所有公司每天都面临着安全风险、威胁和挑战。许多人认为这些术语都表示同一件事,但实际上这些术语更具细微差别。了解它们之间的细微差别将帮助您更好地保护您的云资产。
风险、威胁和挑战之间有什么区别?
风险是数据丢失或薄弱点的可能性。
威胁是一种攻击或对手。
挑战是组织在实施实用的云安全方面遇到的障碍。
让我们考虑一个例子:托管在云中并暴露在公共互联网上的 API 端点是一种风险,试图使用该 API 访问敏感数据的攻击者是威胁(连同他们可以尝试的任何特定技术),而您的组织的挑战在于有效保护公共 API,同时让合法用户或需要它们的客户可以使用它们。
一个完整的云安全策略解决了所有三个方面,因此基础中不存在裂缝。您可以将每一个视为查看云安全的不同镜头或角度。可靠的策略必须降低风险(安全控制)、抵御威胁(安全编码和部署)并克服挑战(实施文化和技术解决方案),以便您的企业使用云安全地发展。
您无法完全消除风险;你只能管理它。提前了解常见风险将使您准备好在您的环境中应对这些风险。什么是四大云安全风险?
1.不受管理的攻击面
攻击面是您环境的完整暴露面。微服务的采用可能导致公开可用的工作负载激增。每个工作负载都会增加攻击面。如果没有严密的管理,您可能会以直到发生攻击才知道的方式暴露您的基础设施。
没有人想要那个深夜的应急电话。
攻击面还可能包括导致攻击的细微信息泄漏。例如,CrowdStrike 的威胁猎手团队发现攻击者使用通过公共 WiFi 收集的采样 DNS 请求数据来计算 S3 存储桶的名称。CrowStrike 在攻击者造成任何损害之前阻止了攻击,但它很好地说明了风险无处不在的本质。即使对 S3 存储桶进行严格控制也不足以完全隐藏它们的存在。只要您使用公共互联网或云,您就会自动将攻击面暴露给全世界。
2.人为错误
据 Gartner 称,到 2025 年,99% 的云安全故障将由某种程度的人为错误造成。在构建业务应用程序时,人为错误是一个持续存在的风险。但是,在公共云上托管资源会放大风险。
云的易用性意味着用户可能会在没有适当控制的情况下使用您不知道的 API,并在您的周边打开漏洞。通过建立强大的控制来帮助人们做出正确的决定来管理人为错误。
最后一条规则——不要将错误归咎于他人。要责怪过程。建立流程和护栏以帮助人们做正确的事。指责并不能帮助您的企业变得更加安全。
3.配置错误
随着时间的推移提供商会添加更多的服务,云配置不断增长。许多公司使用多个供应商。
提供商有不同的默认配置,每个服务都有其独特的实现和细微差别。在组织精通保护其各种云服务之前,对手将继续利用错误配置。
安全配置错误是指代码配置中存在的任何错误或漏洞,允许攻击者访问敏感数据。有许多类型的安全配置错误,但大多数都存在相同的危险:易受数据泄露和攻击者未经授权访问数据。
安全配置错误通常发生在依赖开箱即用的代码或服务的情况下,但可以存在于从网络安全到密码保护的任何地方。安全配置错误的影响可能很大,但通过适当的预防措施和网络安全,可以防止这些影响。
安全配置错误的一些具体示例包括AD配置错误,Active Directory域中的漏洞。这些常见的安全配置错误包括攻击者获得管理权限,以及由在具有多个管理员的主机上运行的服务引起的问题。
另一个例子是在协作工具JIRA中发现的安全配置错误。一个错误配置使许多公司面临发布公司和个人数据的漏洞。在这种情况下,是全局权限中的授权配置错误导致了安全风险。这些只是可能影响业务的多种安全配置错误中的两种。
有几种类型的安全配置错误可能会影响业务:
AD 配置错误,这会暴露管理员和域凭据。
身份访问配置错误,使攻击者能够轻松访问应用程序。
API 安全配置错误,这会留下不受限制的端点和不受保护的文件。
网络安全配置错误,即信息系统配置不正确。
云安全配置错误,这会在云环境中留下可能导致安全漏洞的漏洞。
Web 服务器配置错误,通常包括不必要的默认文件和示例文件。
应用程序或代码中应具有安全措施的任何方面都容易受到安全配置错误的影响。
4.数据泄露
