网络安全即服务（CSaaS）全解析

### 网络安全即服务（CSaaS）全解析 #### 1. 身份与访问管理（IAM） 身份与访问管理（IAM）是每个有效安全计划的基本要求，旨在保护数据、应用程序和其他资产。要在技术上实现这一目标，即仅授权合法请求，就必须对用户进行可靠的身份验证，通常借助与个人实际身份相关联的数字身份，如用户名。常见的相关标准包括 OAuth、OpenID 和安全断言标记语言（SAML）。 建立和管理这些数字身份看似简单，但随着组织员工和其他利益相关者数量的增加，会变得非常复杂。因此，IAM 提供商不仅提供相应技术，还以预定义流程和概念的形式提供最佳实践。其典型功能包括： - 初始用户注册 - 角色和权限分配 - 凭证的创建、提供和管理 - 身份、角色和权限的集中管理 - 用户的集中认证和授权 - 提供多因素认证（MFA）手段 - 支持单点登录（SSO）服务接口 特权级别非常高的账户，如管理员或超级用户，是威胁行为者的热门目标，且容易受到内部风险的影响。因此，应利用特权访问管理（PAM）对其进行额外保护。 #### 2. 网络保险 近年来，针对全球公司的网络安全事件的频率和影响持续稳步上升。无论公司在安全计划上投入多少资金，实施何种技术预防控制措施，都存在遭受网络攻击的残余风险，这可能导致受害者的声誉和/或财务损失。 网络保险的目的是在被保险的受害者因承保的网络安全事件遭受声誉或财务损失时介入。保险公司通常提供的保险范围包括： - 第一方损失（即保单持有人直接遭受的损失），涵盖自身成本，如业务中断成本、事件响应和取证费用、开展公关活动、设立客服中心通知客户等。 - 第三方责任（如第三方对保单持有人提出的索赔），涵盖赔偿索赔人的损失以及为相关诉讼进行辩护的费用。在许多情况下，这些损失源于组织未能妥善保护第三方数据，使其在网络安全事件中被泄露或受损。 此外，许多保险公司还为客户提供其他服务，如与法医和事件响应公司建立联系以及提供咨询服务。这对保险公司和被保险人都有益，因为双方都希望在事件发生后快速恢复以降低成本。公司获得网络保险的流程可能不同，但每个保险公司在提供具有约束力的网络保险报价之前，通常会执行以下步骤： 1. 根据行业、公司规模和商业模式评估网络风险暴露程度。 2. 通过现场访问、对话、问卷调查和/或网络风险扫描及分析工具评估安全保护水平。 3. 确定保险条款和除外责任的法律措辞。 4. 进行潜在损失、最大承保能力和相应保费的精算计算。 随着近期网络安全事件的激增，保险公司在提供网络保险时变得更加谨慎。公司需要满足每个保险公司定义的最低安全标准。此外，保险公司需要保护自己免受可能同时影响多个客户的大规模事件（即所谓的累积风险）的影响。目前，大多数保险公司正在讨论并排除的情况包括任何形式的网络战争（无论是否宣战）引发的网络安全事件以及外部网络（如互联网或电力供应）中断。 #### 3. 事件响应 事件响应（IR）服务理想情况下应涵盖以下四个阶段： 1. 准备 2. 检测和分析 3. 遏制、根除和恢复 4. 事件后活动 涵盖所有阶段的 IR 服务更有可能实现快速响应，因为在实际事件响应过程中，所有阶段的信息都可直接获取，无需在不同服务提供商之间跨组织共享，从而节省宝贵时间。 在实际事件发生之前，事件响应服务包括就使客户能够检测和遏制事件的技术提供咨询，例如安全信息和事件管理（SIEM）和端点检测与响应（EDR）解决方案。此外，其技术重点之一是对客户的基础设施进行安全配置，同时保留和保护对事件处理和调查有价值的信息，如只读备份和审计日志。除了这些技术措施，IR 还包括组织和人员层面的准备工作，包括制定定制的响应计划和操作手册，并通过桌面演练定期实践其内容。理想情况下，这些桌面演练应尽可能广泛参与，不仅包括 IT（安全）部门的代表，还包括运营、法律、人力资源、公关等部门的代表。 当检测到潜在事件时，IR 服务理想情况下应提供 24/7 应急热线，以在分流和首次响应过程中提供支持。一旦确认初始警报不是误报，IR 服务将开始收集证据并进行根本原因分析。为了应对潜在的法庭案件并支持执法工作，必须尽可能详细地记录分析过程，并在取证过程中保持证据链的完整性。 当确定受影响的系统和网络部分后，必须选择合适的遏制策略，如关闭电源或将其与网络的其他部分断开连接。选择策略时，除了实际的遏制目标外，还在很大程度上取决于其他有时相互冲突的目标，例如在非持久内存中保留证据或阻止勒索软件攻击继续加密数据。一旦威胁得到遏制，就必须将其根除，例如清除恶意软件、修复漏洞和禁用受损账户。之后，可以进行恢复，例如重置密码和恢复系统。 #### 4. 业务连续性/灾难恢复规划 事件响应（IR）和业务连续性/灾难恢复（BCDR）规划密切相关。然而，BCDR 的范围超出了安全事件可能导致的业务中断，主要关注核心业务的连续性和恢复，即确保关键流程独立于环境持续运行，或尽快恢复。由于这些核心流程会随时间变化，BCDR 也必须动态调整，因此这不是一次性任务，而是一个可以根据 ISO 22301 系统管理的持续过程。与 IR 一样，BCDR 是一个高度跨学科的过程，涉及多个利益相关者群体，以讨论和确定理想且现实的恢复时间目标（RTO）、恢复点目标（RPO）以及相应的措施。BCDR 服务可包括组织层面的协调、整合和记录这些利益相关者需求的 BCDR 计划，也包括所谓的恢复即服务，即基于云的备份和恢复解决方案。 #### 5. 安全信息和事件管理（SIEM） SIEM 在检测和调查安全事件方面非常有用。除了从各种来源纯粹聚合可能与安全相关的信息（如日志文件或实时网络数据）外，它还可以提供持续监控和关联功能，以自动（如通过异常检测）或半自动（如通过预配置的用例）检测可疑活动。还需要考虑的其他因素包括直观的用户界面、灵活支持各种格式和协议以纳入尽可能多节点的数据，以及能够适应不断发展的业务动态环境的可扩展性。除了可以在本地部署和使用外，它还可以部署在云端，并由提供商训练有素的分