?企業采用更多的云計算服務意味著具有更大的網絡攻擊面。它還使企業如何準確地尋找潛在威脅變得復雜。但是有一些措施可以降低風險。

如今很多企業的業務都在運行在云中。事實上，大多數都是中大型企業。然而，隨著多云變得越來越普遍，確保多個云平臺之間的安全變得更具挑戰性。

這有幾個原因，其中包括云計算提供商之間不同的安全模型和機制，缺乏跨環境的無縫可見性和不統一的工具集。

好消息是，意識到這些后勤挑戰對于圍繞它們進行規劃有很長的路要走。做到這一點的最佳方法之一是部署全面的多云威脅搜尋策略。

以下了解一些基于云的威脅搜尋用例，以及多云威脅搜尋引入的一些后勤和其他復雜性，以及如何應對這些挑戰。

為什么威脅搜尋在云計算環境中很重要？

首先從定義威脅搜尋及其在單云和多云部署中提供的價值開始。

威脅搜尋采用情報驅動的分析來確定網絡攻擊者是否以及在何處已經獲得了對其資源的訪問權限。雖然這種描述過于簡單化，但簡而言之，威脅追蹤涉及基于已知的對手交易技術提出假設，即網絡攻擊者可能已經獲得了對其運營環境的訪問權限，然后制定測試條件來證明或反駁這些假設看法。

威脅搜尋很重要，因為經驗豐富的網絡攻擊者可以逃避檢測并繞過警報。通過對網絡攻擊者可能已經在其網絡中入侵的跡象保持警惕，企業可以提高檢測這些對手的能力，在理想情況下，在他們能夠按照預期目標采取行動之前將其破壞。

相同的原則適用于云環境。不同之處在于企業如何獲取和分析進入流程的信息以及可用于響應的工具。

基于云的威脅搜尋基于三個基本規則：

• 僅僅因為企業的業務在云中運營并不意味著網絡攻擊者停止攻擊活動。
• 了解對手的目標以及他們為實現這些目標而使用的交易手段對企業的防御策略是有益的。
• 而跨所有層的可見性，即使是那些運營管理位于共享責任模型的云服務提供商(CSP)一側的層，也可以幫助企業更好地了解對手或他們的方法。

多云使事情變得更加復雜

從邏輯上講，云計算使威脅搜尋更加復雜。隨著企業從物理基礎設施/內部部署環境遷移到云環境，由于合規性和配置透明度、遠程數據源和基礎設施、核心安全功能和API數量等方面的困難，威脅識別將更具挑戰性。簡而言之，隨著網絡攻擊面的擴大，威脅追蹤需要更多的關注。

行業專家表示，分析人員在云中尋找威脅時需要更多信息和培訓。這是因為他們必須了解和使用工具集、安全模型、架構、技術堆棧和其他元素，這些元素不僅由他們自己的組織部署，而且由他們的云計算服務供應商、云計算供應商和其他提供商部署。

多云威脅搜尋進一步加大了賭注。這意味著更多的工具、更多的概念、更多的API和更多的數據源。還必須考慮跨環境分析和數據關聯。例如，考慮本地用戶、PaaS中的應用程序前端和IaaS虛擬機中的后端API之間的三向對話。確定在該對話中提出的請求是否合法可能涉及跨每個環境的各種日志存儲庫和不同的監控工具。

將威脅搜尋擴展到多云

如果企業想要推出多云威脅搜尋，首先，詢問可以建立哪些實踐來實現這一目標。最終，制定戰略對企業來說是獨一無二的。這取決于企業的云使用情況、企業的威脅搜尋能力和方法以及其業務需求。雖然沒有一刀切的方法，但可以采取一些基本步驟來開始。

首先，規范在多個環境（包括云計算供應商和內部部署設施）之間流動的數據和事件信息。這已經是多云的一個已知問題；例如，考慮到網絡安全網格架構的基本支柱包括安全分析和智能，以及整合的儀表板。

了解跨環境的事件是多云安全管理、運營、事件響應的核心組成部分，并且出于企業的目的——威脅搜尋。為此，必須了解正在使用的云環境和服務，了解所采用的安全模型，并確認可以并且正在從每個位置收集正確的數據。

其次，解決系統威脅建模問題。考慮一個跨越多個云環境的應用程序。企業如何知道威脅何時成為優先事項以及如何以及在何處應用資源來收集需要的信息？威脅建模可以提供幫助。通過從網絡攻擊者的角度查看應用程序，可以開始提出假設，以衡量網絡攻擊者更有可能在何處以及如何進行攻擊。通過擴展，企業可以優先考慮這些領域以進行進一步探索。這可以幫助企業了解要從每個環境中收集哪些數據，并幫助其制定要測試的假設以確定環境中是否存在網絡攻擊者。

最后是教育和實現。企業了解在不同環境中部署的內容（例如構建可靠和系統的庫存），并了解組件如何組合在一起、正在使用哪些本地服務以及企業使用的服務如何與更大、更全面的敘述聯系起來，這聽起來可能很簡單，但只有少數超過一定規模的企業才能可靠、準確和完整地做到這一點。

就像所有與安全相關的事情一樣，企業通過了解使用情況、了解安全和業務目標以及進行必要的思考和規劃來進行多云威脅搜尋。威脅搜尋可以而且應該在企業的云安全策略（多云或其他）中扮演與內部部署運營環境相同的角色。?