欢迎访问敏捷云!

【敏捷云 · 分享】敏捷云MSSP安全托管的治理流程(Agilewing MSSP系列之三)

2020-12-21 原创文章 作者:伍航恩
Agilewing 敏捷云

上周我们介绍了电商常见的3种电商威胁安全场景【敏捷云 · 分享】电商常见的威胁场景与安全防护(Agilewing MSSP系列之一)【敏捷云 · 分享】电商常见的威胁场景与安全防护之进阶篇(Agilewing MSSP系列之二))。这周给大家来介绍:在使用敏捷云MSSP后,如果受到攻击时我们是怎么帮助客户处理问题的。

敏捷云有一个安全管理中心与治理系统,提供客户安全防护及治理被攻击的事件。我们先来看看敏捷云MSSP安全托管的治理流程图。

敏捷云MSSP安全托管的治理流程图

当客户采用敏捷云MSSP托管服务,如果有攻击进来,WAF会做第一层的防御。WAF本身会去扫所知道的漏洞或攻击行为。WAF这一层挡下来之后基本上会产生一些日志,这些日志我们会把它传到安全管理中心,然后由安全管理中心使用机制去进行分析和管理。

安全管理中心分成两个部分,第一个部分是针对整个管理上,它跟AWS是VPN的架构,它可以把监控的软件装到AWS里面去,使用这个软件去进行日志的收集,再传送到机房去进行分析,并且在这个机房里有数据安全的标准,会跟随ISO的标准去处理所有到机房里的数据,包括数据保护。整个安全的架构也是用ISO的标准。

接着就是PAM,特权人士身份管理。PAM管理也是用同样的方式,即管理员进去的时候无法看到客户的信息,只能看到日志之类,网络的管理和重要的应用程序系统,我们会放到不一样的等级去进行监控。这些日志进来之后也会放在安全事件管理这块,所以它会在这一块把几份日志整合起来,看一下有没有漏扫的事件通过了WAF。

然而,为什么会有一些漏扫的东西呢?这可能是WAF本身设定的原因,或者有一些新的攻击是WAF本身还不知道的,又或者是敏捷云也不知道的,这些东西很容易穿透WAF到后面的网络中。在这部分SOC本身使用的工具就是负责把它扫出来,同时还会有一批专业人士是专门用来救火的,他们会跟国际上的一些情报机构互通信息。在国际上有很多这样的住址,部分情报机构发现可能在一个月后有人在开发一些恶意机器人,就会把这些信息放到组织里一起讨论,并且给出怎么防堵的解决方案。

MSSP服务我们不单是提供顾问服务,帮助客户去管理他们的WAF、Shield Advanced,还会提供SOC加速整件事情,将整件事情提升到一定的安全标准。

大家想知道上面那张敏捷云MSSP安全托管的治理流程图中,每个部分都有哪些作用吗?来,我们继续往下看。

 数据保护

数据是恶意攻击者的最终目标,对于企业来说对数据的保护应该放在首要位置。要对数据安全进行保护,防止数据的丢失或泄露。

 网络架构

网络是提供安全、稳定、可控的全天候服务的基础,通过Shield Advanced对网络架构进行保护,例如DDoS防护,确保网络基础架构可用性。

应用程序服务器、数据库、其他服务器:应用面对全世界的访问者,也将面对全世界的恶意攻击者,安全重要性不言而喻,通过WAF对web应用服务器进行防护,以确保应用的完整性与可用性。

 VPN访问

监控是否所有的访问都是通过VPN通道进行访问。

 身份验证

对系统的访问情况进行日常监控,确保所有的访问都是已授权的,监控是否有非法访问。

 PAM特权访问管理

特权人士身份管理,使得操作员进入系统的时候不能看到客户的信息的,只能看到日志之类的东西。

 网络流量

对网络的流量进行日常监控,观察是否有流量激增的现象。

 中央管理系统

对中央管理系统进行监控,以确保系统时刻处于正常运行的状态下。

 关键应用程序

对关键的应用进行监控,确保关键应用的可用性与完整性。

 入侵指标

结合入侵安全数据库,对匹配到的入侵指标进行告警。

 网络异常

对监控到的网络异常情况进行告警。

 攻击指标

结合攻击资源库,对匹配到的攻击指标进行告警。

 风险层级(风险阈值)

通过监控的情况来判断,对达到预定风险阈值的情况进行告警。

 事件鉴定与分类

对入侵事件进行初步鉴定与分类,这也是入侵识别的前提操作。

 被入侵资源的识别

比对已有的资源库对入侵事件进行识别,判断入侵类型,获取入侵相关信息。

 提交处理

将入侵资源的识别结果进行提交,从而进行进一步的分析。

 事件分析

对事件进行分析,找出事件发生原因,为什么会发生?事件源在哪里?从哪里来?

 第三方支援

与其他安全组织合作,对攻击情报信息进行讨论。

 安全事件遏止

对安全事件进行遏止处理,防止事件造成后续伤害。

 公关处理

由公关部门根据技术调查结果对事件发生原因进行说明。

 根除

如何防堵,如何进行补救,确保事件不会二次发生。

 数据/服务还原

对事件造成的数据损失与服务损失进行恢复与还原。

 事件后的分析与归档

事件后续处理,对整个事件以及事件分析结果进行归档。

敏捷云MSSP安全防护与治理服务,为您的安全把关, 保驾护航!我们是亚马逊云计算 AWS Premier 咨询合作伙伴,专注于开发创新的云技术,帮助客户加速其全球业务的拓展,保护企业的网络与信息安全,并降低云运维成本。敏捷云不断加快技术创新速度,为客户的云端全球业务保驾护航。