新冠疫情是如何改變傳統(tǒng)的云安全防護(hù)策略

lucywang
有一半的云端受訪者用戶表示,由于遠(yuǎn)程工作帶來的需求不斷增長,他們的云使用量將比最初計劃的要大很多。其他受訪者表示,考慮到訪問傳統(tǒng)數(shù)據(jù)中心的困難和供應(yīng)鏈的延遲,他們的組織可能會加快遷移計劃。

新冠疫情的持續(xù)對云安全產(chǎn)生了巨大的影響,例如,F(xiàn)lexera軟件公司在其最近發(fā)布的2020年云端安全狀態(tài)報告中就指出,新冠疫情大流行改變了一部分使用云端用戶的使用策略。有一半的云端受訪者用戶表示,由于遠(yuǎn)程工作帶來的需求不斷增長,他們的云使用量將比最初計劃的要大很多。其他受訪者表示,考慮到訪問傳統(tǒng)數(shù)據(jù)中心的困難和供應(yīng)鏈的延遲,他們的組織可能會加快遷移計劃。

令人擔(dān)心的是,由于云端防護(hù)漏洞百出,大多數(shù)遷移到云端的組織已經(jīng)在為安全問題而苦惱了。在網(wǎng)絡(luò)安全業(yè)內(nèi)人士發(fā)布的《2020年云安全報告》中,75%的受訪者表示他們“非常關(guān)注”或“極為關(guān)注”公共云安全。 Continuity Central 報告稱,考慮到68%的受訪者表示他們的雇主使用了兩家或兩家以上的公共云提供商來進(jìn)行安全備份,這意味著安全團(tuán)隊需要使用多個本機(jī)工具來嘗試在其雇主的云基礎(chǔ)架構(gòu)中實施安全性。

以上的這些擔(dān)憂共同引出了一些重要的問題,例如,為什么組織在保護(hù)云環(huán)境方面如此困難?他們面臨的挑戰(zhàn)是什么?

為此,本文強(qiáng)調(diào)了組織在保護(hù)云環(huán)境時通常面臨的三個挑戰(zhàn):配置錯誤、有限的網(wǎng)絡(luò)安全監(jiān)控能力和不受保護(hù)的云運(yùn)行時環(huán)境。在對每個問題進(jìn)行簡要討論之后,我們將提供一些建議,說明組織如何應(yīng)對這些挑戰(zhàn)并增強(qiáng)其云安全。

1.云和容器配置錯誤

云配置錯誤是指管理員無意中為云系統(tǒng)部署了與組織的安全策略不一致的設(shè)置,其中存在的風(fēng)險是,錯誤配置可能危及組織的基于云的數(shù)據(jù)的安全性,不過危害程序要具體取決于受影響的資產(chǎn)或系統(tǒng)。專業(yè)一點的說法就是,攻擊者可以利用其環(huán)境中的證書或軟件漏洞,最終傳播到受害者環(huán)境的其他區(qū)域。攻擊者利用受感染節(jié)點內(nèi)的高級權(quán)限來遠(yuǎn)程訪問其他節(jié)點,探測不安全的應(yīng)用程序和數(shù)據(jù)庫,或者只是濫用薄弱的網(wǎng)絡(luò)控制。然后,他們可以通過將數(shù)據(jù)復(fù)制到Web上的匿名節(jié)點或創(chuàng)建一個存儲網(wǎng)關(guān)來從遠(yuǎn)程位置訪問數(shù)據(jù),從而在不受監(jiān)視的情況下竊取組織的數(shù)據(jù)。

錯誤配置可能很難被防護(hù)人員發(fā)現(xiàn),更重要的是,大多數(shù)企業(yè)都只能使用手動方法來管理云配置,而攻擊者則會使用自動化手段來尋找組織的云防御漏洞,

需要注意的是,這種威脅不僅僅是理論上的。DivvyCloud(云基礎(chǔ)架構(gòu)自動化平臺)在其2020年的Cloud Misconfigurations報告中就寫到,2018年至2019年期間發(fā)生了196起公開報告的主要由云錯誤配置導(dǎo)致的數(shù)據(jù)泄漏。這些事件公開了總計超過330億份記錄,相關(guān)受害者組織總共損失了5萬億美元。

2.有限的網(wǎng)絡(luò)安全監(jiān)控能力

網(wǎng)絡(luò)安全監(jiān)控能力意味著組織知道該網(wǎng)絡(luò)中正在發(fā)生的事情,其中包括連接到網(wǎng)絡(luò)的硬件和軟件以及正在發(fā)生的網(wǎng)絡(luò)事件。但是,在有限的網(wǎng)絡(luò)安全監(jiān)控能力下,一個組織對其存在的潛在的或已經(jīng)出現(xiàn)的威脅往往缺乏意識,例如攻擊者使用錯誤配置事件來滲透網(wǎng)絡(luò),安裝惡意軟件或橫向移動感染目標(biāo)進(jìn)而獲取敏感數(shù)據(jù)。

