将敏感数据存储在云中的概念曾被视为荒谬可笑。现在,随着更大的存储空间、更低的成本和更高的性能,企业正在以指数级的速度进入云安全领域。然而,如此巨大的好处也伴随着严重的风险。
数据泄露的财务风险
由于云中的机密数据数量巨大,攻击者的目标是从小型企业到大公司的各种云基础设施,包括CapitalOne等财富500强公司,该公司在2019年成为2.7亿美元数据泄露的受害者。最近,在2022年5月,一家名为Pegasus的航空公司拥有一个开放的S3存储桶(一种用于存储数据的亚马逊云存储服务),其中包含6.5TB的敏感数据,包括明文密码、源代码和PII。
2021年,云漏洞的平均成本计算为七位数,其中公共云基础设施约为480万美元,私有云基础设施为455万美元,混合云基础设施(公共和私有混合)为361万美元。在这些数据中,发现94%的企业使用云,其中91%使用公共云服务,如AWS(Amazon Web Services)、Azure或GCP(Google Cloud Provider)。
由于新冠肺炎的存在,公司转向了远程工作方式,这也增加了员工的在线参与度。这导致数据泄露的严重性增加。平均而言,拥有81%-100%远程员工的公司估计会因数据泄露而损失554万美元(比远程工作不是数据泄露因素的公司高出100多万美元)。
云仍处于初级阶段,因此企业基础设施中存在的严重和高度严重的漏洞让人想起互联网早期阶段内部环境中存在的简单漏洞。
公有云的复杂性
这些漏洞的存在不仅是因为云基础设施是一个新概念,还因为云本身的复杂性。公共云通常由两种不同的职责组成:
◎客户责任-云中的安全
◎公共云服务责任-云的安全
云服务提供商负责确保其数据中心不受数据泄露的影响。因此,这些数据中心无懈可击,并实施安全最佳实践。然而,尽管公有云服务具有安全性,但当客户使用公有云服务构建自己的基础设施时,可能会出现严重的漏洞。公共云服务为客户提供了许多不同的使用案例,了解他们希望如何定制其基础架构,而这种能力很容易导致配置不安全。
-1024x683.jpg)
资源匮乏
云的复杂性导致对云安全工程师的需求激增。新冠肺炎的流行加剧了这一需求,它增加了在线人气。然而,安全工程师的供应远远落后于需求,随着针对云基础设施的攻击不断增加,这种失衡正变得更加极端。
如何保护云环境
仅靠安全工程师不能承担整个云基础设施的重量,因为它的安全性仅限于其最薄弱的环节。在云环境中找到这样一个薄弱环节类似于大海捞针,因为错误配置通常隐藏在数百甚至数千个策略、身份和实例。
因此,对公司的云基础设施执行渗透测试(模拟攻击)变得极其重要。这一领域训练有素的专业人员习惯于在此类环境中找到薄弱环节,进行验证,并直接向他们的联络点报告,以便在恶意行为者利用这些漏洞之前对其进行修补。
-1024x645.jpg)
没有遵循最低特权原则:云环境的配置通常不正确,无法提供比必要的更多访问。
开发不安全的应用程序和功能:不安全的应用程序和功能可为攻击者提供一条利用漏洞进入云环境的途径。
如果更高权限的身份或角色受到损害(例如通过损害VM),则可以在云环境中提升权限:安全组配置不正确,允许的流量超过必要的数量。
云基础设施很容易配置错误,这可能会导致极端的后果。因此,每次应用重大更改时,都应该测试云基础设施的安全态势。
为什么选择SSC
在SecurityScorecard,您的安全状况可以从所有角度进行测试和加强,从云到外部、内部、移动、网络和Wi-Fi基础设施。SecurityScorecard的渗透测试服务确保您的环境安全,同时帮助您实现合规。在网络安全问题上,这句格言“最好的防御是最好的进攻”比以往任何时候都更加正确。
