Monitoraghju di a Sicurezza in Nuvola

U muvimentu di dati è applicazioni in u nuvulu presenta una nova sfida per i SOC corporativi, chì ùn sò micca sempre pronti à monitorà l'infrastruttura di l'altri. Sicondu Netoskope, l'impresa media (apparentemente in i Stati Uniti) usa 1246 22 diversi servizii di nuvola, chì hè 1246% più di un annu fà. 175 servizii cloud !!! 170 d'elli sò in relazione à i servizii HR, 110 sò in relazione à u marketing, 76 sò in u campu di cumunicazione è 700 sò in finanza è CRM. Cisco usa "solu" XNUMX servizii cloud esterni. Allora sò un pocu cunfusu da questi numeri. Ma in ogni casu, u prublema ùn hè micca cun elli, ma cù u fattu chì u nuvulu hè cuminciatu à esse usatu assai attivamente da un numeru crescente di cumpagnie chì vulianu avè e stesse capacità per u monitoraghju di l'infrastruttura di nuvola cum'è in a so propria reta. E sta tendenza hè crescente - secondu secondu a Camera di i Conti Americana En 2023, 1200 6250 centri di dati seranu chjusi in i Stati Uniti (XNUMX XNUMX sò digià chjusi). Ma a transizione à u nuvulu ùn hè micca solu "movemu i nostri servitori à un fornitore esternu". Nova architettura IT, novu software, novi prucessi, novi restrizioni... Tuttu chistu porta cambiamenti significati à u travagliu micca solu di l'IT, ma ancu di a sicurità di l'infurmazioni. E s'è i fornituri anu amparatu à affruntà d'una certa manera à assicurà a sicurità di u nuvulu stessu (per furtuna ci sò assai cunsiglii), allora cù u monitoraghju di a sicurità di l'informazioni in nuvola, in particulare nantu à e plataforme SaaS, ci sò difficultà significativu, chì avemu da parlà.

Diciamu chì a vostra cumpagnia hà spustatu una parte di a so infrastruttura à u nuvulu... Stop. Micca in questu modu. Se l'infrastruttura hè stata trasferita, è solu avà pensate à cumu a monitorarà, allora avete digià persu. A menu chì ùn hè Amazon, Google, o Microsoft (è dopu cù riservazione), probabilmente ùn avete micca assai capacità di monitorà e vostre dati è applicazioni. Hè bonu s'ellu vi hè datu l'uppurtunità di travaglià cù logs. A volte i dati di l'avvenimenti di sicurezza seranu dispunibili, ma ùn avete micca accessu à questu. Per esempiu, Office 365. Se tenete a licenza E1 più economica, allora l'avvenimenti di sicurità ùn sò micca dispunibili per voi. Se tenete una licenza E3, i vostri dati sò guardati per solu 90 ghjorni, è solu s'ellu avete una licenza E5, a durata di i logs hè dispunibule per un annu (in ogni modu, questu hà ancu e so sfumature relative à a necessità di separatamente). dumandà una quantità di funzioni per travaglià cù logs da u supportu Microsoft). Per via, a licenza E3 hè assai più debule in quantu à e funzioni di monitoraghju di a Scambio corporativu. Per ottene u listessu livellu, avete bisognu di una licenza E5 o una licenza di Conformità Avanzata addiziale, chì pò esse bisognu di soldi supplementu chì ùn hè micca fattu in u vostru mudellu finanziariu per passà à l'infrastruttura di nuvola. È questu hè solu un esempiu di sottovalutazione di prublemi ligati à u monitoraghju di a sicurità di l'informazioni in nuvola. In questu articulu, senza finta di esse cumpletu, vogliu attirà l'attenzione à qualchi sfumature chì deve esse cunsideratu quandu sceglite un fornitore di nuvola da un puntu di vista di sicurità. È à a fine di l'articulu, serà datu una lista di verificazione chì vale a pena di cumplettà prima di cunsiderà chì u prublema di surviglianza di a sicurità di l'infurmazioni in nuvola hè stata risolta.

Ci hè parechje prublemi tipichi chì portanu à incidenti in ambienti nuvola, à quale i servizii di sicurità di l'infurmazioni ùn anu micca tempu per risponde o ùn li vede micca in tuttu:

• I logs di sicurezza ùn esistenu micca. Questa hè una situazione abbastanza cumuna, soprattuttu trà i ghjucatori principianti in u mercatu di soluzioni di nuvola. Ma ùn deve micca rinunzià à elli subitu. I picculi ghjucatori, in particulare quelli domestici, sò più sensibili à i bisogni di i clienti è ponu implementà rapidamente alcune funzioni richieste cambiendu a strada di strada appruvata per i so prudutti. Iè, questu ùn serà micca un analogu di GuardDuty da Amazon o u modulu "Proactive Protection" da Bitrix, ma almenu qualcosa.
• A sicurità di l'infurmazioni ùn sapi micca induve i logs sò almacenati o ùn ci hè micca accessu à elli. Quì hè necessariu di entre in negoziazioni cù u fornitore di serviziu di nuvola - forsi ellu furnisce tali informazioni s'ellu cunsidereghja u cliente impurtante per ellu. Ma in generale, ùn hè micca assai bonu quandu l'accessu à i logs hè furnitu "per decisione speciale".
• Succede ancu chì u fornitore di nuvola hà logs, ma furnisce un surviglianza limitatu è a registrazione di l'avvenimenti, chì ùn sò micca abbastanza per detectà tutti l'incidentu. Per esempiu, pudete riceve solu logs di cambiamenti in u situ o logs di tentativi d'autentificazione di l'utilizatori, ma micca altri avvenimenti, per esempiu, nantu à u trafficu di a rete, chì ammucciarà da voi una strata sana di avvenimenti chì caratterizeghjanu i tentativi di pirate a vostra infrastruttura nuvola. .
• Ci sò logs, ma l'accessu à elli hè difficiuli d'automatizà, chì l'obligà à esse monitoratu micca in permanenza, ma in un schedariu. È se ùn pudete micca scaricà logs automaticamente, scaricate logs, per esempiu, in u formatu Excel (cum'è cù una quantità di fornitori di soluzioni di nuvola domestica), pò ancu purtà à una riluttanza da parte di u serviziu di sicurità di l'infurmazioni corporativi per fà cun elli.
• Nisun cuntrollu di log. Questu hè forse u mutivu più chjaru per l'occurrence di incidenti di sicurezza di l'infurmazioni in ambienti nuvola. Sembra chì ci sò logs, è hè pussibule di automatizà l'accessu à elli, ma nimu face questu. Perchè?

Cuncepimentu di sicurità cloud spartutu

A transizione à u nuvulu hè sempre una ricerca di un equilibriu trà u desideriu di mantene u cuntrollu di l'infrastruttura è u trasferimentu à e mani più prufessiunali di un fornitore di nuvola chì hè specializatu in u mantenimentu. È in u campu di a sicurità di a nuvola, stu equilibriu deve ancu esse cercatu. Inoltre, secondu u mudellu di serviziu di serviziu di nuvola utilizatu (IaaS, PaaS, SaaS), stu equilibriu serà diversu in tuttu u tempu. In ogni casu, ci vole à ricurdà chì tutti i fornituri di nuvola oghje seguenu u mudellu di rispunsabilità cumunu è di sicurità di l'infurmazioni spartuti. U nuvulu hè rispunsevuli di certe cose, è per altri u cliente hè rispunsevuli, pusendu i so dati, e so applicazioni, e so macchine virtuali è altre risorse in u nuvulu. Saria imprudente d'aspittà chì andendu in u nuvulu, trasferemu tutte e rispunsabilità à u fornitore. Ma hè ancu imprudente di custruisce tutta a sicurità sè stessu quandu si move in u nuvulu. Un equilibriu hè necessariu, chì dependerà di parechji fatturi: - strategia di gestione di risichi, mudellu di minaccia, meccanismi di sicurità dispunibuli per u fornitore di nuvola, legislazione, etc.

