尽管员工、承包商和自动化工作流会不断将文件上传至企业云存储,但很少有文件会经过实时安全检查。
虽然可能已制定了定期扫描策略,但这会导致恶意文件在 S3 存储桶或 SharePoint 库中滞留数天甚至数周才被检测到。在此期间,这些文件可能已被访问、共享或被下游系统处理过。
除了潜在威胁之外,传统的定时扫描还可能导致合规违规。因为像PCI DSS v4.0这样的全球信息安全框架要求组织根据“目标风险分析”(TRA)建立扫描周期,该分析应在发生重大变化时或按规定的周期频率进行审查和更新。
对于许多安全团队而言,这意味着需要定期进行全量扫描:每60天对每个文件、每个文件夹进行一次扫描。 这种操作既耗时费力、成本高昂,而且在PB级数据规模下也越来越难以管理。
还有更好的办法。
MetaDefender Security™ 中的基于事件的扫描、身份扫描和灵活的扫描工作流,可帮助组织保持实时防护,减少冗余扫描,并生成审计人员希望看到的按用户细分的审计日志。
为什么Cloud 不仅需要定时扫描
计划性的全桶扫描最初是为这样一个时代设计的:那时云存储只是备份目的地,而非主要的协作平台。那个时代已经一去不复返了。
如今,一家金融机构可能在一个 S3 存储桶中存放着 5000 万个文件。一家医疗机构可能将 SharePoint Online 用作数千名临床医生的文档存储库。
每隔 30 或 60 天对整个环境进行一次全面的恶意软件扫描,不仅会消耗大量计算时间,还会产生海量的API ,而且往往等到扫描完成时,威胁早已横向移动了。
此外,还存在一个结构性问题:即定期扫描只是对系统状态的“快照”,而非全面的诊断。虽然它能显示某个时间点系统处于安全状态,但对于上次扫描完成后上传的文件,却无从知晓。等到你进行下一次扫描时,可能为时已晚。
现实来看,如果定时扫描会消耗过多计算资源、无法全面反映实际情况,甚至可能导致合规性问题,那么接下来的合理解决方案就是针对云存储数据实施实时保护。将基于事件的触发机制与基于身份的扫描相结合,将彻底改变合规性在实践中的具体表现形式。
通过MetaDefender Storage Security,利用基于事件的扫描保护新文件
MetaDefender Storage Security 基于事件的扫描机制,将检测模式从“按计划检查所有内容”转变为“一旦发生变化立即扫描”。它不再以固定间隔轮询存储桶,而是通过其 RTP(实时处理)功能直接监听云平台发出的文件事件,并在新文件或修改后的文件到达时立即进行处理。
对于 Amazon S3,基于事件的扫描是通过 AWS EventBridge 实现的。 当文件上传到受监控的存储桶时,EventBridge 会向Storage Security webhook 推送通知,从而立即触发扫描,避免了轮询循环带来的延迟。这种基于推送的模型比轮询产生的API 更少,从而在规模化部署时既缩短了响应时间,又降低了运营成本。
对于Azure Blob 存储Storage Security Security 引入了自动容器发现功能;当您连接存储帐户时,平台会自动发现所有容器,并应用一致的 RTP 策略,无需手动配置。在受支持的存储连接器库中,包括 SharePoint Online、Microsoft Teams、NetApp、Box 等,均可使用类似的事件驱动处理机制。
实际操作中:
- 由遭入侵的用户于凌晨2:47上传的文件将经过扫描,若被检测出含有恶意代码,将在被访问或共享之前被隔离
- 来自外部合作伙伴的新上传内容在经过任何内部流程处理之前,处于未处理状态
- 文件到达与安全判定之间的间隔以秒为单位,而非小时或天
从合规性角度来看,基于事件的扫描会为每个实时评估的文件生成一份带有时间戳的连续 记录。该记录可在扫描报告中查阅,支持按存储单元和日期范围进行筛选,并能直接满足审计查询需求。
