响应事实上 不是简单的单身 流程,而是个闭环。
事件响应与韧性(恢复力)
事件与事件响应
事件响应流程
流程闭环:
事件响应事实上 不是简单的单身 流程,而是个闭环。
改进提升
事后分析的产出 是流程优化和改 进的输入。
云事件响应的特点
客户需要对自己部署在云上系统的事件响应负责。
针对云调整事件响应的准备阶段
提供商对事件响应的协助
了解您的 CSP 向客户提供哪些事件响应资源和服务• 确保您积极监控并能收到提供商发出的事件通知• 确保应急响应人员获取到提供商的关键联系人信息• 为受提供商影响的事件制定计划
云事件响应人员培训
响应流程更新
• 确保访问权限
• 构建呼叫清单-- 包括CSP的联系人
• 了解提供商支持服务和 SLA 
• 建立监控和告警机制
• 构建操作手册/剧本
• 构建用于分析、取证、遏制和响应的应急工具包
• 开展流程演练
请记住:许多云事件将跨越云和传统基础设施,尤其是员工系 统和凭证管理
启用响应程序访问
云事件响应的技术支持
操作手册/应急手册
检测与分析
检测和威胁检测器
管理威胁检测器。管理员凭证泄露或管理平面被控制是最具破坏性的活动,因为攻击者可能会直接修 改基础设施。
• 配置更改检测器配置变更信息是云检测器的极佳数据来源。不过响应人员可能会出现无法快速甄别配置 变更是否合法的问题,这时候就需要与业务部门沟通确认。这就涉及到事件响应中的沟通协调问题。
•诱饵/蜜罐检测器。使用蜜罐或蜜罐令牌等技术可以零误报精准识别攻击行为,因为正常业务不会使用蜜 罐令牌,也不会发起对蜜罐的访问行为
• 检测器的生命周期管理。检测器应具有命周期,可以使CI/CD 流水线进行管理
构建云原生检测器
构建云原生检测器
支撑分析
分析优先级: RECIPE PICKS
云系统取证
容器和Serverless注意事项
• 遏制、根除与恢复是事件响应的最核心的环节
• 遏制是控制事态发展,及时止损的关键步
• 基础设施即代码 (IaC)、资源弹性伸缩/缩放、微服务、份联合等技术也对事件的遏制、根除、恢复产生 影响
遏止的优先顺序
遏制
管理平面高于一切如果管理平面被攻击者控制,要及时过期会话,修改登录口令,调整身份验证机制,添加IP白名单等方式拿 回控制权。不过如果是CSP故障导致的管理平面不可用,则只能依靠CSP解决。
IAM是事件遏制的起点大部分安全事件源自弱验证或者凭证泄露。如果采用了联合身份管理FIM,会出现份验证 (AuthN) 和授权 (AuthZ Gap) 机制分离的情况,使身份提供方IdP和依赖方RP之间的协调关系变得很复杂,这样可能无法及时终 止攻击者的会话。可以通过网络访问控制策略(比如IP白名章)等机制让攻击者无法发起新的会话。
云资源对事件遏制的影响资源遏制的首要任务是对失陷资源进行隔离,防止东西向蔓延,可以使用安全组策略或零信任微隔离技术实 现。 
云的快速弹性与扩展能力可以增强事件遏制的能力。利用IaCCI/CD流水线可以快速创建清洁的工作负载以代 替被攻击的工作负载。注意IaCCI/CD管道本身也可能被攻击者控制。
根除
恢复
事后分析
韧性(恢复力)级别
IaaS/PaaS韧性(恢复力)工具
架构:
• 动缩放:⽤⾃动缩放功能可以让系统动态调整资源并在发故障时进行替换。• ServerlessServerless具有度的容错能力,它本质是根据需求进行扩展设计的。
• 平台即服务(PaaS)PaaS产品需维护操作系统和基础设施,且许多产品具有SLA
基础设施即代码(IaC):
• 镜像定义:使IaC为镜像定义虚拟机和容器可提⾼⽣成替换和快速适应的能力。
• 基础设施定义:IaC可以为整个应程序堆栈提供可移植性。
动化和备份:
• CI/CD管道:快速动地将补救措施甚至新堆栈部署到新的环境中。
• 备份:许多提供商还动备份,特别是数据库等PaaS服务。
混沌程:
• 原则和具:于将故意的故障注开发和产应程序,以持续验证弹性。这指导团队在构建时假设基础设施和服 务将发故障,不是假设停机时间很少或没有停机时间。
SaaS的韧性(恢复力)

【声明】内容源于网络
0
0
云容灾备份安全治理
分享云灾备规划、实施、运营、备份与恢复、数据安全、数据治理;窥视国内外备份软件与监控软件知识前沿水平线; 越努力,越幸运!
内容 2171
粉丝 0
云容灾备份安全治理 分享云灾备规划、实施、运营、备份与恢复、数据安全、数据治理;窥视国内外备份软件与监控软件知识前沿水平线; 越努力,越幸运!
总阅读5.1k
粉丝0
内容2.2k