Per esempiu, a classificazione di dati ospitu in u nuvulu hè sempre a rispunsabilità di u cliente. Un fornitore di nuvola o un fornitore di serviziu esternu pò aiutà solu cù arnesi chì aiutanu à marcà e dati in u nuvulu, identificà e violazioni, sguassate e dati chì violanu a lege, o maschera cù un metudu o un altru. Per d 'altra banda, a sicurità fisica hè sempre a responsabilità di u fornitore di nuvola, chì ùn pò micca sparte cù i clienti. Ma tuttu ciò chì hè trà dati è infrastruttura fisica hè precisamente u sughjettu di discussione in questu articulu. Per esempiu, a dispunibilità di u nuvulu hè a rispunsabilità di u fornitore, è a creazione di reguli di firewall o l'abilitazione di a criptografia hè a rispunsabilità di u cliente. In questu articulu avemu da pruvà à guardà ciò chì i miccanismi di surviglianza di a sicurità di l'infurmazioni sò furniti oghje da diversi fornitori di nuvola populari in Russia, chì sò e caratteristiche di u so usu, è quandu vale a pena circà à suluzioni overlay esterni (per esempiu, Cisco E- mail Security) chì espansione e capacità di u vostru nuvulu in termini di cibersigurtà. In certi casi, soprattuttu s'è vo seguite una strategia multi-nuvola, ùn avete micca altra scelta ma di utilizà suluzioni di surviglianza di sicurezza di l'infurmazioni esterni in parechji ambienti nuvola à una volta (per esempiu, Cisco CloudLock o Cisco Stealthwatch Cloud). Ebbè, in certi casi vi capisce chì u fornitore di nuvola chì avete sceltu (o impostu à voi) ùn offre micca capacità di surviglianza di sicurezza di l'infurmazioni in tuttu. Questu hè dispiacevule, ma ancu micca pocu, postu chì vi permette di valutà bè u livellu di risicu assuciatu cù u travagliu cù questa nuvola.

Ciclu di Vita di Monitoraghju di a Sicurezza Nuvola

Per monitorizà a sicurità di i nuvuli chì utilizate, avete solu trè opzioni:

• affidatevi à l'arnesi furniti da u vostru fornitore di nuvola,
• aduprate soluzioni da terze parti chì monitoranu e plataforme IaaS, PaaS o SaaS chì utilizate,
• custruite a vostra propria infrastruttura di monitoraghju in nuvola (solu per e piattaforme IaaS/PaaS).

Videmu quali caratteristiche hà ognuna di queste opzioni. Ma prima, avemu bisognu di capiscenu u quadru generale chì serà utilizatu quandu u monitoraghju di e plataforme di nuvola. Puderia mette in risaltu 6 cumpunenti principali di u prucessu di monitoraghju di a sicurità di l'infurmazioni in u nuvulu:

• Preparazione di l'infrastruttura. Determinà l'applicazioni è l'infrastruttura necessarie per a cullizzioni di avvenimenti impurtanti per a sicurità di l'infurmazioni in u almacenamentu.
• Cullizzioni. In questa fase, l'avvenimenti di sicurità sò aggregati da diverse fonti per a trasmissioni sussegwenti per u processu, u almacenamentu è l'analisi.
• Trattamentu. In questa fase, i dati sò trasfurmati è arricchiti per facilità l'analisi sussegwente.
• Storage. Stu cumpunente hè rispunsevule per l'almacenamiento à cortu è longu tempu di dati raccolti processati è crudi.
• Analisi. À questu stadiu, avete a capacità di detect incidenti è risponde à elli automaticamente o manualmente.
• Rapportu. Questa tappa aiuta à furmulà indicatori chjave per i stakeholders (gestione, auditori, fornitore di nuvola, clienti, etc.) chì ci aiutanu à piglià certe decisioni, per esempiu, cambià un fornitore o rinfurzà a sicurità di l'infurmazioni.

A capiscenu di sti cumpunenti vi permetterà di decide rapidamente in u futuru ciò chì pudete piglià da u vostru fornitore è ciò chì avete da fà sè stessu o cù l'implicazione di cunsultanti esterni.

Servizi cloud integrati

Aghju digià scrittu sopra chì parechji servizii di nuvola oghje ùn furnisce micca capacità di surviglianza di sicurezza di l'infurmazioni. In generale, ùn prestanu micca assai attente à u tema di a sicurità di l'infurmazioni. Per esempiu, unu di i servizii populari russi per mandà rapporti à l'agenzii di u guvernu via Internet (ùn diceraghju micca specificamente u so nome). L'intera sezione nantu à a sicurità di stu serviziu gira intornu à l'usu di certificati CIPF. A sezione di sicurità di l'infurmazioni di un altru serviziu di nuvola domestica per a gestione di documenti elettronichi ùn hè micca sfarente. Parla di certificati di chjave publica, criptografia certificata, eliminazione di vulnerabili di u web, prutezzione contra attacchi DDoS, utilizendu firewalls, backups, è ancu l'auditi di sicurezza di l'infurmazioni regularmente. Ma micca una parolla nantu à u monitoraghju, nè nantu à a pussibilità di accede à l'avvenimenti di sicurità di l'infurmazioni chì ponu esse di interessu à i clienti di stu fornitore di serviziu.

In generale, da a manera chì u fornitore di nuvola descrive i prublemi di sicurità di l'infurmazioni nantu à u so situ web è in a so documentazione, pudete capisce quantu seriamente piglia stu prublema. Per esempiu, se leghjite i manuali per i prudutti "My Office", ùn ci hè micca una parolla nantu à a sicurità, ma in a documentazione per u pruduttu separatu "My Office". KS3 ", cuncepitu per pruteggiri contra l'accessu micca autorizatu, ci hè una lista di solitu di punti di l'ordine 17 di u FSTEC, chì "My Office.KS3" implementa, ma ùn hè micca descrittu cumu si implementa è, più impurtante, cumu si mette in opera. integrà sti miccanismi cù a sicurità di l'infurmazioni corporativi. Forse una tale documentazione esiste, ma ùn l'aghju micca trovu in u duminiu publicu, in u situ "My Office". Ancu s'ellu forse ùn aghju micca accessu à questa infurmazione secreta?...

Per Bitrix, a situazione hè assai megliu. A ducumentazione descrive i formati di i logs di l'avvenimenti è, curiosamente, u logu di intrusione, chì cuntene l'avvenimenti ligati à e minacce potenziali à a piattaforma nuvola. Da quì pudete tirà l'IP, u nome d'utilizatore o invitatu, a fonte di l'avvenimentu, u tempu, l'agente d'utilizatore, u tipu d'avvenimentu, etc. True, pudete travaglià cù questi avvenimenti sia da u pannellu di cuntrollu di u nuvulu stessu, o caricate dati in u furmatu MS Excel. Avà hè difficiule di automatizà u travagliu cù i logs Bitrix è avete da fà un pocu di u travagliu manualmente (caricà u rapportu è carricà in u vostru SIEM). Ma s'è ricurdate chì finu à pocu tempu una tale opportunità ùn esiste micca, allora questu hè un grande prugressu. À u listessu tempu, mi piacerebbe nutà chì parechji fornituri di nuvola stranieri offrenu funziunalità simili "per i principianti" - o fighjate i logs cù i vostri ochji attraversu u pannellu di cuntrollu, o caricate e dati à voi stessu (in ogni modu, a maiò parte di caricate dati in . csv, micca Excel).

