新冠疫情如何改變傳統(tǒng)的云安全防護(hù)策略

責(zé)任編輯:cres

作者:lucywang

2020-11-27 13:44:28

摘自:嘶吼網(wǎng)

新冠疫情的持續(xù)對(duì)云安全產(chǎn)生了巨大的影響,例如,F(xiàn)lexera軟件公司在其最近發(fā)布的2020年云端安全狀態(tài)報(bào)告中就指出,新冠疫情大流行改變了一部分使用云端用戶的使用策略。

新冠疫情的持續(xù)對(duì)云安全產(chǎn)生了巨大的影響,例如,F(xiàn)lexera軟件公司在其最近發(fā)布的2020年云端安全狀態(tài)報(bào)告中就指出,新冠疫情大流行改變了一部分使用云端用戶的使用策略。有一半的云端受訪者用戶表示,由于遠(yuǎn)程工作帶來(lái)的需求不斷增長(zhǎng),他們的云使用量將比最初計(jì)劃的要大很多。其他受訪者表示,考慮到訪問(wèn)傳統(tǒng)數(shù)據(jù)中心的困難和供應(yīng)鏈的延遲,他們的組織可能會(huì)加快遷移計(jì)劃。
 
令人擔(dān)心的是,由于云端防護(hù)漏洞百出,大多數(shù)遷移到云端的組織已經(jīng)在為安全問(wèn)題而苦惱了。在網(wǎng)絡(luò)安全業(yè)內(nèi)人士發(fā)布的《2020年云安全報(bào)告》中,75%的受訪者表示他們“非常關(guān)注”或“極為關(guān)注”公共云安全。 Continuity Central 報(bào)告稱,考慮到68%的受訪者表示他們的雇主使用了兩家或兩家以上的公共云提供商來(lái)進(jìn)行安全備份,這意味著安全團(tuán)隊(duì)需要使用多個(gè)本機(jī)工具來(lái)嘗試在其雇主的云基礎(chǔ)架構(gòu)中實(shí)施安全性。
 
以上的這些擔(dān)憂共同引出了一些重要的問(wèn)題,例如,為什么組織在保護(hù)云環(huán)境方面如此困難?他們面臨的挑戰(zhàn)是什么?
 
為此,本文強(qiáng)調(diào)了組織在保護(hù)云環(huán)境時(shí)通常面臨的三個(gè)挑戰(zhàn):配置錯(cuò)誤、有限的網(wǎng)絡(luò)安全監(jiān)控能力和不受保護(hù)的云運(yùn)行時(shí)環(huán)境。在對(duì)每個(gè)問(wèn)題進(jìn)行簡(jiǎn)要討論之后,我們將提供一些建議,說(shuō)明組織如何應(yīng)對(duì)這些挑戰(zhàn)并增強(qiáng)其云安全。
 
1.云和容器配置錯(cuò)誤
 
云配置錯(cuò)誤是指管理員無(wú)意中為云系統(tǒng)部署了與組織的安全策略不一致的設(shè)置,其中存在的風(fēng)險(xiǎn)是,錯(cuò)誤配置可能危及組織的基于云的數(shù)據(jù)的安全性,不過(guò)危害程序要具體取決于受影響的資產(chǎn)或系統(tǒng)。專業(yè)一點(diǎn)的說(shuō)法就是,攻擊者可以利用其環(huán)境中的證書或軟件漏洞,最終傳播到受害者環(huán)境的其他區(qū)域。攻擊者利用受感染節(jié)點(diǎn)內(nèi)的高級(jí)權(quán)限來(lái)遠(yuǎn)程訪問(wèn)其他節(jié)點(diǎn),探測(cè)不安全的應(yīng)用程序和數(shù)據(jù)庫(kù),或者只是濫用薄弱的網(wǎng)絡(luò)控制。然后,他們可以通過(guò)將數(shù)據(jù)復(fù)制到Web上的匿名節(jié)點(diǎn)或創(chuàng)建一個(gè)存儲(chǔ)網(wǎng)關(guān)來(lái)從遠(yuǎn)程位置訪問(wèn)數(shù)據(jù),從而在不受監(jiān)視的情況下竊取組織的數(shù)據(jù)。
 
錯(cuò)誤配置可能很難被防護(hù)人員發(fā)現(xiàn),更重要的是,大多數(shù)企業(yè)都只能使用手動(dòng)方法來(lái)管理云配置,而攻擊者則會(huì)使用自動(dòng)化手段來(lái)尋找組織的云防御漏洞,
 
需要注意的是,這種威脅不僅僅是理論上的。DivvyCloud(云基礎(chǔ)架構(gòu)自動(dòng)化平臺(tái))在其2020年的Cloud Misconfigurations報(bào)告中就寫到,2018年至2019年期間發(fā)生了196起公開報(bào)告的主要由云錯(cuò)誤配置導(dǎo)致的數(shù)據(jù)泄漏。這些事件公開了總計(jì)超過(guò)330億份記錄,相關(guān)受害者組織總共損失了5萬(wàn)億美元。
 
2.有限的網(wǎng)絡(luò)安全監(jiān)控能力
 
網(wǎng)絡(luò)安全監(jiān)控能力意味著組織知道該網(wǎng)絡(luò)中正在發(fā)生的事情,其中包括連接到網(wǎng)絡(luò)的硬件和軟件以及正在發(fā)生的網(wǎng)絡(luò)事件。但是,在有限的網(wǎng)絡(luò)安全監(jiān)控能力下,一個(gè)組織對(duì)其存在的潛在的或已經(jīng)出現(xiàn)的威脅往往缺乏意識(shí),例如攻擊者使用錯(cuò)誤配置事件來(lái)滲透網(wǎng)絡(luò),安裝惡意軟件或橫向移動(dòng)感染目標(biāo)進(jìn)而獲取敏感數(shù)據(jù)。
 
