如何防範最大的雲安全威脅
轉載自 雲計算D1net 原創 David LinthicumIBM公司最近公佈了一項全球範圍的研究結果,該研究發現2021年的數據泄露事件使這些受害的企業平均損失424萬美元。對於IBM公司來說,這是其發佈年度調查報告17年來統計的最高成本。網絡攻擊者時刻致力於破解企業和個人的系統並破壞和竊取數據。在許多情況下,企業內部員工無意中導致數據泄露或遭受網絡攻擊。大多數企業發生數據泄露的事件都是簡單的錯誤配置或人爲錯誤。當安全管理員或最終用戶未能正確設置某些安全屬性時,就會發生這種情況。因此,對雲中的計算服務器或存儲服務器的訪問是完全開放的,並且容易受到破壞。網絡安全服務商McAfee公司在最近的一份調查報告中,將雲計算漏洞的興起與多雲採用的狀態聯繫起來。調查發現,近年來,將近70%的數據泄露的文件(總計54億條)是由於雲服務配置錯誤導致的無意泄露造成的。更令人擔憂的是,McAfee公司發現這些錯誤配置中的大多數都未被報告,並且在許多情況下未被注意到。這表明其核心問題是內部人員錯誤配置或無意泄露,很容易受到網絡攻擊。更重要的是,當發現錯誤時,它們往往會被忽視或掩蓋,因爲這會導致糟糕的公關,或者是員工爲了避免受到紀律處分。雲安全中人爲錯誤的原因那麼,企業的員工在設置雲安全時會犯哪些錯誤呢?導致錯誤的原因有很多,以下是最常見的兩個:(1)缺乏網絡安全方面的培訓或安全經驗很明顯,大多數無意中泄露數據或錯誤配置和其他錯誤可以追溯到員工對安全設置如何工作缺乏瞭解。這甚至包括缺乏關於如何重新配置默認安全參數的知識,這些知識通常足以阻止外部入侵者的攻擊。換句話說,網絡攻擊者通常可以繞過雲計算提供商創建的默認安全設置來暴露數據。保留默認安全參數(有時是文字)相當於使用“admin”作爲密碼的行爲。這將是一個持續存在的問題,因爲需要雲安全技能的空缺職位太多,而合格的應聘者很少。在許多情況下,企業僱用了一些經驗較少、未經培訓的員工。其結果是,此類錯誤將變得更加普遍。(2)雲計算供應商服務更新很快由於按需提供雲計算服務,並且雲計算供應商不斷改進他們的雲計算服務,包括安全性,因此安全設置的工作方式經常發生變化。但企業的員工經常忽略更新他們的知識和軟件,通常是因爲他們忙於其他工作而沒有足夠的時間關注。當某些事情發生變化並且需要更新設置時,它們不會得到更新。這導致客戶無法跟上雲計算供應商對其安全功能和設置的更新,而出現數據泄露的風險。例如在一個數據泄露事件中,雲計算供應商的客戶自動選擇退出加密,並沒有仔細閱讀並接受協議。黑客利用了大多數客戶最初關閉加密功能的事實,他們發現可以輕鬆訪問基於雲的數據。有人提出,雲計算供應商應該放慢軟件或雲計算服務的更新速度,讓客戶的安全人員跟上其發展步伐。這種方法會產生一系列問題,尤其是當雲計算供應商對修復已知漏洞猶豫不決時。與其相反,企業和雲計算供應商需要更好地協調,以更好地適應這些變化。如何防範雲安全錯誤企業需要採取哪些措施來避免雲安全配置錯誤和其他可能導致違規的錯誤,其責任在於客戶。然而,雲計算供應商還需要意識到他們在解決方案中扮演的角色。最後,需要更加耦合的協調來解決這個問題。以下是企業可以關注的幾件事:(1)同行認可的配置要求同行審查安全設置並確認其正確性。這意味着找到另一位雲安全管理員來查看企業的安全措施並確保沒有遺漏任何內容。圍繞這一點的問題包括同行可能比較熟悉的,從而忽視了真正審查設置。或者有些居心不良的員工可能故意讓同事難堪。(2)自動配置檢查和測試一個更好的解決方案是使用自動安全檢查和審計來發現設置和其他配置的問題,從而將工作人員從流程中完全移除。這樣做的好處是,這些配置檢查可以在不到一分鐘的時間內完成,並直接向最初負責配置錯誤的人員報告。他們可以迅速解決問題,而無需通知其他人。企業可以在DevOps的世界中找到許多此類工具,安全測試在其中很常見。這只是將DevOps測試理念擴展到安全配置以及應用程序和數據,確保刪除儘可能多的漏洞。但是,企業必須在工具以及技能和培訓方面進行投資。否則,最終會遇到本應解決的相同的問題。雲安全最大的挑戰是什麼?如今,企業的首席信息安全官和首席信息官一直擔憂網絡安全。然而,圍繞系統安全的人爲錯誤是一個更大的問題。對於大多數企業來說,這是一個安全秘密,因爲犯錯的員工並不承認錯誤,並且在發現錯誤時不報告。這是根據上述調查得出的一些結論。所以,企業首先承認有問題。接下來,通過識別和理解核心問題,最終採取措施。(來源:企業網D1Net)