身份扫描:根据用户活动、风险和优先级扫描文件
Storage Security 功能中最具实际应用价值的一项Storage Security 身份扫描,即能够将扫描结果与上传或修改文件的特定用户身份相关联。
这使得合规性讨论的重点从“我们扫描了存储桶”转变为“我们清楚知道是哪位用户上传了每个触发检测的文件、何时发生的,以及采取了什么措施”。
身份扫描如何减少重复扫描
让我们来看看传统的方法:安排一次全量扫描,无论文件上次被扫描的时间或上传者是谁,都对每个文件进行扫描,并生成一份显示所有文件均已检查的报告。这种方法不仅资源消耗大、速度慢,而且无法区分一个已保持干净且18个月未更改的文件,与一个由上周遭入侵的账户昨天上传的文件。
身份扫描使我们能够采取更智能的方法:
- 对于在上一个扫描周期中已进行过扫描的、来自已知且可信的用户或服务账户的文件,可以给予更高的信任度。
- 由高风险身份(如外部账户、承包商凭证、近期被标记的用户等)创建或修改的文件,可以被优先处理或立即重新扫描
- 审计报告可以按用户身份显示哪些文件已被扫描、扫描时间以及扫描结果;这种格式与PCI DSS审计员和ISO 27001评估员所关注的内容完全吻合。
由此形成的合规状态既更加稳固,又更为高效。您无需反复扫描相同的静态文件,而是针对具有情境感知能力的事件做出响应:具体发生了哪些变更,以及由谁进行的变更。
按需、定时和RTP工作流:为不同场景选择合适的方法
Storage Security 三种扫描模式,而有效的合规计划通常会将这三种模式结合使用。
实时处理为活动存储提供持续保护
实时处理是捕获即时威胁的主要机制。该机制采用事件驱动模式,对受监控的存储单元保持全天候运行,并专为处理现代云文件工作流的海量数据和高速处理需求而设计。
自MetaDefender Storage Security .4.1 更新以来,管理员可以在 RTP 扫描模型中使用新的“选择自……以来修改的文件”日期选择器,将早于当前 RTP 配置的文件纳入扫描范围。这提高了对先前上传文件的合规性覆盖范围,例如那些保留原始“最后修改”日期而非上传时间戳的 OneDrive 文件。
对于 60 天的合规周期,这意味着您可以明确地针对过去 60 天内修改过的文件进行操作,而无需从存储历史的起始时间开始触发对整个存储桶的全面扫描。
按计划进行扫描,以配合您的审计时间表
针对定期合规要求(PCI DSS、HIPAA、SOC 2、内部审计周期),Storage Security 支持灵活的扫描计划安排,自4.3.0 版本起,可精确到分钟级别进行配置。 这使安全团队能够定义与审计周期相匹配的精确扫描时段,在非工作时间运行以最大限度地减少影响,并生成带有时间戳的报告,这些报告直接对应于正在审查的合规期间。
可以 高效地配置定时扫描 。无需重新扫描整个达拍字节级别的存储环境,扫描可针对特定的存储桶、容器、文档库或文件夹进行, 若启用了身份扫描功能,还可针对与特定用户或角色相关的文件进行扫描。
按需扫描,实现精准修复与事件响应
按需扫描适用于以下特定场景:已发现安全事件,团队需要立即对特定存储单元进行评估;合规性审计迫在眉睫,而上次计划扫描未涵盖某个特定存储桶;或者刚连接了新的存储集成,需要进行初始全面评估。
Storage Security 功能新增了“重新处理失败文件”功能,该功能允许管理员仅针对之前扫描失败的文件创建新的扫描任务,从而在填补特定覆盖缺口的同时,避免了全盘重新扫描带来的开销。此外,用户还可直接在“报告”选项卡中停止正在运行的扫描任务,无需跳转至界面的其他位置。
通过自动发现和 IAM 角色集成消除手动配置中的漏洞
云存储环境中最常见的合规风险之一是未受监控的存储。例如:从未连接过安全工具的存储桶或容器、在常规 IT 流程之外配置的新存储单元,以及由第三方集成自动生成的容器。
