多雲環境下的安全監控實行與整合

企業在使用雲端平台時，每一個雲端平台業者(以下簡稱CSP)都會提供他們自己的資安解決方案。但當企業使用的是多雲環境時，企業就需要一個統一的視圖來監看整個資安狀態。而這一類的解決方案通常是SIEM(Security Information and Event Management)與SOAR(Security Orchestration, Automation and Response)。

在本文中，我們將討論為何需要在多雲環境下運行這一些資安系統。我們首先將討論這一些系統的不同之處，接下來我們會討論現今市面上的這一些解決方案有哪些是可用的。但最重要的問題還是 — 我們要選擇哪一套是適合我們企業用的，還有要怎麼實行這些複雜的系統到我們的雲端環境。

本文的重點有:

• 理解什麼是SIEM與SOAR
• 設立Security Operations Center
• 設立整合性的資安需求
• 實行安全模型
• 探討多雲監控的解決方案

理解什麼是SIEM與SOAR

三大公有雲都有提供他們自己原生的資安監控方案，Azure的Microsoft Defender for Cloud、AWS的Security Hub與GCP的Security Command Center。但是，企業在使用多雲環境中就算都使用每家CSP自己的資安方案還是無法有一個統一的視圖。為了這一個目的，企業通常會使用SIEM與SOAR來達成。

接下來企業需要一個資安單位來運作SIEM與SOAR來分析資料與處理它發生的告警後續作業。這一個單位通常是SOC(Security Operations Center)。

SIEM與SOAR的不同之處

SIEM 收集、聚合和分析這些資訊以識別可能的威脅。 由於它從所有環境收集資料，因此能夠進行資料關聯並識別可能的攻擊模式。為此，SIEM會使用機器學習與分析軟體。它可以辨識系統中不正常的行為(使用anomaly detection)。SIEM的架構通常有著以下的組件:

SOAR則是出現在SIEM之後。SOAR做的事跟SIEM大部分很像似，但是SOAR最重要的組成是"Orchestration"與"Automation"。企業可以使用SOAR針對一些資安事件採取自動化回應。假如SOAR偵測到威脅，它可以馬上採取自動式回應。例如，Web server只會開啟port 80/443。但卻偵測到了其他的port被開啟，這時SOAR就會立刻關閉非80/443 port。或是將web server放置到隔離區。

設立Security Operations Center

SOC這個單位，在資安界打滾的都知道已經存在很多年了。比較大的企業會有自己的SOC單位，中小企可能就進行委外服務。SOC跟NOC一樣，都是7x24小時的服務。並且運作SIEM與SOAR系統來監控企業的整體IT環境。

SOC在多雲環境中扮演重要的角色 — 集中式監控、事故回應、威脅情資、弱點管理、和規與監管與安全自動化等等。SOC的職責有:

• 監控和分析來自多個雲端平台的資安事件，以偵測潛在的安全威脅和漏洞
• 當偵測到安全漏洞或威脅時，主導事件回應流程，包括調查事件、遏制漏洞以及恢復系統和資料
• 收集並分析來自各種來源的威脅情報，以更好地了解和應對新出現的安全威脅
• 與資安和維運團隊合作，識別和修復多雲環境中的漏洞
• 通過監控和稽核雲端環境，幫助組織確保遵守 ISO、PCI-DSS 和 HIPAA 等法規和標準
• 使用安全自動化和Orchestration tools來簡化和自動化安全流程，例如事件回應和漏洞管理

由於企業的IT環境是複雜的(可能多雲加上地端機房或私有雲)。企業需要對這些環境據具有可視性(Observability)。但具有可視性可能還不夠，企業需要知道自己的漏洞是什麼以及面臨風險的地方，以便在風險發生時制訂和實施計劃來避免(avoid)、阻止(deter)或減輕(mitigate)風險。

設立整合性的資安需求

在公司花錢買產品之前，資安架構師需要收集資安需求的。而這一類的需求則是資安團隊日常作業都會進行的。以下是資安團隊在有資安事件時會進行的四個階段作業:

