本文來自微信公眾號(hào)“安全牛(ID:aqniu-wx)”。
在過去幾年,云安全領(lǐng)域暴露了不少問題,發(fā)生了一些安全事件:AWS經(jīng)歷了超過3次嚴(yán)重中斷,導(dǎo)致Roku、達(dá)美航空公司、迪士尼+等知名網(wǎng)站數(shù)小時(shí)無法使用;Microsoft中存在的一個(gè)高危安全漏洞(稱為“NotLegit”)導(dǎo)致數(shù)百個(gè)源代碼存儲(chǔ)庫暴露……云服務(wù)提供商中斷、敏感數(shù)據(jù)泄露、云資產(chǎn)漏洞以及涉及使用公共云環(huán)境的違規(guī)行為等層出不窮。
不過,即便存在諸多安全問題,我們?nèi)匀豢吹綄⒐ぷ髫?fù)載遷移至云、在云中構(gòu)建新應(yīng)用程序以及訂閱各種SaaS和其他云服務(wù)已經(jīng)成為一種趨勢(shì),并且正在快速增長(zhǎng)。近日,研究機(jī)構(gòu)SANS發(fā)布《2022年云安全調(diào)查報(bào)告》(以下簡(jiǎn)稱“報(bào)告”),其目的是幫助全球企業(yè)組織了解安全團(tuán)隊(duì)在云中面臨的威脅、如何使用云以及我們可以采取哪些措施來改善云中的安全狀況。
報(bào)告發(fā)現(xiàn),目前,無論是管理團(tuán)隊(duì)的知識(shí)水平,還是來自云安全領(lǐng)域的供應(yīng)商及其提供的工具和服務(wù)都有了一定程度的提升。然而,總體而言進(jìn)展并不快。企業(yè)組織需要獲取更好的自動(dòng)化能力以跟上快速迭代的服務(wù),也需要使用更好的集中式工具和服務(wù),以應(yīng)對(duì)不斷變化的云威脅場(chǎng)景。
報(bào)告還發(fā)現(xiàn):無服務(wù)器(Serverless)已超越基礎(chǔ)設(shè)施即代碼(IaC),成為安全自動(dòng)化技術(shù)的第一名;超過一半的受訪者正在將內(nèi)部身份目錄與基于云的目錄服務(wù)同步,以實(shí)現(xiàn)更強(qiáng)大的云身份管理和賬戶控制;與2021年相比發(fā)生了令人驚訝的變化,更多的受訪者表示,他們對(duì)通過獲取日志和系統(tǒng)信息以進(jìn)行取證感到不滿。
云使用模式
在云使用模式中,業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)以68%的占比位居榜首,這也是它第三次蟬聯(lián)榜首;緊隨其后的是備份和災(zāi)難恢復(fù),占比57%,而在2021年的調(diào)查中,它僅排第四,這種排名提升可能是由勒索軟件攻擊驅(qū)動(dòng)的;安全服務(wù)(54%)、數(shù)據(jù)存儲(chǔ)和歸檔(42%)今年分列第三和第四,這也可能是由云使用和勒索軟件攻擊增長(zhǎng)驅(qū)動(dòng)的(詳見圖1)。
圖1:公共云中各種應(yīng)用程序和服務(wù)的占比情況
今年的調(diào)查還顯示,組織正在使用的公共云提供商數(shù)量與去年基本保持一致。2019年,最高響應(yīng)類別是2-3個(gè)提供者,該數(shù)字始終保持一致。小型組織仍然對(duì)遷移至多云部署猶豫不決,且只有少數(shù)組織使用20+家云服務(wù)提供商,這也與我們上次的調(diào)查一致。有趣的是,2021年,只有3%的組織使用了11-20個(gè)提供商,而這個(gè)數(shù)字在2022年躍升至9%。2021年只有超過16%的組織使用了4-6個(gè)提供商,這個(gè)數(shù)字到2022年已增長(zhǎng)至23%(見圖2)。
圖2:組織正在使用的公共云提供商數(shù)量分布
