自動(dòng)化安全流程和工作流程可以幫助團(tuán)隊(duì)縮短平均解決時(shí)間，維持或加強(qiáng)組織的安全態(tài)勢(shì)，并提高運(yùn)營(yíng)效率。聽(tīng)起來(lái)不錯(cuò)，對(duì)吧？在我們最近的云安全用例手冊(cè)中，杭州ip設(shè)計(jì)公司了解了所有團(tuán)隊(duì)都應(yīng)該具備的關(guān)鍵操作流程，以及他們可以隨著時(shí)間的推移不斷優(yōu)化這些流程的一些方法。今天，讓我們來(lái)看看自動(dòng)化如何提供持續(xù)、深入的可見(jiàn)性并增強(qiáng)您的安全運(yùn)營(yíng)，同時(shí)節(jié)省您的時(shí)間和資源。

自動(dòng)化成熟領(lǐng)域

在 Threat Stack，我們建議組織： 自動(dòng)化一切。人類接觸的移動(dòng)部件越少，事情搞砸的機(jī)會(huì)就越少。當(dāng)然，自動(dòng)化“一切”是一項(xiàng)艱巨的任務(wù)，因此您需要從幾個(gè)特定領(lǐng)域開(kāi)始著手。然后，制定一個(gè)計(jì)劃，緩慢但肯定地實(shí)現(xiàn)一切自動(dòng)化。以下是您環(huán)境中從安全角度來(lái)看非常適合早期自動(dòng)化的五個(gè)區(qū)域示例。

1. 警報(bào)嚴(yán)重級(jí)別

應(yīng)使用安全工具將警報(bào)的優(yōu)先級(jí)分為高、中或低嚴(yán)重性。這樣，人類就不會(huì)被警報(bào)轟炸并冒著警報(bào)疲勞的風(fēng)險(xiǎn)，而是可以根據(jù)優(yōu)先級(jí)采取適當(dāng)和及時(shí)的行動(dòng)。

例如，SecOps 團(tuán)隊(duì)需要知道是否將未經(jīng)授權(quán)的包引入生產(chǎn)環(huán)境。優(yōu)秀的杭州ip設(shè)計(jì)公司運(yùn)營(yíng)團(tuán)隊(duì)會(huì)小心地在開(kāi)發(fā)人員在生產(chǎn)中實(shí)例化的黃金 AMI 中安裝和維護(hù)包。但是任何未經(jīng)授權(quán)的安裝都會(huì)增加生產(chǎn)環(huán)境的攻擊面。

為避免這種情況，您的安全工具應(yīng)設(shè)置為在生產(chǎn)中安裝任何未經(jīng)授權(quán)的軟件包時(shí)自動(dòng)生成中等嚴(yán)重性警報(bào)。然后，您可以在每個(gè)工作日查看它們，并根據(jù)需要采取行動(dòng)。有人可能只是忘記提前獲得正確的授權(quán)，但這也可能是攻擊未遂的跡象。應(yīng)每周審查低嚴(yán)重性警報(bào)。高嚴(yán)重性警報(bào)一出現(xiàn)就應(yīng)該由某人進(jìn)行審查。

2. 用戶配置和取消配置

根據(jù)安全最佳實(shí)踐，絕不應(yīng)直接在生產(chǎn)系統(tǒng)上將用戶添加到工作負(fù)載中或從工作負(fù)載中刪除。為什么？在持續(xù)開(kāi)發(fā)的基礎(chǔ)架構(gòu)中，開(kāi)發(fā)人員和運(yùn)營(yíng)人員絕不應(yīng)該像手動(dòng)添加或刪除用戶那樣直接與系統(tǒng)交互。它只是為人為錯(cuò)誤引入了太多機(jī)會(huì)。

相反，您應(yīng)該在部署期間使用自動(dòng)化工具在工作負(fù)載中添加或刪除用戶。對(duì)于自動(dòng)化來(lái)說(shuō)，這是一個(gè)很好的、唾手可得的成果。

3. 故障排除和枚舉工具

故障排除和枚舉工具是安全應(yīng)該自動(dòng)化的另一個(gè)領(lǐng)域。杭州ip設(shè)計(jì)公司是否知道 tcpdump、netcat 和 wireshark 等安全工具經(jīng)常被漏洞利用用于數(shù)據(jù)泄露？談?wù)撘鼓愕氖郑〕鲇谶@個(gè)原因，這些工具絕不應(yīng)該作為通用工具的一部分在生產(chǎn)中使用。

為了解決這個(gè)問(wèn)題和類似問(wèn)題，您的安全解決方案應(yīng)該每周自動(dòng)監(jiān)控生產(chǎn)環(huán)境中所有安全工具的安裝和使用情況。過(guò)濾器可用于標(biāo)記這些實(shí)例并捕獲可能表明惡意軟件攻擊企圖的可疑活動(dòng)。

如果有人以惡意行為為目標(biāo)進(jìn)入杭州ip設(shè)計(jì)公司的服務(wù)器，他們可以輕松地使用安全工具來(lái)對(duì)付您。因此，您想知道何時(shí)添加新的或何時(shí)發(fā)生任何異常情況。

4. 文件權(quán)限變更

文件的權(quán)限更改通常可以作為漏洞利用的指標(biāo)。因此，永遠(yuǎn)不應(yīng)在主機(jī)上手動(dòng)編輯文件權(quán)限。如果發(fā)生這種情況，則可能表明已下載未經(jīng)授權(quán)的文件并且用戶或腳本已嘗試執(zhí)行它。與其將權(quán)限工作留給一個(gè)人，不如盡可能多地自動(dòng)化。此外，杭州ip設(shè)計(jì)公司應(yīng)該設(shè)置警報(bào)，以便在任何時(shí)候更改權(quán)限時(shí)，您都會(huì)收到通知。