雲安全是雲時代企業數字化轉型面臨的最大挑戰之一。為了使企業對雲安全問題有全新的認識和了,雲安全聯盟(CSA)上個月推出了最新版本的《雲計算11大威脅報告》。
CSA對行業安全專家進行了一項調查,以就雲計算中最重大的安全性問題收集專業意見。並針對Capital One、迪斯尼、道瓊斯、GitHub、特斯拉等九家知名企業展開雲安全案例調研,深度發掘主要的雲安全問題(按調查結果的嚴重性順序排列)。
數據洩露
數據洩露威脅在去年的調查中繼續保持第一的位置,也是最嚴重的雲安全威脅。數據洩露行為可能會嚴重損害企業的聲譽和財務,還可能會導致知識產權(IP)損失和重大法律責任。
CSA關於數據洩露威脅的關鍵要點包括:
攻擊者渴望竊取數據,因此企業需要定義其數據的價值及其丟失的影響;
明確哪些人有權訪問數據是解決數據保護問題的關鍵;
可通過互聯網訪問的數據最容易受到錯誤配置或漏洞利用的影響;
加密可以保護數據,但需要在性能和用戶體驗之間進行權衡;
企業需要可靠、經過測試的事件響應計劃,並將雲服務提供商考慮在內。
配置錯誤和變更控制不足
這是CSA雲安全威脅榜單中出現的新威脅,考慮到近年來越來越多的企業都因為疏忽或意外通過雲公開洩露數據,該威脅上榜不足為奇。例如,報告中引用了Exactis事件,其中雲服務商因配置錯誤公開洩露了一個包含2.3億美國消費者的個人數據的Elasticsearch數據庫。另外一個災難性的錯誤配置案例來自Level One Robitics,由於備份服務器配置錯誤暴露了100多家制造公司的知識產權信息。
讓企業擔心的不僅僅是數據丟失,還包括通過篡改或者刪除資料導致的業務停頓。報告將大多數配置錯誤歸咎於變更控制實踐欠佳。配置錯誤和變更控制不充分的關鍵點包括:
雲端資源的複雜性使其難以配置;
不要期望傳統的控制和變更管理方法在雲中有效;
使用自動化和技術,這些技術會連續掃描錯誤配置的資源。
缺乏雲安全架構和策略
這是個雲計算與生俱來的“古老”問題。對於很多企業來說,最大程度縮短將系統和數據遷移到雲所需的時間的優先級,要高於安全性。結果,企業往往會選擇並非針對其設計的雲安全基礎架構和雲計算運營策略。這一問題出現在2020年雲安全威脅清單中表明,更多的企業開始意識到這是一個嚴重問題。
雲安全架構和策略的要點包括:
安全體系結構需要與業務目標保持一致;
開發和實施安全體系結構框架;
保持威脅模型為最新;
部署持續監控功能。
身份、憑證、訪問和密鑰管理不善
威脅清單中的另一個新威脅是對數據、系統和物理資源(如服務器機房和建築物)的訪問管理和控制不足。報告指出,雲計算環境中,企業需要改變與身份和訪問管理(IAM)有關的做法。報告認為,不這樣做的後果可能導致安全事件和破壞,原因是:
憑證保護不力;
缺乏密碼密鑰,密碼和證書自動輪換功能;
缺乏可擴展性;
-
未能使用多因素身份驗證;
未能使用強密碼。
身份、憑證、訪問和密鑰管理的關鍵要點包括:
安全賬戶,包括使用雙重身份驗證;
對雲用戶和身份使用嚴格的身份和訪問控制-特別是限制root賬戶的使用;
根據業務需求和最小特權原則隔離和細分賬戶、虛擬私有云和身份組;
採用程序化、集中式方法進行密鑰輪換;
刪除未使用的憑據和訪問特權。
賬戶劫持
今年,賬戶劫持仍然是第五大雲威脅。隨著網絡釣魚攻擊變得更加有效和更有針對性,攻擊者獲得高特權賬戶訪問權的風險非常大。網絡釣魚不是攻擊者獲取憑據的唯一方法。他們還可以通過入侵雲服務等手段來竊取賬戶。
一旦攻擊者可以使用合法賬戶進入系統,就可能造成嚴重破壞,包括盜竊或破壞重要數據,中止服務交付或財務欺詐。報告建議對用戶就賬戶劫持的危險性和特徵進行安全意識教育培訓,以最大程度地降低風險。CSA關於賬戶劫持的主要建議包括:
賬戶憑證被盜時,不要只是重置密碼,要從源頭解決根本問題。
深度防禦方法和強大的IAM控制是最好的防禦方法。
內部威脅
內部威脅者未必都是惡意的,很多員工疏忽可能會無意間使數據和系統面臨風險。根據Ponemon Institute的2018年內部威脅成本研究,64%的內部威脅事件是由於員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的雲服務器,在個人設備上存儲敏感數據或成為網絡釣魚電子郵件的受害者。