隨著云應(yīng)用程序和多云部署(特別是面向最終用戶的部署)的使用量增加,53%的受訪者表示,他們正在使用云訪問安全代理(CASB),比2021年的43%顯著增加。49%的受訪者組織正在利用云網(wǎng)絡(luò)訪問服務(wù);46%的組織還使用聯(lián)合身份服務(wù)來幫助將用戶訪問和授權(quán)集中到云應(yīng)用程序中。雖然沒有太多組織采用多云代理來集中訪問平臺(tái)即服務(wù)(PaaS)、基礎(chǔ)設(shè)施即服務(wù)(IaaS)和其他服務(wù)提供商環(huán)境,但這個(gè)數(shù)字還是從2021年的18%增長(zhǎng)到2022年的25%。較新的安全訪問服務(wù)邊緣(SASE)類別將眾多安全服務(wù)結(jié)合到一個(gè)中央代理模型中,并獲得了18%的采用率。
云中的擔(dān)憂、風(fēng)險(xiǎn)和治理
對(duì)于云中托管的敏感數(shù)據(jù)類型,商業(yè)智能(46%)從去年的第二位跌至今年的第三位。2022年最高的數(shù)據(jù)類型是金融業(yè)務(wù)數(shù)據(jù),占比54%;而2021年以53%的占比排名第一的員工數(shù)據(jù),今年則以49%的占比位居第二。總體而言,雖然數(shù)據(jù)類型發(fā)生了一些變化,但這里的總體趨勢(shì)與我們之前觀察到的趨勢(shì)高度相似。大約一半的組織愿意將各種敏感數(shù)據(jù)類型存放在云端,只是某些受到更嚴(yán)格監(jiān)管的數(shù)據(jù)類型占比較低,例如,客戶支付卡信息僅占22%、醫(yī)療信息僅占23%(參見圖3)。
圖3:云中敏感數(shù)據(jù)類型分布
當(dāng)被問及“《歐盟通用數(shù)據(jù)保護(hù)條例》(GDPR)等隱私法規(guī)是否正在影響現(xiàn)有或計(jì)劃中的云戰(zhàn)略”時(shí),近三分之二(62%)的人認(rèn)為“是”,這一比例高于2021年的55%。對(duì)于某些數(shù)據(jù)類型(尤其是消費(fèi)者個(gè)人數(shù)據(jù)),組織需要確保其云提供商能夠充分滿足隱私合規(guī)性需求。與去年相比,這種增長(zhǎng)趨勢(shì)可能會(huì)持續(xù)下去。
就“云中最大的擔(dān)憂”而言,過去幾年中,外部人員未經(jīng)授權(quán)訪問數(shù)據(jù)始終是最受關(guān)注的問題。但是,今年情況發(fā)生了重大變化,未經(jīng)授權(quán)的訪問僅排在第四位(51%),排在前面的分別為未經(jīng)授權(quán)的應(yīng)用程序組件或計(jì)算實(shí)例(54%,排第一)、配置不當(dāng)?shù)慕涌诤虯PI(52%,排第二)以及無法響應(yīng)事件(51%,排第三)。這種轉(zhuǎn)變表明,組織越來越習(xí)慣于鎖定云環(huán)境,但現(xiàn)在比過去更關(guān)心影子IT和配置錯(cuò)誤問題。
“已存在”(realized)的最大問題是在需要時(shí)停機(jī)或云服務(wù)不可用(32%)、缺乏技能和培訓(xùn)(31%)以及未經(jīng)授權(quán)的外部訪問(28%)。這些“已存在”的問題在整個(gè)行業(yè)中一直存在,并且已經(jīng)存在了一段時(shí)間。我們推測(cè),隨著云環(huán)境不斷增長(zhǎng)和復(fù)雜化,即便沒有直接的入侵行為,對(duì)云API和應(yīng)用程序組件缺乏認(rèn)識(shí)和可見性也可能會(huì)引發(fā)更多擔(dān)憂。然而,入侵正在發(fā)生,并且對(duì)受訪者無法管理入侵場(chǎng)景的高度擔(dān)憂可能會(huì)繼續(xù)存在。有關(guān)“擔(dān)憂”和“實(shí)際事件”的完整細(xì)分,請(qǐng)參見圖4。
圖4:“擔(dān)憂”(藍(lán)色)和“實(shí)際事件”(紅色)的完整細(xì)分