Senza cunsiderà l'opzione senza logs, i fornitori di nuvola vi offrenu generalmente trè opzioni per monitorà l'avvenimenti di sicurezza - dashboards, upload di dati è accessu API. U primu pare chì risolve parechji prublemi per voi, ma questu ùn hè micca veramente veru - se avete parechje riviste, avete da cambià trà e schermi chì li mostranu, perdendu a stampa generale. Inoltre, u fornitore di nuvola hè improbabile di furnisce l'abilità di correlate l'avvenimenti di sicurezza è in generale analizà da un puntu di vista di sicurezza (di solitu si tratta di dati crudi, chì avete bisognu di capiscenu sè stessu). Ci sò eccezzioni è ne parleremu più avanti. Infine, vale a pena dumandà quale avvenimenti sò arregistrati da u vostru fornitore di nuvola, in quale formatu, è cumu currispondenu à u vostru prucessu di surviglianza di a sicurità di l'infurmazioni? Per esempiu, identificazione è autentificazione di utilizatori è invitati. U stessu Bitrix vi permette, basatu annantu à questi avvenimenti, di registrà a data è l'ora di l'avvenimentu, u nome di l'utilizatore o invitatu (se avete u modulu "Web Analytics"), l'ughjettu accessu è altri elementi tipici per un situ web. . Ma i servizii di securità di l'infurmazioni corporativi ponu avè bisognu d'infurmazioni nantu à se l'utilizatore accede à u nuvulu da un dispositivu di fiducia (per esempiu, in una reta corporativa, sta attività hè implementata da Cisco ISE). Chì ci hè un compitu cusì simplice cum'è a funzione geo-IP, chì aiutarà à determinà se un contu d'utilizatore di serviziu di nuvola hè statu arrubatu? E ancu s'è u fornitore di nuvola vi furnisce, questu ùn hè micca abbastanza. U stessu Cisco CloudLock ùn solu analizà a geolocalizzazione, ma usa l'apprendimentu di macchina per questu è analizà e dati storichi per ogni utilizatore è monitora diverse anomalie in i tentativi di identificazione è autentificazione. Solu MS Azure hà funziunalità simili (se avete l'abbonamentu adattatu).

Ci hè una altra difficultà - postu chì per parechji fornitori di nuvola u monitoraghju di a sicurità di l'infurmazioni hè un tema novu chì sò appena cuminciatu à trattà, cambianu constantemente qualcosa in e so suluzioni. Oghje anu una versione di l'API, dumane un altru, dopu dumani un terzu. Avete ancu bisognu à esse preparatu per questu. U listessu hè veru cù funziunalità, chì pò cambià, chì deve esse pigliatu in contu in u vostru sistema di surviglianza di sicurità infurmazione. Per esempiu, Amazon hà inizialmente avutu servizii di monitoraghju di l'avvenimenti in nuvola separati - AWS CloudTrail è AWS CloudWatch. Allora apparsu un serviziu separatu per u monitoraghju di l'avvenimenti di sicurità di l'infurmazioni - AWS GuardDuty. Dopu qualchì tempu, Amazon hà lanciatu un novu sistema di gestione, Amazon Security Hub, chì include l'analisi di e dati ricevuti da GuardDuty, Amazon Inspector, Amazon Macie è parechji altri. Un altru esempiu hè u strumentu di integrazione di log Azure cù SIEM - AzLog. Hè stata utilizata attivamente da parechji venditori di SIEM, finu à chì in 2018 Microsoft hà annunziatu a cessazione di u so sviluppu è u sustegnu, chì hà cunfruntatu parechji clienti chì anu utilizatu stu strumentu cù un prublema (parleremu cumu si risolve dopu).

Dunque, monitorate attentamente tutte e funzioni di surviglianza chì u vostru fornitore di nuvola vi offre. O s'appoghjanu à i fornitori di soluzioni esterne chì agiranu cum'è intermediari trà u vostru SOC è u nuvulu chì vulete monitorizà. Iè, serà più caru (ancu ancu micca sempre), ma trasferete tutta a rispunsabilità nantu à e spalle di l'altru. O micca tuttu? .. Ricordemu u cuncettu di sicurità spartutu è capisce chì ùn pudemu micca cambià nunda - avemu da capisce indipindentamente cumu i diversi fornituri di nuvola furniscenu monitoraghju di a sicurità di l'infurmazioni di i vostri dati, applicazioni, macchine virtuali è altre risorse. ospitatu in u nuvulu. E avemu da principià cù ciò chì Amazon offre in questa parte.

Esempiu: Monitoraghju di a sicurità di l'infurmazioni in IaaS basatu in AWS

Iè, sì, aghju capitu chì Amazon ùn hè micca u megliu esempiu per u fattu chì questu hè un serviziu americanu è pò esse bluccatu cum'è parte di a lotta contru l'estremismu è a diffusione di l'infurmazioni pruibita in Russia. Ma in questa publicazione mi piacerebbe solu dimustrà cumu e diverse plataformi di nuvola differiscenu in e so capacità di monitoraghju di a sicurità di l'infurmazioni è ciò chì duvete prestu attente quandu si trasferisce i vostri prucessi chjave à i nuvuli da un puntu di vista di sicurezza. Ebbè, se alcuni di i sviluppatori russi di suluzioni nuvola amparanu qualcosa d'utile per elli stessi, allora serà grande.

A prima cosa à dì hè chì Amazon ùn hè micca una fortezza impenetrable. Diversi incidenti accade regularmente à i so clienti. Per esempiu, i nomi, l'indirizzi, e date di nascita è i numeri di telefunu di 198 milioni di votanti sò stati arrubati da Deep Root Analytics. A cumpagnia israeliana Nice Systems hà arrubbatu 14 milioni di dischi di abbonati Verizon. Tuttavia, e capacità integrate di AWS permettenu di detectà una larga gamma di incidenti. Per esempiu:

• impattu nantu à l'infrastruttura (DDoS)
• cumprumissu di nodu (iniezione di cumanda)
• compromissione di u contu è accessu micca autorizatu
• cunfigurazione sbagliata è vulnerabilità
• interfacce è API insicure.

Questa discrepanza hè duvuta à u fattu chì, cum'è avemu scupertu sopra, u cliente stessu hè rispunsevule per a sicurità di e dati di u cliente. È s'ellu ùn hà micca preoccupatu di accende i meccanismi protettivi è ùn hà micca attivatu l'arnesi di surviglianza, allora hà da amparà solu nantu à l'incidentu da i media o da i so clienti.

Per identificà incidenti, pudete aduprà una larga gamma di diversi servizii di surviglianza sviluppati da Amazon (ancu si sò spessu cumplementati da strumenti esterni cum'è osquery). Dunque, in AWS, tutte l'azzioni di l'utilizatori sò monitorate, indipendentemente da cumu si sò realizati - attraversu a cunsola di gestione, a linea di cummanda, SDK o altri servizii AWS. Tutti i registri di l'attività di ogni contu AWS (cumprese u nome d'utilizatore, l'azzione, u serviziu, i parametri di l'attività è u risultatu) è l'usu di l'API sò dispunibuli attraversu AWS CloudTrail. Pudete vede questi avvenimenti (cum'è l'accessu di a cunsola AWS IAM) da a cunsola CloudTrail, analizà cù Amazon Athena, o "outsource" à suluzioni esterne cum'è Splunk, AlienVault, etc. I registri AWS CloudTrail stessi sò posti in u vostru bucket AWS S3.

Dui altri servizii AWS furniscenu una serie di altre capacità di monitoraghju impurtanti. Prima, Amazon CloudWatch hè un serviziu di surviglianza per i risorse è l'applicazioni AWS chì, frà altri cose, vi permette di identificà diverse anomalie in u vostru nuvulu. Tutti i servizii AWS integrati, cum'è Amazon Elastic Compute Cloud (servitori), Amazon Relational Database Service (base di dati), Amazon Elastic MapReduce (analisi di dati), è altri 30 servizii Amazon, utilizanu Amazon CloudWatch per almacenà i so logs. I sviluppatori ponu aduprà l'API aperta da Amazon CloudWatch per aghjunghje funziunalità di monitoraghju di log à l'applicazioni è i servizii persunalizati, chì li permettenu di espansione u scopu di l'analisi di l'eventi in un cuntestu di sicurità.