治理內部威脅的關鍵要點包括:
對員工進行充分的安全意識和行為準則的培訓和教育,以保護數據和系統。使安全意識教育常態化,成為一個持續的過程;
定期審核和修復配置錯誤的雲服務器;
限制對關鍵系統的訪問。
不安全的接口和API
在2018年,Facebook經歷了一次嚴重的數據洩露事件,影響了超過5000萬個賬戶,問題的根源就是新服務View中不安全的API。尤其是當與用戶界面相關聯時,API漏洞往往是攻擊者竊取用戶或員工憑據的熱門途徑。報告指出,企業需要清醒地認識到,API和用戶界面是系統中最容易暴露的部分,應當通過安全設計方法來強化其安全性。
治理不安全的接口和API的
關鍵點:採用良好的API做法,例如監督庫存、測試、審計和異常活動保護等項目;
保護API密鑰並避免重用;
考慮採用開放的API框架,例如開放雲計算接口(OCCI)或雲基礎架構管理接口(CIMI)。
控制面薄弱
控制平面涵蓋了數據複製、遷移和存儲的過程。根據CSA的說法,如果負責這些過程的人員無法完全控制數據基礎架構的邏輯、安全性和驗證,則控制平面將很薄弱。相關人員需要了解安全配置,數據流向以及體系結構盲點或弱點。否則可能會導致數據洩漏、數據不可用或數據損壞。
關於弱控制面的主要建議包括:
確保雲服務提供商提供履行法律和法定義務所需的安全控制;
進行盡職調查以確保雲服務提供商擁有足夠的控制平面。
元結構和應用程序結構故障
雲服務商的元結構(Metastructure)保存瞭如何保護其系統的安全性信息,並可通過API調用。CSA將元結構稱為雲服務提供商/客戶的“分界線”。這些API可幫助客戶檢測未經授權的訪問,同時也包含高度敏感的信息,例如日誌或審核系統數據。
這條分界線也是潛在的故障點,可能使攻擊者能夠訪問數據或破壞雲客戶。糟糕的API實施通常是導致漏洞的原因。CSA指出,不成熟的雲服務提供商可能不知道如何正確地向其客戶提供API。另一方面,客戶也可能不瞭解如何正確實施雲應用程序。當他們連接並非為雲環境設計的應用程序時,尤其如此。防範元結構和應用程序結構失敗的關鍵要點包括:
確保雲服務提供商提供可見性並公開緩解措施;
在雲原生設計中實施適當的功能和控件;
確保雲服務提供商進行滲透測試並向客戶提供結果。
雲資源使用的可見性差
安全專業人員普遍抱怨雲環境導致他們看不到檢測和防止惡意活動所需的許多數據。CSA將這種可見性挑戰分為兩類:未經批准的應用程序使用和未經批准的應用程序濫用。
未經批准的應用程序本質上是影子IT,即員工未經IT或安全或技術支持或許可使用的應用程序。任何不符合公司安全性準則的應用程序都可能會招致安全團隊未意識到的風險。經許可的應用程序濫用包含很多場景,可能是授權的人員使用批准的應用程序,也可能是外部攻擊者使用被盜的憑據。安全團隊應當能夠通過檢測非常規行為來區分有效用戶和無效用戶。
提高雲安全資源可見性的要點:
人員、流程和技術各個環節都注重雲可見性的提升;
在公司範圍內對雲資源使用策略進行強制性培訓;
讓雲安全架構師或第三方風險管理人員查看所有未經批准的雲服務;
投資雲訪問安全代理(CASB)或軟件定義的網關(SDG)來分析出站活動;
投資Web應用程序防火牆以分析入站連接;
在整個組織中實施零信任模型。
濫用和惡意使用雲服務
攻擊者越來越多地使用合法的雲服務來從事非法活動。例如,他們可能使用雲服務在GitHub之類的網站上託管偽裝的惡意軟件,發起DDoS攻擊,分發網絡釣魚電子郵件、挖掘數字貨幣、執行自動點擊欺詐或實施暴力攻擊以竊取憑據。
CSA表示,雲服務提供商應有適當的緩解措施,以防止和發現濫用行為,例如付款工具欺詐或濫用雲服務。對於雲提供商而言,擁有適當的事件響應框架以應對濫用並允許客戶報告濫用也很重要。CSA關於雲服務濫用的主要建議包括:
監控員工的雲服務濫用情況;
使用雲數據丟失防護(DLP)解決方案來監視和停止數據洩露。
文章部分素材來源:安全牛