当敏感信息在您不知情或未经许可的情况下离开您时,就会发生数据泄露。数据对攻击者来说比其他任何东西都更有价值,这使其成为大多数攻击的目标。云配置错误和缺乏运行时保护可能会让窃贼大开眼界。
数据泄露的影响取决于被盗数据的类型。窃贼在暗网上将个人身份信息 (PII) 和个人健康信息 (PHI) 出售给那些想要窃取身份或在网络钓鱼电子邮件中使用这些信息的人。
其他敏感信息,例如内部文件或电子邮件,可能会被用来损害公司的声誉或破坏其股价。无论窃取数据的原因是什么,数据泄露仍然是对使用云的公司的巨大威胁。
如何管理云安全风险
请遵循以下提示来管理云中的风险:
定期进行风险评估以发现新的风险。
确定并实施安全控制措施的优先级,以减轻您已识别的风险。
记录并重新审视您选择接受的任何风险。
威胁是针对试图利用风险的云资产的攻击。云安全面临的四种常见威胁是什么?
1.零日漏洞利用
术语“零日”是指安全团队不知道他们的软件漏洞,并且他们有“0”天的时间来处理安全补丁或更新来解决问题。“零日”通常与术语“漏洞”、“漏洞利用”和“威胁”相关联。了解差异很重要:
零日漏洞是威胁参与者可以使用恶意代码瞄准的未知安全漏洞或软件缺陷。
零日漏洞利用是恶意行为者用来利用漏洞攻击系统的技术或策略。
当黑客在软件开发人员修补漏洞之前发布恶意软件以利用软件漏洞时,就会发生零日攻击。
云相当于是“别人的电脑”。但只要您使用的是计算机和软件,即使是在其他组织的数据中心运行的计算机和软件,您也会遇到零日攻击的威胁。
零日攻击针对供应商未修补的流行软件和操作系统中的漏洞。它们很危险,因为即使您的云配置是一流的,攻击者也可以利用零日漏洞在环境中获得立足点。零日攻击对于云工作负载来说是极其危险的,因为它们是未知的,并且很难检测到,因此它们构成了严重的安全风险。这就像一个小偷从意外解锁的后门潜入。
2.高级持续性威胁
高级持续威胁 (APT) 是一种复杂、持续的网络攻击,入侵者在网络中建立未被发现的存在,以便在较长时间内窃取敏感数据。APT 攻击经过精心策划和设计,可渗透到特定组织、规避现有安全措施并在雷达下飞行。它不是一种快速的“偷渡式”攻击。攻击者留在环境中,从一个工作负载移动到另一个工作负载,搜索敏感信息以窃取并出售给出价最高的人。这些攻击很危险,因为它们可能开始使用零日攻击,然后几个月都未被发现。
执行 APT 攻击需要比传统攻击更高程度的定制和复杂性。对手通常是资金充足、经验丰富的网络犯罪分子团队,他们以高价值组织为目标。他们花费了大量时间和资源来研究和识别组织内的漏洞。
APT 的目标分为四大类:
网络间谍活动,包括窃取知识产权或国家机密
以经济利益为目的的电子犯罪
黑客行动主义
破坏
3.内部威胁
内部威胁是来自组织内部的网络安全威胁——通常由现任或前任员工或其他可以直接访问公司网络、敏感数据和知识产权 (IP) 以及业务流程知识的人实施,公司政策或其他有助于进行此类攻击的信息。
内部威胁操作人员可以是对业务及其运作方式有深入了解的任何个人。最常见的情况是,内部人员是现任或前任员工,但承包商、自由职业者、供应商、合作伙伴甚至服务提供商如果可以访问组织的网络和系统或了解相关信息,也可以充当内部人员。
如今,无论是恶意的还是疏忽大意的内部威胁都难以应对,甚至更难检测。事实上,CrowdStrike 估计遏制内部威胁事件的平均时间为 77 天,30 天的平均成本为 712 万美元。
内部攻击难以检测的主要原因有两个:
1、大多数安全工具和解决方案都专注于识别和预防外部威胁,并非旨在检测合法用户的可疑行为
2、许多内部参与者熟悉组织的网络设置、安全政策和程序,并且了解可以被利用的漏洞、漏洞或其他缺点
考虑到遏制内部威胁的巨大成本,以及它们可能造成的声誉损害,公司应该制定一个强大的内部威胁计划,专门用于解决这一关键风险。
4.网络攻击
网络攻击是网络罪犯、黑客或其他数字对手试图访问计算机网络或系统,通常是为了更改、窃取、破坏或暴露信息。
对公司进行的常见网络攻击包括恶意软件、网络钓鱼、DoS和DDoS、SQL 注入以及基于物联网的攻击。
如何应对云安全威胁?