Siconda, u serviziu VPC Flow Logs permette di analizà u trafficu di a rete mandatu o ricevutu da i vostri servitori AWS (esternu o internu), è ancu trà i microservizi. Quandu qualsiasi di e vostre risorse AWS VPC interagisce cù a reta, VPC Flow Logs registra i dettagli nantu à u trafficu di a rete, cumprese l'interfaccia di a rete d'origine è di destinazione, è ancu l'indirizzi IP, i porti, u protokollu, u numeru di byte è u numeru di pacchetti chì avete. vistu. Quelli chì anu sperimentatu cù a sicurità di a rete locale ricunnosceranu questu cum'è analogu à i fili NetFlow, chì pò esse creatu da switches, routers è firewalls di l'impresa. Questi logs sò impurtanti per i scopi di monitoraghju di a sicurità di l'infurmazioni perchè, à u cuntrariu di l'avvenimenti nantu à l'azzioni di l'utilizatori è l'applicazioni, permettenu ancu di ùn mancassi l'interazzione di a rete in l'ambiente virtuale di nuvola privata AWS.

In riassuntu, sti trè servizii AWS-AWS CloudTrail, Amazon CloudWatch è VPC Flow Logs-inseme furnisce una visione abbastanza putente di l'usu di u vostru contu, u cumpurtamentu di l'utilizatori, a gestione di l'infrastruttura, l'attività di l'applicazione è di u serviziu, è l'attività di rete. Per esempiu, ponu esse usatu per detectà e seguenti anomalie:

• Tentativi di scansà u situ, cercate backdoors, cercate vulnerabilità attraversu scoppi di "errori 404".
• Attacchi d'iniezione (per esempiu, iniezione SQL) attraversu raffiche di "500 errori".
• Strumenti di attaccu cunnisciuti sò sqlmap, nikto, w3af, nmap, etc. attraversu l'analisi di u campu di l'Agente d'Usuariu.

Amazon Web Services hà sviluppatu ancu altri servizii per scopi di cibersecurità chì permettenu di risolve parechji altri prublemi. Per esempiu, AWS hà un serviziu integratu per e pulitiche di auditu è ​​cunfigurazioni - AWS Config. Stu serviziu furnisce una verificazione continua di e vostre risorse AWS è e so cunfigurazioni. Pigliemu un esempiu simplice: Diciamu chì vulete assicurà chì e password di l'utilizatori sò disattivate in tutti i vostri servitori è chì l'accessu hè pussibule solu basatu nantu à i certificati. AWS Config facilita a verificazione di questu per tutti i vostri servitori. Ci sò altre pulitiche chì ponu esse applicate à i vostri servitori in nuvola: "Nisun servitore pò aduprà u portu 22", "Solu l'amministratori ponu cambià e regule di u firewall" o "Solu l'utilizatore Ivashko pò creà novi cunti d'utilizatori, è pò fà Hè solu u marti. " In l'estiu di 2016, u serviziu AWS Config hè statu allargatu per automatizà a deteczione di violazioni di e pulitiche sviluppate. AWS Config Rules sò essenzialmente richieste di cunfigurazione cuntinue per i servizii Amazon chì utilizate, chì generanu avvenimenti se e pulitiche currispondenti sò violate. Per esempiu, invece di eseguisce periodicamente e dumande AWS Config per verificà chì tutti i dischi in un servitore virtuale sò criptati, AWS Config Rules pò esse aduprate per verificà continuamente i dischi di u servitore per assicurà chì sta cundizione hè cumpleta. È, più impurtante, in u cuntestu di sta publicazione, ogni violazione genera avvenimenti chì ponu esse analizati da u vostru serviziu di sicurità di l'infurmazioni.

AWS hà ancu u so equivalenti à e soluzioni tradiziunali di sicurezza di l'infurmazione corporativa, chì generanu ancu avvenimenti di sicurezza chì pudete è duvete analizà:

• Rilevazione di intrusioni - AWS GuardDuty
• Cuntrolla di perdita di informazioni - AWS Macie
• EDR (anche se parla di punti finali in u nuvulu un pocu stranu) - AWS Cloudwatch + osquery open source o soluzioni GRR
• Analisi di Netflow - AWS Cloudwatch + AWS VPC Flow
• Analisi DNS - AWS Cloudwatch + AWS Route53
• AD - AWS Directory Service
• Gestione di cunti - AWS IAM
• SSO - AWS SSO
• analisi di sicurità - AWS Inspector
• gestione di a cunfigurazione - AWS Config
• WAF - AWS WAF.

Ùn descriveraghju micca in dettagliu tutti i servizii di Amazon chì ponu esse utili in u cuntestu di a sicurità di l'infurmazioni. A cosa principal hè di capiscenu chì tutti ponu generà avvenimenti chì pudemu è duvemu analizà in u cuntestu di a sicurità di l'infurmazioni, aduprendu per questu scopu sia e capacità integrate di Amazon stessu è soluzioni esterne, per esempiu, SIEM, chì ponu Pigliate l'avvenimenti di sicurità à u vostru centru di monitoraghju è analizà quì cù l'avvenimenti da altri servizii di nuvola o da infrastruttura interna, perimetru o dispositi mobili.

In ogni casu, tuttu principia cù e fonti di dati chì vi furnisce l'avvenimenti di sicurità di l'infurmazioni. Queste fonti includenu, ma ùn sò micca limitati à:

• CloudTrail - Utilizzu di l'API è Azzioni d'Usuariu
• Trusted Advisor - verificazione di sicurità contr'à e migliori pratiche
• Config - inventariu è cunfigurazione di cunti è paràmetri di serviziu
• VPC Flow Logs - cunnessione à interfacce virtuali
• IAM - serviziu d'identificazione è autentificazione
• Logs d'accessu ELB - Load Balancer
• Inspector - vulnerabilità di l'applicazioni
• S3 - almacenamiento di schedari
• CloudWatch - Attività di l'applicazione
• SNS hè un serviziu di notificazione.

Amazon, mentre chì offre una tale gamma di fonti di eventi è arnesi per a so generazione, hè assai limitata in a so capacità per analizà e dati raccolti in u cuntestu di a sicurità di l'infurmazioni. Avete da studià indipindentamente i logs dispunibuli, cercandu indicatori pertinenti di cumprumissu in elli. AWS Security Hub, chì Amazon hà lanciatu recentemente, hà da scopu di risolve stu prublema diventendu un SIEM cloud per AWS. Ma finu à quì hè solu à u principiu di u so viaghju è hè limitatu sia da u numeru di fonti cù quale travaglia sia da altre restrizioni stabilite da l'architettura è abbonamenti di Amazon stessu.

Esempiu: Monitoraghju di sicurità di l'infurmazioni in IaaS basatu in Azure

Ùn vogliu micca entra in un longu dibattitu nantu à quale di i trè fornitori di nuvola (Amazon, Microsoft o Google) hè megliu (soprattuttu chì ognuna di elli hà sempre e so specifiche specifiche è hè adattatu per risolve i so prublemi); Fighjemu nantu à e capacità di monitoraghju di a sicurità di l'infurmazioni chì questi attori furniscenu. Ci vole à ricunnosce chì Amazon AWS era unu di i primi in questu segmentu è per quessa hà avanzatu u più luntanu in quantu à e so funzioni di sicurità di l'infurmazioni (ancu chì parechji ammettenu chì sò difficiuli di utilizà). Ma questu ùn significa micca chì ignoraremu l'opportunità chì Microsoft è Google ci furnisce.

I prudutti di Microsoft sò sempre stati distinti da a so "apertura" è in Azure a situazione hè simile. Per esempiu, se AWS è GCP procedenu sempre da u cuncettu di "ciò chì ùn hè micca permessu hè pruibitu", allora Azure hà l'approcciu esattamente oppostu. Per esempiu, quandu crea una reta virtuale in u nuvulu è una macchina virtuale in questu, tutti i porti è i protokolli sò aperti è permessi per automaticamente. Dunque, avete da passà un pocu di più sforzu nantu à a cunfigurazione iniziale di u sistema di cuntrollu di accessu in u nuvulu da Microsoft. È questu impone ancu esigenze più strette in quantu à l'attività di monitoraghju in u nuvulu Azure.

