本文來(lái)自微信公眾號(hào)“安全牛”。
當(dāng)企業(yè)組織將關(guān)鍵業(yè)務(wù)上云后,加強(qiáng)云安全防護(hù)就成為企業(yè)管理者們的重要優(yōu)先事項(xiàng)。一旦云上的應(yīng)用存在安全漏洞,那么數(shù)據(jù)泄露、業(yè)務(wù)中斷、勒索威脅等災(zāi)難性事件隨時(shí)都可能發(fā)生。研究數(shù)據(jù)顯示,在78%的云上攻擊活動(dòng)中,攻擊者會(huì)將已知漏洞作為初始路徑。因此,定期評(píng)估云環(huán)境的風(fēng)險(xiǎn)態(tài)勢(shì)并加強(qiáng)云安全漏洞管理,將是保障組織云應(yīng)用安全的最有效途徑之一。
云安全漏洞的主要類型
企業(yè)組織在開展云漏洞管理工作之前,需要首先了解云環(huán)境中主要的安全漏洞是什么,以下是目前最常見的云安全漏洞類型:
01
云環(huán)境的錯(cuò)誤配置
云環(huán)境的錯(cuò)誤配置是云環(huán)境中最常見的漏洞類型之一,包括云上的網(wǎng)絡(luò)系統(tǒng)和容器系統(tǒng)等。這會(huì)導(dǎo)致云計(jì)算應(yīng)用出現(xiàn)嚴(yán)重安全隱患。這些錯(cuò)誤配置將嚴(yán)重?fù)p害云應(yīng)用的防護(hù)能力,造成相關(guān)云訪問(wèn)控制措施的缺失或失效,從而導(dǎo)致非法用戶對(duì)云應(yīng)用及關(guān)鍵數(shù)據(jù)的直接訪問(wèn)。
02
不恰當(dāng)?shù)纳矸蒡?yàn)證
云應(yīng)用系統(tǒng)中糟糕的身份驗(yàn)證流程是另一個(gè)經(jīng)常導(dǎo)致安全事件發(fā)生的常見漏洞類型。缺乏多因素身份驗(yàn)證和弱密碼一直是云漏洞管理面臨的兩大挑戰(zhàn)。如果沒(méi)有可靠的訪問(wèn)控制策略,任何非法訪問(wèn)的惡意用戶都可能會(huì)進(jìn)入到云上系統(tǒng)并獲取數(shù)據(jù)。
03
違規(guī)應(yīng)用
為了快速上線新的云業(yè)務(wù)系統(tǒng),一些組織沒(méi)有嚴(yán)格遵守PCI-DSS、HIPAA、ISO 27001和SOC 2等行業(yè)標(biāo)準(zhǔn)的管理要求,這也是造成云漏洞產(chǎn)生的主要原因之一。如果云服務(wù)提供商和企業(yè)組織不能嚴(yán)格按照相關(guān)監(jiān)管標(biāo)準(zhǔn)來(lái)管理云上的應(yīng)用,就會(huì)導(dǎo)致安全缺陷,攻擊者就會(huì)利用這些缺陷來(lái)非法訪問(wèn)云應(yīng)用和數(shù)據(jù)。
04
敏感數(shù)據(jù)管理不善
云計(jì)算環(huán)境中含有大量的應(yīng)用系統(tǒng)和程序,可以幫助企業(yè)員工更便捷地訪問(wèn)業(yè)務(wù)需要的敏感數(shù)據(jù)。但是,絕不要為所有應(yīng)用程序創(chuàng)建可以特權(quán)訪問(wèn)的憑據(jù)或ID,最好為特定的應(yīng)用程序創(chuàng)建特定的憑據(jù),只有授權(quán)人員才能訪問(wèn)它們。營(yíng)銷或網(wǎng)絡(luò)部門的用戶不應(yīng)該有權(quán)訪問(wèn)含有敏感財(cái)務(wù)數(shù)據(jù)的應(yīng)用程序。
05
不安全的API
不安全的API是攻擊者訪問(wèn)云平臺(tái)并竊取所有重要數(shù)據(jù)的主要途徑之一。并非每家云服務(wù)提供商都能夠充分地保護(hù)API,而各種不安全的API為攻擊者訪問(wèn)云平臺(tái)提供了可乘之機(jī)。攻擊者總是會(huì)尋找缺乏適當(dāng)授權(quán)和身份驗(yàn)證的API漏洞,并利用它們從事違法活動(dòng)。