1. 偵測(Detect)
   大部分的資安工具都會聚焦在偵測弱點與實際/嘗試的攻擊。例如終端防護系統，像是防毒軟體或XDR系統。在多雲環境中，架構師需要確保偵測系統可以於所有的平台，並將資訊送回SIEM/SOAR系統。
2. 分析(Analyze)
   偵測系統通常會送回一大堆資料回來，當然也包括誤報資料(false positives)。理想情況下，資安監控會對事件進行首次分析，根據系統和使用者的已知模式和行為進行檢查。 這是第一個過濾器。 分析的第二階段是確定優先等級，由資深的資安人員完成。 他們可以存取廠商和安全機構的知識庫。 他們擁有的資訊使他們能夠根據相關脈絡優先考慮潛在威脅。 請記住一件事 — — 有煙的地方通常就會發生火災。 那麼問題來了，火有多大呢？
3. 回應(Respond)
   在威脅被偵測與有了優先等級之後，資安團隊就需要對其進行回應。首先，他們需要確保停止攻擊並識別被利用的漏洞。 下一步是修復 — — 防止系統造成（進一步）損壞或資料洩露。 回應的最後一步是恢復(recovery) — — 恢復系統並確保資料安全，這也是大多資安人員不太注意的，因為他們都聚焦在防護。 確保資安事件的流程非常清晰。 誰需要被告知，誰有權做出決定，以及事件升級程序是什麼？
4. 防止(Prevent)
   SIEM/SOAR能在偵測、分析與回應階段做非常多的事。但是，資安起始於防治於漏洞被找到。資安團隊必續持續對企業使用的所有環境具有可見性(Visibility)，必須有權存取廠商的安全報告、評估和威脅偵測掃描。 跟進 Azure、AWS、GCP 或任何其他廠商商的建議也很重要。 這些廠商商定期發布安全更新，並提供改善其平台上部署的環境安全狀態的建議。 企業應遵循這些建議。

Gartner 預測，到 2024 年，80% 的 SOC 將投資於使用AI和機器學習的工具。 然而，Gartner 還得出結論，這些投資不一定會減少資安團隊花在調查資安事件上的時間。 那麼，在資安工具和系統方面什麼是明智的投資呢？ 首先，利用廠商已有的資源。 Azure、AWS、GCP 都有安全套件，可以收集有關系統運行狀況和完整性的大量資訊。 在幾乎所有情況下，只需勾選即可啟用這些安全系統，儘管資安工程師必須設置工具監控系統的baseline。

實行資安模型

許多公司可能已經開始使用多雲的環境，從IaaS到SaaS。它們可能把web service放在AWS，OA的方案使用Office 364。在AWS可能會用到Inspector與GuardDuty。在O365可能會用Microsoft Defender。問題在於，資安團隊如何整合成一個統一的視圖願景?

安全模型通常從零信任和安全設計的概念開始。我們必須認知到，雲端環境的變化與成長視持續不斷的。意味著，企業需要一直從這些變動的環境中收集與聚合大量的資料。由於資料在這一堆雲端服務中不斷被處理與交換，也意味著保護這些不斷變化與流動的資料是一項大工程。這最終讓企業引進了"零信任和安全設計"。有關零信任的概念，可參閱本部落格零信任的IT環境架構一文。

安全的設計(Security Bu Design)將安全考量納入系統、應用程式和基礎設施的設計和開發中。 這種方法確保安全性內建於技術結構中，並且安全性是開發過程每個階段的考量因素。 在多雲架構中，我們將這兩個概念結合起來，這是最佳實踐。 通過這樣做，我們解決了技術基礎上的安全問題。 企業可以實施縱深防禦方法，包括多因素驗證、加密和持續監控。

例如:
我們可使用IAM(identity and access management)來強制進行多因子驗證與實行least privilege access model。這可以幫助我們只有經過授權的使用者能夠存取企業的資產，並且該存取是被監控與能夠稽核的。