AWS hà una peculiarità assuciata à u fattu chì quandu monitorate i vostri risorse virtuali, si sò situati in diverse regioni, allora avete difficultà à cumminà tutti l'avvenimenti è a so analisi unificata, per eliminà chì avete bisognu di ricorre à diversi trucchi, cum'è Crea u vostru propiu codice per AWS Lambda chì traspurtarà avvenimenti trà e regioni. Azure ùn hà micca stu prublema - u so mecanismu di Log di Attività traccia tutte l'attività in tutta l'urganizazione senza restrizioni. U stessu s'applica à AWS Security Hub, chì hè statu sviluppatu recentemente da Amazon per cunsulidà parechje funzioni di sicurezza in un unicu centru di sicurezza, ma solu in a so regione, chì, però, ùn hè micca pertinente per a Russia. Azure hà u so propiu Centru di Sicurezza, chì ùn hè micca ligatu da e restrizioni regiunale, chì furnisce l'accessu à tutte e funzioni di sicurezza di a piattaforma cloud. Inoltre, per e diverse squadre lucali pò furnisce u so propiu set di capacità protettive, cumprese l'avvenimenti di sicurezza gestiti da elli. AWS Security Hub hè sempre in strada per diventà simile à Azure Security Center. Ma vale a pena aghjunghje una mosca in l'unguentu - pudete spremi da Azure assai di ciò chì hè statu descrittu prima in AWS, ma questu hè più convenientemente fattu solu per Azure AD, Azure Monitor è Azure Security Center. Tutti l'altri meccanismi di sicurità di Azure, cumpresa l'analisi di l'avvenimenti di sicurezza, ùn sò ancu gestiti in u modu più convenientu. U prublema hè in parte risolta da l'API, chì permea tutti i servizii di Microsoft Azure, ma questu richiederà un sforzu supplementu da voi per integrà u vostru nuvulu cù u vostru SOC è a presenza di specialisti qualificati (in fatti, cum'è cù qualsiasi altru SIEM chì travaglia cù u nuvulu). API). Certi SIEM, chì seranu discututi dopu, supportanu digià Azure è ponu automatizà u compitu di u monitoraghju, ma hà ancu e so difficultà - micca tutti ponu cullà tutti i logs chì Azure hà.

A cullizzioni di l'avvenimenti è u monitoraghju in Azure hè furnitu cù u serviziu Azure Monitor, chì hè l'uttellu principale per cullà, almacenà è analizà e dati in u nuvulu Microsoft è e so risorse - repository Git, cuntenituri, macchine virtuali, applicazioni, etc. Tutte e dati raccolti da Azure Monitor sò divisi in duie categurie - metriche, raccolte in tempu reale è chì descrizanu l'indicatori di rendiment chjave di u nuvulu Azure, è logs, chì cuntenenu dati urganizati in registri chì caratterizzanu certi aspetti di l'attività di risorse è servizii Azure. Inoltre, utilizendu l'API Data Collector, u serviziu Azure Monitor pò cullà dati da qualsiasi fonte REST per custruisce i so scenarii di monitoraghju.

Eccu uni pochi di fonti d'avvenimenti di sicurezza chì Azure vi offre è chì pudete accede à traversu u Portale Azure, CLI, PowerShell, o API REST (è alcuni solu attraversu l'API Azure Monitor / Insight):

• Activity Logs - stu logu risponde à e dumande classiche di "quale", "chì" è "quandu" in quantu à qualsiasi operazione di scrittura (PUT, POST, DELETE) nantu à e risorse di nuvola. Avvenimenti ligati à l'accessu di lettura (GET) ùn sò micca inclusi in stu logu, cum'è parechji altri.
• Diagnostic Logs - cuntene dati nantu à l'operazioni cù una risorsa particulare inclusa in u vostru abbonamentu.
• Reporting Azure AD - cuntene sia l'attività di l'utilizatori è l'attività di u sistema in relazione à a gestione di u gruppu è di l'utilizatori.
• Windows Event Log è Linux Syslog - cuntene avvenimenti da e macchine virtuali ospitate in u nuvulu.
• Metriche - cuntene telemetria nantu à u rendiment è u statu di salute di i vostri servizii è risorse in nuvola. Misuratu ogni minutu è guardatu. in 30 ghjorni.
• Registri di flussu di u Gruppu di Sicurezza di a Rete - cuntene dati nantu à l'avvenimenti di sicurezza di a rete raccolti cù u serviziu Network Watcher è u monitoraghju di risorse à u livellu di a rete.
• Stoccaggio Logs - cuntene l'avvenimenti ligati à l'accessu à e facilità di almacenamento.

Per u monitoraghju, pudete aduprà SIEM esterni o u Monitor Azure integratu è e so estensioni. Parleremu più tardi di i sistemi di gestione di l'avvenimenti di sicurezza di l'infurmazioni, ma per avà vedemu ciò chì Azure stessu ci offre per l'analisi di dati in u cuntestu di a sicurità. A schermu principale per tuttu ciò chì riguarda a sicurità in Azure Monitor hè u Log Analytics Security and Audit Dashboard (a versione gratuita supporta una quantità limitata di almacenamiento di eventi per una sola settimana). Stu dashboard hè divisu in 5 aree principali chì visualizeghjanu statistiche riassuntu di ciò chì succede in l'ambiente di nuvola chì stai aduprendu:

• Domini di Sicurezza - indicatori quantitativi chjave ligati à a sicurità di l'infurmazioni - u numeru di incidenti, u numeru di nodi cumprumessi, nodi senza patch, avvenimenti di sicurezza di rete, etc.
• Notable Issues - mostra u numeru è l'impurtanza di i prublemi di sicurità di l'infurmazioni attivu
• Detections - mostra mudelli di attacchi utilizati contru à voi
• Threat Intelligence - mostra infurmazione geografica nantu à i nodi esterni chì vi attaccanu
• Interrogazioni di sicurezza cumuni - dumande tipiche chì vi aiuteranu à cuntrollà megliu a vostra sicurità di l'infurmazioni.

L'estensione di l'Azure Monitor include Azure Key Vault (prutezzione di e chjavi criptografiche in u nuvulu), Malware Assessment (analisi di prutezzione contra codice maliziusu nantu à e macchine virtuali), Azure Application Gateway Analytics (analisi di, frà altre cose, logs firewall di nuvola), etc. . Questi arnesi, arricchiti da certe regule per u processu di l'avvenimenti, permettenu di visualizà diversi aspetti di l'attività di i servizii di nuvola, cumpresa a sicurità, è identificà certi deviazioni da u funziunamentu. Ma, cum'è spessu succèri, ogni funziunalità supplementu richiede un abbunamentu pagatu currispundente, chì richiederà investimenti finanziarii currispondenti da voi, chì avete bisognu di pianificà in anticipu.

Azure hà una quantità di capacità integrate di monitoraghju di e minacce chì sò integrate in Azure AD, Azure Monitor è Azure Security Center. Frà elli, per esempiu, a rilevazione di l'interazzione di e macchine virtuali cù IPs maliziusi cunnisciuti (per via di a presenza di integrazione cù i servizii di Threat Intelligence da Microsoft), a rilevazione di malware in l'infrastruttura di nuvola per riceve alarmi da e macchine virtuali ospitate in u nuvulu, password. attacchi guessing "in macchine virtuali, vulnerabilità in a cunfigurazione di u sistema d'identificazione di l'utilizatori, login in u sistema da anonimizatori o nodi infettati, fughe di contu, login in u sistema da locu inusual, etc. Azure oghje hè unu di i pochi fornitori di nuvola chì vi offre capacità integrate di Threat Intelligence per arricchisce l'avvenimenti di sicurezza di l'infurmazioni raccolti.