06
DDoS攻擊
分布式拒絕服務(wù)(DDoS)攻擊是云環(huán)境中經(jīng)常出現(xiàn)的另一種常見漏洞類型。在該漏洞中,攻擊者向基礎(chǔ)設(shè)施發(fā)送洪水般請(qǐng)求,導(dǎo)致服務(wù)器無(wú)力響應(yīng),從而無(wú)法處理授權(quán)的請(qǐng)求。當(dāng)云提供商沒(méi)有適當(dāng)?shù)腄DoS保護(hù)措施,或者DDoS安全機(jī)制被非法關(guān)閉時(shí),這種類型的安全漏洞就會(huì)產(chǎn)生。
云安全漏洞管理的原則
在云安全防護(hù)體系的構(gòu)建中,漏洞管理可以充當(dāng)一個(gè)治理框架,幫助企業(yè)更好地管理并控制云計(jì)算設(shè)施和應(yīng)用程序。因此,我們可以將云安全漏洞管理定義為識(shí)別、分析、篩選和修復(fù)云應(yīng)用安全問(wèn)題的一種持續(xù)性方法或過(guò)程。它不僅需要通過(guò)修復(fù)常見漏洞來(lái)盡可能降低云應(yīng)用安全風(fēng)險(xiǎn),還需要提前識(shí)別那些可能被利用的安全漏洞并給出修補(bǔ)建議。當(dāng)企業(yè)組織開展云安全漏洞管理工作時(shí),需要遵循以下關(guān)鍵原則:
01
以充分的資產(chǎn)發(fā)現(xiàn)為基礎(chǔ)
對(duì)云安全漏洞管理范圍的任何限制都會(huì)增加可見性風(fēng)險(xiǎn)。因此,企業(yè)必須將資產(chǎn)發(fā)現(xiàn)作為云漏洞管理工作的核心任務(wù)。如果漏洞管理項(xiàng)目未能覆蓋某些云上的資產(chǎn)或業(yè)務(wù)領(lǐng)域,那么它在降低風(fēng)險(xiǎn)方面的效用也會(huì)大打折扣,因?yàn)槲覀儫o(wú)法消除那些不可見安全風(fēng)險(xiǎn)。
02
合理設(shè)置漏洞掃描頻率
如果云漏洞管理工作不是連續(xù)的或者高頻的,就會(huì)存在過(guò)時(shí)或失真風(fēng)險(xiǎn)。但有一點(diǎn)需要明確,漏洞掃描頻率不是越高越好,而應(yīng)該是合理的。頻率的設(shè)定需要與漏洞修復(fù)節(jié)奏和資產(chǎn)變更管理保持協(xié)同,理想的狀態(tài)是漏洞掃描頻率與修復(fù)節(jié)奏同步,而且在發(fā)生云資產(chǎn)變更時(shí)能夠自動(dòng)執(zhí)行掃描。
03
與業(yè)務(wù)場(chǎng)景融合
云安全漏洞管理不是一項(xiàng)“極限運(yùn)動(dòng)”,企業(yè)不能把管理工作的重點(diǎn)放在一些絕對(duì)的安全風(fēng)險(xiǎn)上,而忽略了業(yè)務(wù)數(shù)字化發(fā)展的需求。在云安全漏洞管理的工作優(yōu)先級(jí)中,需要充分考慮業(yè)務(wù)應(yīng)用場(chǎng)景和環(huán)境因素,首先處理具有更高業(yè)務(wù)風(fēng)險(xiǎn)的安全漏洞。
04
指標(biāo)化管理
高效的云安全漏洞管理計(jì)劃應(yīng)該基于指標(biāo)來(lái)制定,只有把“好”的目標(biāo)和要求指標(biāo)化,企業(yè)才能準(zhǔn)確評(píng)估當(dāng)前漏洞管理工作的有效性,并找出目前工作中的不足之處。
05
流程整合