調(diào)查還顯示,62%的受訪者認(rèn)為遠(yuǎn)程工作場(chǎng)景會(huì)增加云部署的風(fēng)險(xiǎn)和威脅,而29%的受訪者表示不會(huì),大約10%的人不確定。在這些認(rèn)為風(fēng)險(xiǎn)會(huì)增加的受訪者中,他們認(rèn)為最大的原因是缺乏監(jiān)督和監(jiān)控能力(35%),其次是遠(yuǎn)程用戶入侵(33%)。其他原因還包括配置錯(cuò)誤(29%)以及不成熟的控制和流程(20%)。
在云應(yīng)用過程中總會(huì)引發(fā)對(duì)違規(guī)的擔(dān)憂,盡管存在擔(dān)憂,但數(shù)據(jù)顯示,過去12個(gè)月內(nèi)已知的違規(guī)百分比基本保持不變。大約19%的受訪者表示他們確實(shí)遇到了違規(guī)行為,與2021年的結(jié)果幾乎相同。不過,這個(gè)比例可能會(huì)更高,因?yàn)榕c過去相比,現(xiàn)在“不確定”的比例已經(jīng)明顯增加,2022年有21%的受訪者“懷疑”他們可能已遭入侵只是無法證明,2021年這一比例為17%。
對(duì)于造成入侵的原因,今年響應(yīng)最多的是賬戶/憑據(jù)劫持(45%)和云服務(wù)/資源的錯(cuò)誤配置(43%),這一結(jié)果與前兩次調(diào)查保持一致。2021年,第三大問題是不安全的接口或API(36%),而今年對(duì)這些API的利用是第三大問題(34%)。拒絕服務(wù)(DoS)攻擊從2021年的30%下降到26%(微小的變化,但值得注意)。圖5顯示了云攻擊所涉及因素的完整分解。
圖5:云攻擊涉及因素分布
這些變化可能反映了云的變化性質(zhì),以及我們可用的提供商和控制的成熟度。許多控制元素完全由公共云提供商管理,因此對(duì)這一層的攻擊面大大減少。DDoS攻擊仍然會(huì)發(fā)生,但由于公共云提供商和第三方服務(wù)在過去幾年中越來越受歡迎,DDoS防護(hù)得到了改進(jìn),因此它們?cè)谌肭謭?chǎng)景中似乎并不普遍。但是,對(duì)于憑據(jù)的防護(hù)力度仍然不足,此外,云資源的錯(cuò)誤配置也仍然是一個(gè)關(guān)鍵問題。
云中的安全和治理
隨著云使用的增長(zhǎng),組織需要開發(fā)和增強(qiáng)其流程和治理模型。在這方面我們看到了進(jìn)步:77%的組織制定了云安全和治理政策,而2021年這一比例為69%;而表示“沒有任何政策”的受訪者數(shù)量從2021年的23%下降至15%。這表明組織正在穩(wěn)步改進(jìn)和增強(qiáng)其治理和政策計(jì)劃,以與云提供商共同承擔(dān)云安全的責(zé)任。如果沒有適當(dāng)?shù)谋O(jiān)督和治理機(jī)制,許多云程序?qū)⒁恢笔艿接白覫T、配置問題以及缺乏云中可見性的困擾。
在過去幾年中,組織也一直在穩(wěn)步實(shí)施一些最常見的云部署安全控制措施,與內(nèi)部或直接管理的獨(dú)立平臺(tái)相比,許多控制措施現(xiàn)在也可作為安全即服務(wù)(SecaaS)產(chǎn)品提供在PaaS/IaaS環(huán)境中。與2021年一樣,VPN(45%)仍是實(shí)施最成功的內(nèi)部管理工具,但管理傳統(tǒng)VPN的組織比以前少了。2021年,網(wǎng)絡(luò)訪問控制、漏洞掃描和殺毒軟件也被吹捧為組織內(nèi)部管理的良好控制措施,但今年我們看到日志和事件管理和多因素身份驗(yàn)證也有所增加。
在今年的調(diào)查中,排名靠前的SecaaS服務(wù)是多因素身份驗(yàn)證和殺毒軟件,而CASB的實(shí)施有所下降。云中控制措施的完整分布如圖6所示。
圖6:云中控制措施的完整分布,集成的管理控制(藍(lán)色)、SecaaS(紅色)、兩者兼有(綠色)