Cumu l'esitatu sopra, a funziunalità di sicurità è, in u risultatu, l'avvenimenti di sicurità generati da questu ùn sò micca dispunibili per tutti l'utilizatori ugualmente, ma esigenu un certu abbunamentu chì include a funziunalità chì avete bisognu, chì genera l'avvenimenti adattati per u monitoraghju di a sicurità di l'infurmazioni. Per esempiu, alcune di e funzioni descritte in u paràgrafu precedente per u monitoraghju di anomalie in i cunti sò dispunibuli solu in a licenza premium P2 per u serviziu Azure AD. Senza ellu, voi, cum'è in u casu di AWS, avete da analizà "manualmente" l'avvenimenti di sicurezza cullati. È, ancu, secondu u tipu di licenza Azure AD, micca tutti l'avvenimenti seranu dispunibili per l'analisi.

Nantu à u portale Azure, pudete gestisce e dumande di ricerca per i logs d'interessu per voi è cunfigurà dashboards per visualizà l'indicatori di sicurezza di l'infurmazioni chjave. Inoltre, pudete selezziunate estensioni di Azure Monitor, chì permettenu di espansione a funziunalità di i logs di Azure Monitor è uttene un analisi più profundo di l'avvenimenti da un puntu di vista di sicurezza.

Sè vo avete bisognu micca solu l'abilità di travaglià cù logs, ma un centru di sicurezza cumpletu per a vostra piattaforma di nuvola Azure, cumpresa a gestione di pulitica di sicurezza di l'infurmazioni, pudete parlà di a necessità di travaglià cù Azure Security Center, a maiò parte di e funzioni utili di quale. sò dispunibuli per qualchi soldi, per esempiu, rilevazione di minacce, monitoraghju fora di Azure, valutazione di conformità, etc. (in a versione libera, avete solu accessu à una valutazione di sicurezza è cunsiglii per eliminà i prublemi identificati). Consolida tutti i prublemi di sicurità in un locu. In fatti, pudemu parlà di un livellu più altu di sicurità di l'infurmazioni chì l'Azure Monitor vi furnisce, postu chì in questu casu i dati raccolti in tutta a vostra fabbrica di nuvola sò arricchiti cù parechje fonti, cum'è Azure, Office 365, Microsoft CRM in linea, Microsoft Dynamics AX. , outlook .com, MSN.com, Microsoft Digital Crimes Unit (DCU) è Microsoft Security Response Center (MSRC), nantu à quale sò sovrapposti diversi algoritmi sofisticati d'apprendimentu di macchina è di analisi di cumportamentu, chì duverebbe infine migliurà l'efficienza di rilevazione è risposta à e minacce. .

Azure hà ancu u so propiu SIEM - hè apparsu à u principiu di 2019. Questu hè Azure Sentinel, chì si basa nantu à e dati da Azure Monitor è pò ancu integrà cù. suluzioni di sicurità esterni (per esempiu, NGFW o WAF), a lista di quali hè sempri criscenti. Inoltre, per mezu di l'integrazione di l'API di Microsoft Graph Security, avete a capacità di cunnette i vostri propri feed Threat Intelligence à Sentinel, chì arricchisce e capacità per analizà incidenti in u vostru cloud Azure. Pò esse sustinutu chì l'Azure Sentinel hè u primu SIEM "nativu" chì apparsu da i fornituri di nuvola (u stessu Splunk o ELK, chì pò esse allughjatu in u nuvulu, per esempiu, AWS, ùn sò micca sviluppati da i fornituri di servizii di nuvola tradiziunali). Azure Sentinel and Security Center puderia esse chjamatu SOC per u nuvulu Azure è puderia esse limitatu à elli (cun ​​​​certe riservazioni) se ùn avete più infrastruttura è avete trasferitu tutte e vostre risorse di computing à u nuvulu è seria u Microsoft cloud Azure.

Ma postu chì e capacità integrate di Azure (ancu s'è vo avete un abbunamentu à Sentinel) sò spessu micca abbastanza per u scopu di monitorà a sicurità di l'infurmazioni è di integrà stu prucessu cù altre fonti di avvenimenti di sicurità (sia in nuvola sia interna), ci hè un bisognu di esportà e dati raccolti à sistemi esterni, à quale pò include SIEM. Questu hè fattu sia cù l'API sia cù estensioni speciali, chì sò attualmente ufficialmente dispunibili solu per i seguenti SIEM - Splunk (Azure Monitor Add-On per Splunk), IBM QRadar (Microsoft Azure DSM), SumoLogic, ArcSight è ELK. Finu à pocu tempu, ci era più tali SIEM, ma da u 1 di ghjugnu 2019, Microsoft hà cessatu di sustene l'Azure Log Integration Tool (AzLog), chì à l'alba di l'esistenza di Azure è in l'absenza di standardizazione normale di travaglià cù logs (Azure). Monitor ùn esiste ancu ancu) hà facilitatu l'integrazione di SIEM esternu cù u cloud Microsoft. Avà a situazione hè cambiata è Microsoft ricumanda a piattaforma Azure Event Hub cum'è u principale strumentu d'integrazione per altri SIEM. Parechje anu digià implementatu una tale integrazione, ma attenti - ùn ponu micca catturà tutti i logs Azure, ma solu alcuni (cerca in a documentazione per u vostru SIEM).

Concludendu una breve escursione in Azure, vogliu dà una raccomandazione generale nantu à stu serviziu di nuvola - prima di dì qualcosa nantu à e funzioni di monitoraghju di a sicurità di l'infurmazioni in Azure, duvete cunfigurà cun cura è pruvà chì funzionanu cum'è scrittu in a documentazione è cum'è i cunsultanti vi anu dettu Microsoft (è ponu avè diverse visioni nantu à e funziunalità di e funzioni Azure). Sè vo avete i risorsi finanziarii, pudete sprime assai infurmazioni utili da Azure in quantu à u monitoraghju di a sicurità di l'infurmazioni. Se i vostri risorsi sò limitati, allora, cum'è in u casu di AWS, vi tuccherà à s'appoghjanu solu nantu à a vostra propria forza è i dati crudi chì Azure Monitor vi furnisce. È ricordate chì parechje funzioni di monitoraghju custanu soldi è hè megliu familiarizàvi cù a pulitica di i prezzi in anticipu. Per esempiu, gratuitamente pudete almacenà 31 ghjorni di dati finu à un massimu di 5 GB per cliente - sopra à questi valori vi richiederà di sbuccà soldi supplementu (circa $ 2 + per almacenà ogni GB supplementu da u cliente è $ 0,1 per almacenà 1 GB ogni mese supplementu). U travagliu cù a telemetria di l'applicazioni è e metriche pò ancu esse bisognu di fondi supplementari, è ancu di travaglià cù alerti è notificazioni (un certu limitu hè dispunibule gratuitamente, chì pò esse micca abbastanza per i vostri bisogni).

Esempiu: Monitoraghju di a sicurità di l'infurmazioni in IaaS basatu in Google Cloud Platform

Google Cloud Platform pare un ghjovanu cumparatu cù AWS è Azure, ma questu hè in parte bonu. A cuntrariu di AWS, chì hà aumentatu e so capacità, cumprese quelli di sicurezza, gradualmente, avè prublemi cù a centralizazione; GCP, cum'è Azure, hè assai megliu gestitu cintrali, chì riduce l'errori è u tempu di implementazione in tutta l'impresa. Da un puntu di vista di sicurità, GCP hè, stranu, trà AWS è Azure. Hà ancu una sola registrazione di l'avvenimentu per tutta l'urganizazione, ma hè incompleta. Alcune funzioni sò sempre in modu beta, ma gradualmente sta carenza deve esse eliminata è GCP diventerà una piattaforma più matura in quantu à u monitoraghju di a sicurità di l'infurmazioni.