查找和評(píng)估漏洞風(fēng)險(xiǎn)的目的并不是為了生成報(bào)告,關(guān)鍵是要制定更好的漏洞修復(fù)策略,采取行動(dòng)解決問(wèn)題。因此,高效的云安全漏洞管理必須結(jié)合有效的補(bǔ)救措施。企業(yè)需要將有效的漏洞管理程序與補(bǔ)救工作流集成在一起,才能有效提升云安全漏洞的管理水平。
云安全漏洞管理最佳實(shí)踐
要在高度動(dòng)態(tài)的云環(huán)境中有效發(fā)現(xiàn)和管理漏洞風(fēng)險(xiǎn)并不容易。相比傳統(tǒng)漏洞管理模式,云安全漏洞管理工作需要能夠適應(yīng)“云優(yōu)先”和“云原生”的應(yīng)用環(huán)境,根據(jù)云環(huán)境的需求發(fā)展不斷優(yōu)化漏洞管理策略和方法,從而持續(xù)監(jiān)測(cè)云應(yīng)用的安全風(fēng)險(xiǎn)并及時(shí)響應(yīng)。研究人員總結(jié)梳理了云安全漏洞管理時(shí)的幾個(gè)最佳實(shí)踐:
系統(tǒng)性滲透測(cè)試
對(duì)云設(shè)施及應(yīng)用系統(tǒng)進(jìn)行系統(tǒng)性的安全性滲透測(cè)試是一個(gè)實(shí)現(xiàn)云安全漏洞管理的有效方法。它可以幫助組織執(zhí)行深度掃描,利用已檢測(cè)到漏洞的攻擊路徑,分析這類攻擊可能造成的危害程度。定期進(jìn)行滲透測(cè)試還有助于遵守相關(guān)安全標(biāo)準(zhǔn),并確保云基礎(chǔ)設(shè)施的安全性。
持續(xù)性地云漏洞掃描
組織應(yīng)該持續(xù)性開展云漏洞掃描活動(dòng),在漏洞產(chǎn)生的早期階段發(fā)現(xiàn)漏洞。組織應(yīng)該為所選用的漏洞掃描器配套一份全面的漏洞列表,這樣就能夠提升對(duì)常見漏洞威脅的檢測(cè)能力。為了獲得更好的漏洞掃描效果,掃描器還應(yīng)該能夠檢測(cè)云應(yīng)用系統(tǒng)中的邏輯錯(cuò)誤,降低漏洞誤報(bào)。此外,利用SAST和IaC工具在應(yīng)用開發(fā)管道中進(jìn)行漏洞代碼檢查也是云安全漏洞掃描應(yīng)該具備的功能。
漏洞優(yōu)先級(jí)評(píng)估
為了實(shí)現(xiàn)最佳的云安全漏洞管理效果,企業(yè)組織應(yīng)該遵循的另一個(gè)最佳實(shí)踐是進(jìn)行漏洞優(yōu)先級(jí)評(píng)估。這種做法非常有效,因?yàn)樗兄谔嵘龑?duì)最危險(xiǎn)漏洞的發(fā)現(xiàn)能力,并在修復(fù)其他漏洞之前迅速修復(fù)高危漏洞。
完整地云基礎(chǔ)設(shè)施可見性
企業(yè)無(wú)法保護(hù)看不見的云上資產(chǎn)和應(yīng)用。通過(guò)全面的云資產(chǎn)發(fā)現(xiàn),企業(yè)可以全面了解組織云環(huán)境中的互聯(lián)互通性、數(shù)據(jù)流動(dòng)性和配置安全性。這將幫助安全團(tuán)隊(duì)盡早發(fā)現(xiàn)任何云上的安全風(fēng)險(xiǎn),并幫助他們查明風(fēng)險(xiǎn)的起源。
通過(guò)AI技術(shù)實(shí)現(xiàn)自動(dòng)化
云安全漏洞管理的最佳實(shí)踐之一是通過(guò)人工智能和機(jī)器學(xué)習(xí)技術(shù)實(shí)現(xiàn)管理流程的自動(dòng)化,這將有利于安全團(tuán)隊(duì)掃描云基礎(chǔ)設(shè)施,專注于對(duì)掃描結(jié)果進(jìn)行安全分析,而不是將精力消耗在尋找所有漏洞。此外,自動(dòng)化技術(shù)還可以幫助企業(yè)通過(guò)自動(dòng)執(zhí)行補(bǔ)丁管理流程來(lái)縮短漏洞修復(fù)的時(shí)間。