企業依賴雲服務(wù)來容納快速增長(cháng)的服務(wù)數量,确保安(ān)全是重中(zhōng)之重,然而,大多(duō)數雲采用(yòng)者很(hěn)快意識到,遷移到動态雲環境需要新(xīn)的和更新(xīn)的安(ān)全措施,以确保數據和其他(tā)關鍵資産(chǎn)在整個在線(xiàn)基礎設施中(zhōng)保持安(ān)全。為(wèi)了确保企業資産(chǎn)的安(ān)全,我們列出了當今的主要雲威脅以及如何防範它們。
1. 人為(wèi)錯誤
常見的員工(gōng)錯誤導緻了大多(duō)數安(ān)全事件,造成了原本可(kě)以通過強大安(ān)全态勢覆蓋的漏洞。
“将雲資産(chǎn)暴露在不安(ān)全狀态下……或點擊釣魚鏈接,都可(kě)能(néng)讓威脅行為(wèi)者侵入公(gōng)司的雲環境,這些方法比傳統的攻擊方法更難檢測到,”國(guó)防和安(ān)全技(jì )術提供商(shāng)Thales的數據安(ān)全産(chǎn)品全球負責人Todd Moore表示,“這本質(zhì)上讓黑客自己邀請自己進入,繞過了安(ān)全措施。”
雲環境本身的複雜性增加了人為(wèi)錯誤的風險,尤其是在當今不斷增長(cháng)的多(duō)雲世界中(zhōng),Moore指出。“更多(duō)的雲環境有(yǒu)不同的規則和安(ān)全措施,留出了更多(duō)的安(ān)全漏洞空間,而人類始終是需要考慮的一個不變變量。”
Moore認為(wèi),唯一能(néng)對抗人為(wèi)錯誤風險的方法是采用(yòng)定期培訓。“這可(kě)以通過建立的培訓周期來幫助用(yòng)戶了解風險,尋找異常的迹象,并制定他(tā)們必須遵循的公(gōng)司所有(yǒu)網絡、設備和賬戶上的流程和協議。”
2. 雲輔助惡意軟件
雲輔助惡意軟件是一種日益增長(cháng)的威脅,特别是因為(wèi)釣魚郵件和巧妙的誘餌繼續成為(wèi)惡意軟件傳播的熱門方法,網絡安(ān)全技(jì )術提供商(shāng)Securonix的威脅研究副總裁Oleg Kolesnikov表示。最近發現的一種利用(yòng)多(duō)雲的威脅——CLOUD#REVERSER——是一條感染鏈,使用(yòng)谷歌雲端硬盤和Dropbox等雲存儲服務(wù)來部署惡意軟件,進一步突顯了這一威脅的嚴重性。
用(yòng)戶需要被提醒攻擊者用(yòng)來欺騙受害者執行惡意軟件的策略,Kolesnikov說。“一如既往,用(yòng)戶應該對未經請求的電(diàn)子郵件保持謹慎,尤其是當電(diàn)子郵件帶有(yǒu)緊迫感時。”
用(yòng)戶還應該被警告避免從外部來源下載文(wén)件或附件,特别是如果來源未經請求。為(wèi)了防範雲輔助惡意軟件,Kolesnikov建議部署強大的端點日志(zhì)記錄能(néng)力,并利用(yòng)額外的過程級日志(zhì)記錄,如Sysmon和PowerShell日志(zhì)記錄,以提供額外的日志(zhì)檢測覆蓋。
3. 數據盜竊
目前領先的雲安(ān)全威脅是數據盜竊,影響混合雲和由混合基礎設施提供支持的AI系統,IBM雲安(ān)全CTO Nataraj Nagaratnam表示,他(tā)指出,IBM最近的一項調查發現,近三分(fēn)之一的報告事件與數據盜竊或洩漏有(yǒu)關。
數據盜竊特别危險,因為(wèi)它帶來了各種風險。除了直接的數據威脅外,它還使企業面臨聲譽損害、AI漏洞、監管風險和許多(duō)其他(tā)危險,所有(yǒu)這些都威脅着組織的底線(xiàn)、客戶信任和競争地位。
随着對AI的興趣迅速增長(cháng),Nagaratnam預測AI将成為(wèi)新(xīn)威脅的肥沃目标。“網絡犯罪分(fēn)子正在開發複雜且經濟高效的工(gōng)具(jù),以攻擊AI解決方案及其承載的有(yǒu)價值數據,”他(tā)警告說,“确保數據安(ān)全和完整性需要一種戰略性的、綜合的方法,結合強大的安(ān)全協議、嚴格的訪問控制和跨雲和AI生态系統的主動威脅情報。”
4. 憑證盜竊
也許最大的雲安(ān)全威脅是憑證盜竊,安(ān)全技(jì )術提供商(shāng)Lookout的執行副總裁Aaron Cockerill表示,他(tā)指出,憑證盜竊是數據洩露中(zhōng)攻擊者采取的主要初始向量攻擊威脅。