然而,在云中實(shí)現(xiàn)全面的網(wǎng)絡(luò)安全監(jiān)控并不總是那么容易。正如Help Net Security所指出的,管理員不能像在數(shù)據(jù)中心中通過(guò)交換機(jī)或防火墻那樣輕松地訪問(wèn)其環(huán)境的凈流量,這是因?yàn)樗麄儾荒苤苯釉L問(wèn)CSP提供的云基礎(chǔ)架構(gòu)。相反,他們需要瀏覽CSP的產(chǎn)品列表。這些工具可能包含也可能不包含提供有價(jià)值(或完整)洞察力的設(shè)備相互連接的工具。
 
這并不是云和傳統(tǒng)數(shù)據(jù)中心安全性方面之間唯一可見(jiàn)的差別,默認(rèn)情況下,計(jì)算資源是分段的,這意味著管理員有時(shí)需要比IP地址更多的數(shù)據(jù)點(diǎn)來(lái)跟蹤基于云的對(duì)象。它還要求管理員使用角色和策略來(lái)啟用特定的連接,而不是依賴防火墻來(lái)禁止某些連接嘗試。
 
3.未受保護(hù)的云運(yùn)行時(shí)環(huán)境
 
除了配置錯(cuò)誤和糟糕的網(wǎng)絡(luò)安全監(jiān)控之外,還有運(yùn)行時(shí)環(huán)境的問(wèn)題。如果不受保護(hù),云運(yùn)行時(shí)環(huán)境將為惡意攻擊者提供大量機(jī)會(huì),通過(guò)這些機(jī)會(huì)攻擊者就可以攻擊組織。例如,它們可以利用組織自身代碼中的漏洞,或者在運(yùn)行時(shí)環(huán)境中執(zhí)行的應(yīng)用程序所使用的軟件包中的漏洞來(lái)滲透網(wǎng)絡(luò)。
 
保護(hù)云運(yùn)行時(shí)環(huán)境的第一個(gè)問(wèn)題是,組織有時(shí)不知道他們?cè)谠浦械陌踩氊?zé)是什么,或者在安全管理方面缺乏相關(guān)的技能。在公共云中擁有資產(chǎn)的組織與CSP共同負(fù)責(zé)云安全。前者負(fù)責(zé)“云中”的安全性,后者負(fù)責(zé)確保“云中”的安全。有時(shí),組織不了解此共享責(zé)任模型的含義,否則他們將難以履行這些責(zé)任,這意味著它們可能無(wú)法加強(qiáng)其云安全性或無(wú)法實(shí)施CSP可用的措施。
 
理解什么類型的安全工具適用于云計(jì)算也是一個(gè)問(wèn)題,確保on-prem IT安全的工具、方法和技能在云計(jì)算中常常是行不通的,在云計(jì)算中,網(wǎng)絡(luò)安全受到的挑戰(zhàn)是攻擊的技術(shù)要超前于安全保護(hù)的技術(shù)。最重要的是,從On -prem到云計(jì)算的快速發(fā)展催生了大量特定于點(diǎn)的解決方案,這些解決方案通常具有重疊的功能,這使得安全云實(shí)例的工作變得極其復(fù)雜化。在某些情況下,組織可能會(huì)認(rèn)為他們可以應(yīng)用其傳統(tǒng)的殺毒軟件解決方案來(lái)覆蓋其云系統(tǒng)和數(shù)據(jù),但是這些解決方案無(wú)法解決通常針對(duì)云工作負(fù)載的威脅。
 
如何應(yīng)對(duì)這些威脅
 
盡管未來(lái)不確定,但確保云工作負(fù)載安全的工作手冊(cè)相對(duì)簡(jiǎn)單。為了幫助解決配置錯(cuò)誤,組織可以遵循Gartner發(fā)布的《云工作負(fù)載保護(hù)平臺(tái)市場(chǎng)指南》,并使用安全配置管理為連接到網(wǎng)絡(luò)的資產(chǎn)建立基準(zhǔn),監(jiān)控這些資產(chǎn)是否偏離該基準(zhǔn),如果發(fā)生偏差就將其資產(chǎn)恢復(fù)為批準(zhǔn)的基準(zhǔn)。此外,組織需要自動(dòng)化防御措施,以保護(hù)其系統(tǒng)免受可能濫用配置錯(cuò)誤或其他安全漏洞的自動(dòng)攻擊。
 
至于網(wǎng)絡(luò)安全的監(jiān)控功能,重要的不僅是要知道你的網(wǎng)絡(luò)上有什么內(nèi)容,還要知道哪些資產(chǎn)處于潛在的受攻擊狀態(tài)。這可以通過(guò)資產(chǎn)發(fā)現(xiàn)工具實(shí)現(xiàn),如SentinelOne的Ranger技術(shù),它可以通過(guò)利用受保護(hù)的端口作為傳感器,在不增加資源消耗或需要額外硬件的情況下,提供跨網(wǎng)絡(luò)的設(shè)備發(fā)現(xiàn)和惡意設(shè)備隔離。
 
最后,組織可以通過(guò)使用包含工作負(fù)載的運(yùn)行時(shí)保護(hù)和EDR主動(dòng)地實(shí)時(shí)解決數(shù)字威脅,從而保護(hù)云運(yùn)行時(shí)環(huán)境。這可以包括諸如應(yīng)用程序控制引擎之類的工具,該工具可以鎖定容器并保護(hù)其免受未經(jīng)授權(quán)的安裝和濫用攻擊者工具的影響,不管這些攻擊工具是合法的LOLBins還是自定義的惡意軟件。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)