威胁堆栈 SOC 分析： 调查涉及自动化工具的事件

作为通过 Cloud SecOps Program℠ 为客户提供全天候支持工作的一部分，Threat Stack 安全运营中心 (SOC) 的安全分析师会定期代表我们的客户调查可疑活动。 在过去的几个月中，我们的安全分析师注意到包含基于 Web 的 SSH 功能的自动化工具的使用量稳步增长。

这些工具的使用是一个具体的标志，表明许多组织正在完善其云环境，并且在云编排和日常管理方面变得更加复杂。 通过使用基于 Web 的 SSH 和其他可以在远程服务器上运行自定义脚本的功能，运营团队可以大幅减少开销并简化其服务器的生命周期和大规模服务的配置。

然而，正如我们过去所看到的那样，复杂操作的自动化可能会导致错误或被忽视的风险。 首先，确保您的 IAM 策略是最新的并且具体到给定服务的各个功能变得更加重要。 除了关注 IAM 之外，许多自动化工具（包括具有基于 Web 的 SSH 功能的工具）在安全团队调查云环境中的可疑活动时也带来了独特的挑战。

在 Linux 系统中，基于 Web 的 SSH 工具不会在底层日志中表现为传统的 SSH 会话。 这种差异可能导致日志中出现与任何登录用户无关的系统事件。 通常情况下，这看起来像是常规的、可信的自动化活动——但如果用户可以在其背后发出任意命令则不然。 这里的含义非常明显： 如果恶意行为者（无论是内部人员还是利用外部泄露凭证的人）能够访问基于 Web 的 SSH 工具，那么混淆就会变得轻而易举。

Threat Stack Cloud Security Platform® 等工具的全栈安全可观察性和行为分析功能能够识别这种可疑活动，但这正是基于 Web 的 SSH 工具的自动化特性给安全分析师带来难题的地方。 它需要一种不同的调查技术来识别和转变自动化事件中的细微差别，以揭示用户的潜在意图。

这就是 Threat Stack SOC 分析师发挥作用的地方。 通过直接与业内一些最先进的云环境合作，他们非常熟悉如何调查此类事件。 如果您想深入了解 Threat Stack Cloud SecOps 计划分析师在进行需要用户归因的取证时如何调查自动化工具的下游操作，请下载我们最新的威胁情报报告或注册我们的现场演示 - “自动化活动或内部威胁： 你能分辨出区别吗？”——将于3月19日举行。