L'uttellu principale per a registrazione di l'avvenimenti in GCP hè Stackdriver Logging (simile à Azure Monitor), chì vi permette di cullà l'avvenimenti in tutta a vostra infrastruttura nuvola (cum'è da AWS). Da una perspettiva di sicurità in GCP, ogni urganizazione, prughjettu o cartulare hà quattru logs:

• Attività Admin - cuntene tutti l'avvenimenti ligati à l'accessu amministrativu, per esempiu, a creazione di una macchina virtuale, cambià i diritti d'accessu, etc. Stu logu hè sempre scrittu, indipendentemente da u vostru desideriu, è guarda i so dati per 400 ghjorni.
• Accessu à i dati - cuntene tutti l'avvenimenti ligati à u travagliu cù e dati da l'utilizatori di nuvola (creazione, mudificazione, lettura, etc.). Per automaticamente, stu logu ùn hè micca scrittu, cum'è u so voluminu si stende assai rapidamente. Per quessa, a so vita di a so vita hè solu 30 ghjorni. Inoltre, micca tuttu hè scrittu in sta rivista. Per esempiu, l'avvenimenti ligati à e risorse chì sò publicamente accessibili per tutti l'utilizatori o chì sò accessibili senza login in GCP ùn sò micca scritti à questu.
• Event System - cuntene l'avvenimenti di u sistema chì ùn sò micca ligati à l'utilizatori, o l'azzioni di un amministratore chì cambia a cunfigurazione di e risorse nuvola. Hè sempre scrittu è guardatu per 400 ghjorni.
• A trasparenza di l'accessu hè un esempiu unicu di un logu chì cattura tutte l'azzioni di l'impiegati di Google (ma micca ancu per tutti i servizii GCP) chì accede à a vostra infrastruttura cum'è parte di e so funzioni di travagliu. Stu logu hè guardatu per 400 ghjorni è ùn hè micca dispunibile per ogni cliente GCP, ma solu s'ellu si sò scontri una quantità di cundizioni (o supportu di livellu Gold o Platinum, o a presenza di roli 4 di un certu tipu cum'è parte di supportu corporativu). Una funzione simili hè ancu dispunibule, per esempiu, in Office 365 - Lockbox.

Esempiu di log: Access Transparency

{
 insertId:  "abcdefg12345"
 jsonPayload: {
  @type:  "type.googleapis.com/google.cloud.audit.TransparencyLog"
  location: {
   principalOfficeCountry:  "US"
   principalEmployingEntity:  "Google LLC"
   principalPhysicalLocationCountry:  "CA"
  }
  product: [
   0:  "Cloud Storage"
  ]
  reason: [
    detail:  "Case number: bar123"
    type:  "CUSTOMER_INITIATED_SUPPORT"
  ]
  accesses: [
   0: {
    methodName: "GoogleInternal.Read"
    resourceName: "//googleapis.com/storage/buckets/[BUCKET_NAME]/objects/foo123"
    }
  ]
 }
 logName:  "projects/[PROJECT_NAME]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
 operation: {
  id:  "12345xyz"
 }
 receiveTimestamp:  "2017-12-18T16:06:37.400577736Z"
 resource: {
  labels: {
   project_id:  "1234567890"
  }
  type:  "project"
 }
 severity:  "NOTICE"
 timestamp:  "2017-12-18T16:06:24.660001Z"
}

L'accessu à questi logs hè pussibule in parechje manere (in quasi u listessu modu cum'è l'Azure è AWS discututu prima) - attraversu l'interfaccia di Log Viewer, per l'API, per u Google Cloud SDK, o per a pagina di l'attività di u vostru prughjettu per quale avete. sò interessati à l'avvenimenti. In u listessu modu, ponu esse esportati à suluzioni esterni per analisi supplementari. L'ultima hè fatta da l'esportazione di logs à BigQuery o Cloud Pub / Sub storage.

In più di Stackdriver Logging, a piattaforma GCP offre ancu a funziunalità di Stackdriver Monitoring, chì permette di monitorà e metriche chjave (prestazioni, MTBF, salute generale, etc.) di servizii è applicazioni in nuvola. I dati processati è visualizati ponu fà più faciule per truvà prublemi in a vostra infrastruttura nuvola, ancu in u cuntestu di sicurità. Ma deve esse nutatu chì sta funziunalità ùn serà micca assai ricca in u cuntestu di a sicurità di l'infurmazioni, postu chì oghje GCP ùn hà micca un analogu di u listessu AWS GuardDuty è ùn pò micca identificà i cattivi trà tutti l'avvenimenti registrati (Google hà sviluppatu Event Threat Detection, ma hè sempre in sviluppu in beta è hè troppu prestu per parlà di a so utilità). Stackdriver Monitoring puderia esse usatu cum'è un sistema per a deteczione di anomalie, chì seranu allora investigate per truvà e cause di a so occurrence. Ma datu a mancanza di persunale qualificatu in u campu di a sicurità di l'infurmazioni GCP in u mercatu, sta attività pare oghje difficiule.

Vale ancu a pena dà una lista di alcuni moduli di sicurità di l'infurmazioni chì ponu esse utilizati in u vostru nuvulu GCP, è chì sò simili à ciò chì AWS offre:

• Cloud Security Command Center hè un analogu di AWS Security Hub è Azure Security Center.
• Cloud DLP - Scuperta è edità automatica (per esempiu, mascheratura) di dati ospitati in u nuvulu utilizendu più di 90 pulitiche di classificazione predefinite.
• Cloud Scanner hè un scanner per e vulnerabilità cunnisciute (XSS, Flash Injection, biblioteche senza patch, etc.) in App Engine, Compute Engine è Google Kubernetes.
• Cloud IAM - Cuntrolla l'accessu à tutte e risorse GCP.
• Cloud Identity - Gestite i cunti di l'utilizatori, di u dispositivu è di l'applicazioni GCP da una sola cunsola.
• Cloud HSM - prutezzione di e chjave criptografiche.
• Cloud Key Management Service - gestione di e chjave criptografiche in GCP.
• VPC Service Control - Crea un perimetru sicuru intornu à e vostre risorse GCP per prutegge li da fughe.
• Titan Security Key - prutezzione contru phishing.

Parechji di sti moduli generanu avvenimenti di sicurezza chì ponu esse mandati à l'almacenamiento BigQuery per l'analisi o l'esportazione à altri sistemi, cumpresu SIEM. Cumu l'esitatu sopra, GCP hè una piattaforma attivamente in sviluppu è Google hè avà sviluppatu una quantità di novi moduli di sicurità di l'infurmazioni per a so piattaforma. Frà elli sò Event Threat Detection (oghji dispunibule in beta), chì scanseghja i log Stackdriver in cerca di tracce di attività micca autorizata (analoga à GuardDuty in AWS), o Policy Intelligence (disponibile in alfa), chì vi permetterà di sviluppà pulitiche intelligenti per accessu à e risorse GCP.

Aghju fattu una breve panoramica di e capacità di monitoraghju integrate in e piattaforme cloud populari. Ma avete specialisti chì sò capaci di travaglià cù logs di fornitori IaaS "crudi" (micca tutti sò pronti per cumprà e capacità avanzate di AWS o Azure o Google)? Inoltre, assai sò familiarizati cù l'adage "fiducia, ma verificate", chì hè più vera chì mai in u campu di a sicurità. Quantu cunfidate di e capacità integrate di u fornitore di nuvola chì vi mandanu avvenimenti di sicurità di l'infurmazioni? Quantu si cuncentranu in a sicurità di l'infurmazioni in tuttu?