通過假設所有存取請求都不可信(零信任)，並將安全考量因素納入技術的設計和開發中，企業可以幫助確保其多雲環境的安全並保護其資產免受惡意攻擊。 我們需要採取什麼步驟來定義和實施安全策略和相關模型？

• 定義目標運作模型
  企業的整體IT環境看起來應該是如何的並且誰應該負責甚麼部分?企業必須有在雲端管理上有一個清楚R&R分界模型。所謂目標運作模型是指雲端組件中的樣貌與組件的負責人是誰。而安全組件就屬於資安人員負責的。
• 定義工作流程與升級程序
  這是指資安事件發生的作業流程。甚麼是高/中/低優先等級的資安程序?各類優先等級事件發生時該通知誰?
• 評估現有安全工具的功能
• 差距分析(Gap analysis)
  這裡永遠是盲區。批次處理作業中的一個常見案例是這些作業是否也從安全角度進行監控。 當作業停止時會發生什麼？ 系統之間的通訊是否會停止，系統的完整性是否仍然得到保障？ 在雲原生環境中，企業還應該充分了解如何監控容器和serverless解決方案。 並非所有監控工具都可以處理這些原生環境。
• 建立策略性計畫
  這是CISO的功課。第一個問題是企業的策略性計畫成熟度目標是甚麼。下一個問題是企業的最大安全考量是甚麼?也就是最大的風險與威脅。通常除了金錢損失外，企業最在乎的可能是聲譽損失。最後，企業必須能夠辨識既有的工具、流程與專業能力是否足夠以及要達到目標成熟度還缺乏甚麼。

更多的能力成熟度介紹可參閱本部落格COBIT治理設計與實施對照一文及其系列文章。以下為一個安全成熟度模型範例:

雖然站在技術的角度，能夠成立一個SOC團隊當然是最好的。不過在台灣90%都是中小企的規模來看，這麼做是不切實際的。委外就會是另一條出路。因為多雲的環境及其複雜，我們怎麼完成這件事就是最困難的部分。以下是最佳實踐的建議步驟:

1. 對企業的業務有可視性
   這 一階段我們收集安全策略並協調企業的業務和 IT 之間的安全流程。
2. 整合企業安全與IT安全維運
   在這個階段，安全維運支援安全監控，並將安全基線（如第一階段的業務定義）納入監控系統。 該階段的一部分是對CSP平台進行風險評估。 建議對CSP的安全基線(security baseline)進行評估，分析這些基線是否符合企業的安全原則。
3. 優化
   此階段已經讓我們的安全統一視圖開始運作了。

整合性的安全意味著企業已經有了清晰流程模型、工具與專業能力。在多雲環境中，這也意謂著CSP也在這些流程模型、工具與專業能力的一部分。安全架構師的任務是對其進行定義、設計和建模。SIEM/SOAR工具是幫助企業有一個統一的資安視圖。

探討多雲監控的解決方案

SIEM/SOAR是一個成長快速的市場，意味著企業的選擇非常非常的多。不論是Splunk，LogRhythm等這一類由Gartner認證的市場領導產品。或是其他正在崛起的品牌。我們第一個需要辨識的是，這一些解決方案是否可以跟CSP的API進行整合。因為唯有使用API的方式，這些SIEM/SAOR才可以高度整合這些雲端平台。從收集資料到雲端平台發出的告警都必須靠API整合完成。

CSA(Cloud Security Alliance)在2022年發出了一篇報告，指出在雲端中的11大威脅。如果我們所選擇的SIEM/SOAR最好能夠對應這一些威脅為佳:

1. 身份憑證、訪問權限和金鑰管理不足
2. 不安全的API與介面
3. 資源的misconfiguration與不正確的變更控制
4. 缺乏雲端安全架構
5. 不安全的第三方資源
6. 系統弱點
7. 雲端資料意外洩露
8. 有組織的犯罪與駭客
9. Cloud storage資料洩漏
10. 容器與serverless等workload的misconfiguration與弱點探索
11. 不安全的軟體開發