憑證盜竊是一種特别狡猾且危險的威脅,因為(wèi)當進入雲基礎設施的人使用(yòng)合法憑證時,很(hěn)難區(qū)分(fēn)授權和未經授權的訪問。“一旦威脅行為(wèi)者滲透到你的系統中(zhōng),他(tā)們可(kě)以在幾分(fēn)鍾内造成嚴重破壞,留給組織的檢測和響應時間窗口非常小(xiǎo)。”Cockerill說。
為(wèi)了對抗憑證盜竊,Cockerill建議組織采用(yòng)分(fēn)層安(ān)全方法。第一層是建立強大的身份和用(yòng)戶訪問程序。“這包括實施強多(duō)因素認證,”他(tā)說。第二層是監控暗網,并制定應對社會工(gōng)程學(xué)的策略。
5. 訪問管理(lǐ)不善
一個主要的安(ān)全威脅是各種IT團隊(如DevOps和應用(yòng)程序開發人員)管理(lǐ)不當的雲訪問,這些團隊可(kě)能(néng)缺乏必要的安(ān)全培訓,安(ān)全策略管理(lǐ)公(gōng)司Tufin的現場CTO Erez Tadmor表示。
“與由網絡安(ān)全團隊嚴格控制訪問的傳統網絡和數據中(zhōng)心不同,雲環境将訪問職責分(fēn)配給多(duō)個角色,”他(tā)解釋說,“這增加了人為(wèi)錯誤的風險,例如開發人員無意中(zhōng)授予雲存儲桶過于廣泛的權限。”
Tadmor建議實施嚴格的網絡訪問控制政策,并為(wèi)所有(yǒu)參與雲管理(lǐ)的人員提供全面的安(ān)全培訓。“建立護欄允許團隊(如DevOps和應用(yòng)程序開發人員)在他(tā)們的領域内工(gōng)作(zuò),同時為(wèi)網絡安(ān)全專家提供必要的監督。”
通過抽象層管理(lǐ)雲網絡安(ān)全政策,非安(ān)全專家可(kě)以更容易理(lǐ)解和遵守安(ān)全要求,Tadmor說。
“抽象層應該關注基礎設施層中(zhōng)的配置錯誤,能(néng)夠實時警報政策違規行為(wèi)并确保及時整改,”他(tā)解釋說,“這種方法保持了強大的安(ān)全性,平衡了操作(zuò)自由和嚴格監督,以有(yǒu)效減輕内部威脅。”
6. DoS和DDoS攻擊
基于雲的環境為(wèi)DoS和DDoS攻擊者創造了一個誘人的目标,這樣的攻擊長(cháng)期以來一直是主要的雲安(ān)全威脅,卡内基梅隆大學(xué)軟件工(gōng)程研究所的高級解決方案工(gōng)程師Rhonda Brown觀察到。不幸的是,這些攻擊在短期内沒有(yǒu)消失的迹象。
DoS和DDoS攻擊都是資源消耗攻擊,專門設計用(yòng)來破壞或完全禁用(yòng)合法活動。雖然它們可(kě)能(néng)不會導緻數據洩露,但它們可(kě)以導緻關鍵操作(zuò)延遲或使所有(yǒu)操作(zuò)停止。Brown解釋說:“這些延遲是通過耗盡所有(yǒu)帶寬、磁盤空間或内存容量來實現的。”
Brown說,許多(duō)雲服務(wù)提供基本的默認保護以防止網絡洪水攻擊,并以額外費用(yòng)提供增強的安(ān)全性。此外,一些服務(wù)提供商(shāng)還提供過濾服務(wù),可(kě)以在發生攻擊時請求使用(yòng)。
Brown建議,基本的網絡衛生措施也可(kě)以減少攻擊的損害。有(yǒu)效的做法包括強大的網絡安(ān)全和監控,以及部署入侵檢測系統,以檢測突然爆發的不尋常流量。
7. 數據外流
數據外流是一個常常被忽視但卻非常重要的雲安(ān)全威脅。技(jì )術研究和咨詢公(gōng)司ISG的首席顧問John Henley說:“數據外流是指數據從雲環境電(diàn)子傳輸到未經授權的外部位置,這可(kě)能(néng)通過多(duō)種方式發生,包括漏洞利用(yòng)、配置錯誤或憑證洩露。”
數據外流可(kě)能(néng)導緻敏感信息的盜竊,例如個人身份數據、财務(wù)信息、知識産(chǎn)權或公(gōng)司機密數據。Henley警告說:“數據外流對監控、補救和法律行動的影響可(kě)能(néng)是長(cháng)期和廣泛的。”
對手可(kě)能(néng)使用(yòng)被盜的知識産(chǎn)權或商(shāng)業秘密獲得競争優勢,從而導緻未來市場份額的流失或市場主導地位的取得。同時,操作(zuò)中(zhōng)斷可(kě)能(néng)導緻停機、生産(chǎn)力損失以及重建操作(zuò)的費用(yòng)。
版權聲明:本文(wén)版權歸原作(zuò)者所有(yǒu),若涉及版權問題請原作(zuò)者聯系我們,會24小(xiǎo)時内删除并表示歉意。