有很多特定的攻击;抵御它们是一项挑战。但在保护您的云资产免受这些威胁和其他威胁时,可以使用以下三个准则。
构建微服务时遵循安全编码标准
双重和三次检查您的云配置以堵塞任何漏洞
有了安全的基础,继续进攻威胁狩猎
挑战是理论与实践之间的差距。很高兴知道您需要云安全策略。但你从哪儿开始呢?你如何应对文化变革?实现它的日常实际步骤是什么?
每个公司在拥抱云时面临的四大云安全挑战是什么?
1.缺乏云安全策略和技能
传统的数据中心安全模型不适用于云。管理员必须学习特定于云计算的新策略和技能。
云可以为组织提供敏捷性,但它也会为缺乏内部知识和技能以有效理解云中的安全挑战的组织打开漏洞。糟糕的规划可能表现为误解共享责任模型的含义,该模型规定了云提供商和用户的安全职责。这种误解可能导致利用无意的安全漏洞。
2.身份和访问管理
身份和访问管理 (IAM)必不可少。虽然这看起来很明显,但挑战在于细节。
为拥有数千名员工的企业创建必要的角色和权限是一项艰巨的任务。整体 IAM 策略分为三个步骤:角色设计、特权访问管理和实施。
根据使用云的人员的需求,从可靠的角色设计开始。在任何特定 IAM 系统之外设计角色。这些角色描述了您的员工所做的工作,这些角色不会在云提供商之间改变。
接下来,特权访问管理 (PAM) 策略概述了哪些角色因其特权而需要更多保护。严格控制谁有权访问特权凭据并定期轮换。
最后,是时候在云提供商的 IAM 服务中实施设计的角色了。在提前开发这些之后,这一步会容易得多。
3.影子 IT
影子 IT挑战安全性,因为它规避了标准的 IT 审批和管理流程。
影子 IT 是员工采用云服务完成工作的结果。云资源可以轻松地上下旋转,这使得控制其增长变得困难。例如,开发人员可以使用他们的帐户快速生成工作负载。不幸的是,以这种方式创建的资产可能无法通过默认密码和错误配置得到充分保护和访问。
DevOps 的采用使事情复杂化。云和 DevOps 团队喜欢快速且无摩擦地运行。但是,在不妨碍 DevOps 活动的情况下,很难获得安全团队所需的可见性和管理级别。DevOps 需要一种无摩擦的方式来部署安全应用程序并直接与其持续集成/持续交付 (CI/CD) 管道集成。安全团队需要一种统一的方法来获取所需的信息,而不会减慢 DevOps 的速度。IT 和安全部门需要以 DevOps 的速度找到适用于云的解决方案。
4.云合规
组织必须遵守保护敏感数据的法规,例如PCI DSS和HIPAA。敏感数据包括信用卡信息、医疗保健患者记录等。为确保符合合规性标准,许多组织限制访问权限以及用户在获得访问权限后可以执行的操作。如果没有设置访问控制措施,监控网络访问将成为一个挑战。
如何克服云安全挑战
每个挑战都是不同的,因此需要独特的解决方案。在使用任何云服务之前花时间进行计划。合理的策略会考虑任何常见的云挑战,例如我们在此讨论的挑战。然后,您将针对每个预期的挑战制定行动计划。