然而,在云中實現(xiàn)全面的網(wǎng)絡(luò)安全監(jiān)控并不總是那么容易。正如Help Net Security所指出的,管理員不能像在數(shù)據(jù)中心中通過交換機(jī)或防火墻那樣輕松地訪問其環(huán)境的凈流量,這是因為他們不能直接訪問CSP提供的云基礎(chǔ)架構(gòu)。相反,他們需要瀏覽CSP的產(chǎn)品列表。這些工具可能包含也可能不包含提供有價值(或完整)洞察力的設(shè)備相互連接的工具。

這并不是云和傳統(tǒng)數(shù)據(jù)中心安全性方面之間唯一可見的差別,默認(rèn)情況下,計算資源是分段的,這意味著管理員有時需要比IP地址更多的數(shù)據(jù)點來跟蹤基于云的對象。它還要求管理員使用角色和策略來啟用特定的連接,而不是依賴防火墻來禁止某些連接嘗試。

3.未受保護(hù)的云運(yùn)行時環(huán)境

除了配置錯誤和糟糕的網(wǎng)絡(luò)安全監(jiān)控之外,還有運(yùn)行時環(huán)境的問題。如果不受保護(hù),云運(yùn)行時環(huán)境將為惡意攻擊者提供大量機(jī)會,通過這些機(jī)會攻擊者就可以攻擊組織。例如,它們可以利用組織自身代碼中的漏洞,或者在運(yùn)行時環(huán)境中執(zhí)行的應(yīng)用程序所使用的軟件包中的漏洞來滲透網(wǎng)絡(luò)。

保護(hù)云運(yùn)行時環(huán)境的第一個問題是,組織有時不知道他們在云中的安全職責(zé)是什么,或者在安全管理方面缺乏相關(guān)的技能。在公共云中擁有資產(chǎn)的組織與CSP共同負(fù)責(zé)云安全。前者負(fù)責(zé)“云中”的安全性,后者負(fù)責(zé)確保“云中”的安全。有時,組織不了解此共享責(zé)任模型的含義,否則他們將難以履行這些責(zé)任,這意味著它們可能無法加強(qiáng)其云安全性或無法實施CSP可用的措施。

理解什么類型的安全工具適用于云計算也是一個問題,確保on-prem IT安全的工具、方法和技能在云計算中常常是行不通的,在云計算中,網(wǎng)絡(luò)安全受到的挑戰(zhàn)是攻擊的技術(shù)要超前于安全保護(hù)的技術(shù)。最重要的是,從On -prem到云計算的快速發(fā)展催生了大量特定于點的解決方案,這些解決方案通常具有重疊的功能,這使得安全云實例的工作變得極其復(fù)雜化。在某些情況下,組織可能會認(rèn)為他們可以應(yīng)用其傳統(tǒng)的殺毒軟件解決方案來覆蓋其云系統(tǒng)和數(shù)據(jù),但是這些解決方案無法解決通常針對云工作負(fù)載的威脅。

如何應(yīng)對這些威脅

盡管未來不確定,但確保云工作負(fù)載安全的工作手冊相對簡單。為了幫助解決配置錯誤,組織可以遵循Gartner發(fā)布的《云工作負(fù)載保護(hù)平臺市場指南》,并使用安全配置管理為連接到網(wǎng)絡(luò)的資產(chǎn)建立基準(zhǔn),監(jiān)控這些資產(chǎn)是否偏離該基準(zhǔn),如果發(fā)生偏差就將其資產(chǎn)恢復(fù)為批準(zhǔn)的基準(zhǔn)。此外,組織需要自動化防御措施,以保護(hù)其系統(tǒng)免受可能濫用配置錯誤或其他安全漏洞的自動攻擊。

至于網(wǎng)絡(luò)安全的監(jiān)控功能,重要的不僅是要知道你的網(wǎng)絡(luò)上有什么內(nèi)容,還要知道哪些資產(chǎn)處于潛在的受攻擊狀態(tài)。這可以通過資產(chǎn)發(fā)現(xiàn)工具實現(xiàn),如SentinelOne的Ranger技術(shù),它可以通過利用受保護(hù)的端口作為傳感器,在不增加資源消耗或需要額外硬件的情況下,提供跨網(wǎng)絡(luò)的設(shè)備發(fā)現(xiàn)和惡意設(shè)備隔離。

最后,組織可以通過使用包含工作負(fù)載的運(yùn)行時保護(hù)和EDR主動地實時解決數(shù)字威脅,從而保護(hù)云運(yùn)行時環(huán)境。這可以包括諸如應(yīng)用程序控制引擎之類的工具,該工具可以鎖定容器并保護(hù)其免受未經(jīng)授權(quán)的安裝和濫用攻擊者工具的影響,不管這些攻擊工具是合法的LOLBins還是自定義的惡意軟件。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論