建構雲安全體系前需了解的六個基本政策

雲采用已勢不可擋，但層出不窮的安全事件也将一個重要問題置于每個cio和安全部門面前——在更開放的雲服務上，威脅事件也在指數級增加，如何建構最有效的風險檢測技術？

導論

安全廠商的答案是雲安全解決方案——整合了基于資料的新一代安全技術如機器學習、威脅情報、情境分析等，核心是幫助企業有效提高威脅檢測精準率（集中降低誤報率），進而全面提升安全水準。無論是接受第三方服務商，還是自我更新，企業都需要對雲安全基本政策有基本了解。

在啟動令人頭暈的複雜雲安全體系之前，首先需要确定哪些資料需要監控。記住，威脅邊界在雲工作單元中是動态的，是以全部活動源都需要監控，包括配置、apis、終端使用者、管理者特權使用者、聯合使用者、服務賬戶及事務類型等等。

其次需要了解情境的重要性，因為這是了解威脅嚴重程度以及判斷特定活動和使用者行為是否異常的唯一途徑。一個商業使用者下班後執行了一個大規模對象删除指令、一個兼職合同工在不同雲應用上執行了管理者操作、一個工程師從未知位址拷貝了源代碼等，這些都是情境資訊的簡單示例。

全面監控和使用者行為分析并結合情境進行分析，企業才能判斷雲服務的安全狀态，在開始建構雲安全體系前需考慮如下6個基本政策。

威脅分析及檢測架構

雲安全系統的起點是威脅檢測和分析，用于收集上述提及的全部源資料，并對早期線索進行處理，其中分析部分應利用機器學習技術輸出确定的異常事件。有監督學習和無監督學習技術都應該被使用。

安全配置

安全服務狀況部分取決于安全配置的嚴密程度，一個薄弱的安全配置會為惡意使用者敞開大門，導緻的風險包括管理使用者密碼較弱、伺服器連接配接限制寬松、允許匿名使用者通路敏感内容等，嚴密的安全配置和持續監控其修改是很重要的。

情境資料源

一個特定的風險事件應該置于目前情境之下進行分析。如果沒有情境資訊，就會出現很高的誤報率。例如，分析使用者異常行為隻有使用者登入活動目錄的資料是不夠的，為提升準确率，登入會話中，使用者登入行為必須關聯其它屬性：事務類型、事務敏感程度、使用者角色等，情境資料可以幫助威脅檢測更加準确。

使用者行為分析

以使用者為中心的行為分析系統中應覆寫特權使用者和終端使用者，高權限使用者和連接配接着多個雲服務的終端使用者一樣，都具有高風險性，都需要加入觀察清單持續監控其行為，包括密碼強度、認證政策、敏感權限等。

有監督和無監督機器學習技術

機器學習技術用于定義基線和檢測異常。具體方法需結合使用有監督和無監督模型去改進準确率和減少誤報率。很多實施方法隻用了其中一種，結果誤報率很高，可擴充性也很差。

要改進威脅檢測的準确率和擴充性，可使用無監督學習去為使用者正常行為模組化，通過統計及機率混合模型來驗證使用者正常行為，并篩選出高風險使用者的異常行為。有監督模型需從安全專家中獲得提示，并基于這些提示，來建構基準資料集來訓練、驗證和測試模型成熟度。

威脅情報源

與安全社群以及商業威脅情報源實時合作，可加大在事件早期發現黑客攻擊的成功率。例如，如果某外部情報為企業提供了一個黑名單網絡資訊，當黑客通過該黑名單ip位址中選擇感染使用者來入侵應用時，就會被迅速檢測定位。

随着企業雲遷移加速，廣泛利用前沿安全技術包括機器學習、威脅情報、預測分析及情境感覺等，可以将威脅檢測響應提升到一個全新的高度。

本文轉自d1net（轉載）