Calchì volta vale a pena guardà e soluzioni di monitoraghju di l'infrastruttura di nuvola di sovrapposizione chì ponu cumplementà a sicurezza di u nuvulu integrata, è qualchì volta tali suluzioni sò l'unica opzione per acquistà insight à a sicurità di i vostri dati è l'applicazioni ospitate in u nuvulu. Inoltre, sò simpliciamente più convenienti, postu chì piglianu tutti i travaglii di analizà i logs necessarii generati da diversi servizii di nuvola da diversi fornitori di nuvola. Un esempiu di una tale soluzione di overlay hè Cisco Stealthwatch Cloud, chì hè focu annantu à un compitu unicu - monitoring anomalie di sicurità di l'infurmazioni in ambienti di nuvola, cumprese micca solu Amazon AWS, Microsoft Azure è Google Cloud Platform, ma ancu i nuvuli privati.

Esempiu: Monitoraghju di a Sicurezza di l'Informazione Utilizendu Stealthwatch Cloud

AWS furnisce una piattaforma informatica flessibile, ma sta flessibilità facilita l'imprese à fà sbagli chì portanu à prublemi di sicurezza. È u mudellu di sicurità di l'infurmazioni spartuti cuntribuisce solu à questu. Esecuzione di software in u nuvulu cù vulnerabili scunnisciuti (cunnisciuti ponu esse cummattiti, per esempiu, da AWS Inspector o GCP Cloud Scanner), password debuli, cunfigurazioni sbagliate, insiders, etc. È tuttu questu hè riflessu in u cumpurtamentu di e risorse di nuvola, chì ponu esse monitoratu da Cisco Stealthwatch Cloud, chì hè un sistema di monitoraghju di sicurità di l'infurmazioni è di rilevazione di attaccu. nuvole publiche è private.

Una di e caratteristiche chjave di Cisco Stealthwatch Cloud hè a capacità di modellà entità. Cù ellu, pudete creà un mudellu di software (vale à dì, una simulazione quasi in tempu reale) di ognuna di e vostre risorse di nuvola (ùn importa s'ellu hè AWS, Azure, GCP, o qualcos'altro). Questi ponu include servitori è utilizatori, è ancu tippi di risorse specifichi per u vostru ambiente di nuvola, cum'è gruppi di sicurezza è gruppi di scala automatica. Questi mudelli utilizanu flussi di dati strutturati furniti da i servizii di nuvola cum'è input. Ad esempio, per AWS questi sarebbero VPC Flow Logs, AWS CloudTrail, AWS CloudWatch, AWS Config, AWS Inspector, AWS Lambda e AWS IAM. U mudellu di l'entità scopre automaticamente u rolu è u cumpurtamentu di qualsiasi di e vostre risorse (pudete parlà di prufilu di tutte l'attività di nuvola). Questi roli includenu u dispositivu mobile Android o Apple, u servitore Citrix PVS, u servitore RDP, u gateway di mail, u cliente VoIP, u servitore di terminal, u controller di duminiu, etc. Dopu monitora continuamente u so cumpurtamentu per determinà quandu si trova un cumpurtamentu risicatu o minacciatu per a sicurità. Pudete identificà password guessing, attacchi DDoS, fughe di dati, accessu remoto illegale, attività di codice maliziusi, scanning di vulnerabilità è altre minacce. Per esempiu, questu hè ciò chì dette un tentativu di accessu remoto da un paese atipicu per a vostra urganizazione (Corea di u Sud) à un cluster Kubernetes via SSH s'assumiglia:

È questu hè ciò chì a presunta fuga di informazioni da a basa di dati Postgress à un paese cù quale ùn avemu micca scontru interazzione prima:

Infine, questu hè ciò chì pareanu troppu tentativi SSH falluti da a Cina è l'Indonesia da un dispositivu remotu esternu:

Or, supponi chì l'istanza di u servitore in u VPC ùn hè, per pulitica, mai esse una destinazione di login remota. Assumimu ancu chì questu computer hà sperimentatu un login remotu per via di un cambiamentu sbagliatu in a pulitica di e regule di firewall. A funzione di Modellazione di l'Entità rilevarà è signalerà sta attività ("Access Remote Inusual") quasi in tempu reale è indicà à a specifica AWS CloudTrail, Azure Monitor, o GCP Stackdriver Logging API call (cumpresu nome d'utilizatore, data è ora, frà altri dettagli). ), chì hà incitatu u cambiamentu à a regula ITU. E poi sta infurmazione pò esse mandata à SIEM per l'analisi.

Capacità simili sò implementate per qualsiasi ambiente cloud supportatu da Cisco Stealthwatch Cloud:

U mudellu di entità hè una forma unica d'automatizazione di sicurità chì pò scopre un prublema scunnisciutu prima cù e vostre persone, prucessi o tecnulugia. Per esempiu, vi permette di detect, frà altre cose, prublemi di sicurità cum'è:

• Qualchissia hà scupertu una backdoor in u software chì usemu?
• Ci hè un software o un dispositivu di terzu in u nostru nuvulu?
• L'utente autorizatu abusa di i privilegi?
• Ci hè statu un errore di cunfigurazione chì permette l'accessu remotu o un altru usu imprevisu di risorse?
• Ci hè una fuga di dati da i nostri servitori?
• Qualchissia provava di cunnette cù noi da un locu geugraficu atipicu ?
• Hè u nostru nuvulu infettatu cù codice maliziusu?

Un avvenimentu di securità di l'infurmazioni rilevati pò esse mandatu in a forma di un bigliettu currispundente à Slack, Cisco Spark, u sistema di gestione di incidenti PagerDuty, è ancu mandatu à diversi SIEM, cumprese Splunk o ELK. Per riassume, pudemu dì chì se a vostra cumpagnia usa una strategia multi-nuvola è ùn hè micca limitata à un fornitore di nuvola, e capacità di monitoraghju di a sicurità di l'infurmazioni descritte sopra, allora l'usu di Cisco Stealthwatch Cloud hè una bona opzione per uttene un inseme unificatu di monitoraghju. capacità per i principali attori cloud - Amazon, Microsoft è Google. A cosa più interessante hè chì se paragunate i prezzi per Stealthwatch Cloud cù licenze avanzate per u monitoraghju di a sicurità di l'infurmazioni in AWS, Azure o GCP, pò esse chì a suluzione Cisco serà ancu più prezzu di e capacità integrate di Amazon, Microsoft. e soluzioni di Google. Hè paradossale, ma hè vera. E più nuvole è e so capacità chì aduprate, u più evidenti serà u vantaghju di una suluzione cunsulidata.

Inoltre, Stealthwatch Cloud pò monitorà i nuvuli privati ​​​​spiegati in a vostra urganizazione, per esempiu, basatu nantu à i cuntenituri di Kubernetes o monitorendu i flussi di Netflow o u trafficu di a rete ricevuti attraversu mirroring in l'equipaggiu di rete (ancu pruduciutu in casa), dati AD o servitori DNS è cusì. Tutti issi dati seranu arricchiti cù l'infurmazioni di Threat Intelligence raccolte da Cisco Talos, u più grande gruppu non-guvernamentu di u mondu di circadori di minaccia di cibersecurità.

Questu permette di implementà un sistema di monitoraghju unificatu per i nuvuli publichi è ibridi chì a vostra cumpagnia pò aduprà. L'infurmazioni raccolte ponu esse analizate utilizendu e capacità integrate di Stealthwatch Cloud o mandate à u vostru SIEM (Splunk, ELK, SumoLogic è parechji altri sò supportati per difettu).

Cù questu, compieremu a prima parte di l'articulu, in quale aghju rivista l'arnesi integrati è esterni per u monitoraghju di a sicurità di l'infurmazioni di e plataforme IaaS / PaaS, chì ci permettenu di detectà rapidamente è risponde à incidenti chì si verificanu in l'ambienti di nuvola chì a nostra impresa hà sceltu. In a seconda parte, avemu da cuntinuà u tema è fighjemu l'opzioni per u monitoraghju di e plataforme SaaS cù l'esempiu di Salesforce è Dropbox, è avemu da pruvà ancu di riassume è mette tuttu inseme creendu un sistema unificatu di surviglianza di sicurezza di l'infurmazioni per i diversi fornituri di nuvola.

Source: www.habr.com