Storage Security 通过跨多个云服务提供商的自动发现功能Storage Security 这一问题:
- Azure Blob 存储:连接存储帐户后,系统会自动发现所有容器并将其添加到扫描策略中;无需人工干预
- SharePoint Online:连接您的租户,所有站点将在连接后自动被发现
- Cloud 配合 RAM(资源访问管理)角色认证,以及 AWS S3 配合 IAM(身份与访问管理)角色,Storage Security 使用短效、最小权限凭证Storage Security 身份验证,而非静态访问密钥,从而降低凭证暴露风险并简化凭证轮换流程
对于遵循PCI DSS第12.3.1条要求(基于风险的安全控制频率分析)或ISO 27001附录A中针对云环境的控制措施的组织而言,自动发现功能可直接降低覆盖缺口带来的风险——否则这些缺口往往要等到审计或发生安全事件时才会被发现。
通过Storage Security 界面,可自动生成用于 AWS EventBridge 配置的 Terraform 脚本,这意味着即使是基于事件的处理的初始设置,也只需最少的权限,且无需安全团队编写自定义脚本。
Storage Security:专为Cloud 保护而设计
Storage Security OPSWAT 推出的一款解决方案,旨在检测和防范本地、云端及混合存储环境中的基于文件的威胁。该方案对处理的每个文件依次应用多种防护技术:
- Metascan™多重扫描技术可同时调用数十种反恶意软件引擎,从而提高对已知和未知威胁的检测率,且无需依赖单一厂商的特征库
- Deep CDR™ 技术 通过移除潜在的恶意动态内容,将文件重建为安全且功能等效的版本——可有效应对那些能够规避基于签名的检测的威胁
- Proactive DLP™ 在文件存储前对其进行检查并屏蔽敏感数据(如支付卡号、个人身份信息(PII)及健康记录),从而同时保障数据安全并满足合规要求
- File-Based Vulnerability Assessment 在安装程序和软件包等文件进入环境之前,识别其中的已知漏洞
- Adaptive Sandbox 为需要深入检查的可疑文件提供行为分析
所有这些功能都基于一个功能强大的连接器库,该库涵盖了 Amazon S3、Azure Blob Storage、SharePoint Online、Microsoft Teams、OneDrive、GoogleCloud 、NetApp、Dell EMC Isilon、Box、Scality RING 等服务,并且每个版本都会新增更多集成。
对于注重合规性的团队Storage Security 集中式扫描报告、按用户身份归因、带时间戳的审计日志以及可配置的补救措施(允许、阻止、删除、移动、清理); 所有这些功能均符合 PCI DSS v4.0.1、HIPAA、ISO 27001 及 SOC 2 的文档要求。
该平台支持本地部署,也可作为 MetaDefender Storage Security Cloud。后者新增了多租户支持,适用于在单一部署中管理多个业务部门或客户环境的组织。
从被动扫描到主动的Cloud Storage Security
合规要求变得更加严格,因为审计人员不再满足于您仅提供已执行扫描的证据。他们希望看到持续的覆盖范围、身份归属,以及针对新文件一进入您的环境时如何处理的明确政策。
- 基于事件的扫描解决了频率和时序的问题。
- 身份扫描解决了责任归属的问题。
- 灵活的定时和按需工作流解决了定期合规文档编制的问题。自动发现功能则解决了覆盖范围的问题。
Storage Security 这些功能整合到一个平台中,该平台专为满足企业云存储环境的规模、复杂性以及合规要求而设计。
无论您的首要任务是实时检测威胁、满足60天的审计周期要求,还是证明受监管存储桶中的每个文件均由特定用户进行过扫描,该平台都能满足您的需求。