這些數(shù)字在很大程度上都是積極的,表明基于云的SecaaS工具(這些服務(wù)中的大多數(shù)在2021年都處于10-15%的范圍內(nèi),現(xiàn)在有幾個(gè)已超過20%)和混合選項(xiàng)的使用有所增加。此外,云API的使用和集成也在增長(zhǎng)。2021年,51%的受訪者表示他們正在利用云提供商API來實(shí)施安全控制(自動(dòng)化和云安全成熟度的關(guān)鍵要素),而現(xiàn)在這一數(shù)字高達(dá)61%。對(duì)于那些利用這些API的人來說,最常見的控制是身份和訪問管理(從2021年的第二位上升到第一位),其次是配置管理和日志記錄以及事件管理。完整分布詳見圖7。
圖7:API集成的云安全控制和功能完整分布
在大多數(shù)情況下,組織仍在內(nèi)部管理許多控制措施,但這種情況也正在慢慢改變。然而,組織已經(jīng)成功地在傳統(tǒng)的本地部署和云環(huán)境之間集成了一些控制措施,從而創(chuàng)建了混合云安全模型。在調(diào)研中,近67%的受訪者認(rèn)為他們的組織已成功集成殺毒軟件工具(高于2021年的64%),63%認(rèn)為其所在組織已集成多因素身份驗(yàn)證,53%認(rèn)為漏洞管理已很好地集成在混合模型中,約51%的受訪者確信他們已經(jīng)集成了網(wǎng)絡(luò)訪問控制(之前為47%)。其他顯示強(qiáng)大混合集成的技術(shù)領(lǐng)域還包括EDR、加密和IDS/IPS?;旌峡刂萍傻耐暾植既鐖D8所示。
圖8:混合控制集成的完整分布,藍(lán)色為現(xiàn)在,紅色為未來12個(gè)月
當(dāng)被問及“計(jì)劃在未來12個(gè)月內(nèi)集成哪些控制措施”,35%的人表示他們計(jì)劃集成取證和事件響應(yīng)(IR)工具,33%計(jì)劃集成云風(fēng)險(xiǎn)評(píng)估工具,而事件管理和SIEM平臺(tái)排在第三位。這表明組織正在更多地關(guān)注檢測(cè)和事件響應(yīng),對(duì)于許多團(tuán)隊(duì)來說,這長(zhǎng)期以來一直是不成熟的控制和流程領(lǐng)域,但對(duì)云風(fēng)險(xiǎn)的高度關(guān)注表明,企業(yè)也需要“以云為中心”的報(bào)告和控制分析。
而被問及“是否使用任何自動(dòng)化和編排工具來改善云安全狀況”時(shí),大多數(shù)安全團(tuán)隊(duì)表示正在增加使用自動(dòng)化控制和監(jiān)控策略,這種趨勢(shì)已經(jīng)持續(xù)了幾年。去年調(diào)查中最常用的工具是用于實(shí)施IaC的模板技術(shù)(AWS CloudFormation、Azure Resource Manager模板、Terraform等)。在今年的調(diào)查中,這些IaC工具仍然被大量使用(54%),但已被無服務(wù)器技術(shù)(55%)所取代。
總體而言,自動(dòng)化和編排工具的使用已全面增加,預(yù)計(jì)隨著組織提高云部署的速度和效率,這一趨勢(shì)將繼續(xù)下去。有關(guān)如今使用的自動(dòng)化/編排工具/方法的完整細(xì)分,請(qǐng)參見圖9。
圖9:自動(dòng)化/編排工具/方法的完整細(xì)
云身份和訪問管理(IAM)
鑒于身份對(duì)云實(shí)施(對(duì)于最終用戶服務(wù)以及云基礎(chǔ)設(shè)施和應(yīng)用程序部署)的重要性,我們?cè)儐柫税踩珗F(tuán)隊(duì)“如何利用云中的身份功能和工具”。超過一半(53%)的受訪者正在將Active Directory等身份存儲(chǔ)同步到云目錄服務(wù),從而實(shí)現(xiàn)與其他云服務(wù)的聯(lián)合,并在控制用戶對(duì)云資產(chǎn)的訪問方面變得更加靈活。大約38%的受訪者將身份映射到云提供商提供的身份,超過三分之一的受訪者使用身份即服務(wù)(IDaaS)進(jìn)行聯(lián)合和單點(diǎn)登錄(SSO)。其他人則利用內(nèi)部身份套件進(jìn)行混合云集成,或利用IAM策略來控制云中的對(duì)象訪問和行為(詳見圖10)。
圖10:受訪組織利用云中的身份功能和工具的方式分布