2020年12种最大的云威胁和漏洞

近年来，云中的数据泄露、 络犯罪和针对性攻击推动了对云安全产品和服务的需求。特别是见证了许多高级数据泄露，因为多态、自变异代码和规避技术使传统的安全技术和端点保护机制不再有效。

黑客技术和 络间谍技术的日益成熟，有望释放出新的云威胁和漏洞，例如勒索软件、恶意内部人员、DDoS和零日漏洞威胁。该行业还受到地理和行业特定法规的影响，这些法规提供了有关数据治理和隐私的严格规则。

根据Grand View Research的数据，云安全市场预计将以13.9％的复合年增长率增长，到2024年将达到126.3亿美元的市场。由于对 络攻击和企业间谍活动的防范意识逐步增强，北美地区目前占收入的最大份额。

从配置错误的存储桶（storage bucket）和额外特权到自动化攻击及基础设施代码（IoC）模板，以下是技术专家今年担心的12种最大的云威胁和漏洞。

12.众多配置选项

Fortinet云和服务提供商副总裁Matt Pley说，如果组织正确地使用产品和集成，组织就可以成功地导航到共享责任模型。

对于在冠状病毒大流行期间建立远程访问的组织而言，提供一种使用户可以进入并连接到公共云基础架构的方法非常重要。Pley说，可以通过多种不同方式配置云基础架构和身份验证过程。

11.缺乏持续扫描

Alert Logic的首席产品官Onkar Birk表示，由于应用程序不断地迭代更新，客户通常不知道环境中的新项目，而快速部署可能导致问题的快速引入。

Birk说，将应用程序轻松引入环境的过程使公司很难检测和协调周围的安全性。客户通常有多个部门在分解云应用程序，如果公司不完全了解正在发生的事情，则很难对其进行集中管理。

Alert Logic威胁情 产品副总裁Rohit Dhamankar表示，企业应不断进行扫描以确保所有数据都已加密，并且没有可访问的任何后门版本的服务器。Dhamankar经常说，现有的加密算法很弱，最终导致SSL、服务器和无服务器环境容易受到攻击。

10.云功能的互连性

Threat Stack首席安全官Sam Bisbee表示，许多组织不了解如何配置和强化云技术以及云服务如何相互交互的基础知识。虚拟机在云环境中越来越被视为用户，因此正在利用公共云供应商提供的API来请求密钥并更改基础架构。

因此，如果组织遇到威胁，Bisbee说，攻击者可以进行 络呼叫并开始控制基础架构。 络服务之间的相互作用是大多数团队不准备应对的。

对于首次部署Kubernetes的企业，Bisbee建议使用Amazon Elastic Kubernetes服务（EKS），因为它会将对数据完整性和责任转移到了AWS，并且仅要求客户学习少量维护知识。Bisbee说，独自确保容器部署是一项艰巨的任务。

9.缺乏对政策的遵循

趋势科技 络防御和混合云安全执行副总裁Steve Quane表示，组织通常会在文档中编写云安全策略，然后将其移交给DevOps团队，而没有仔细考虑如何制定这些策略。

Quane说，安全团队希望组织中的其他人来配置和实施云安全策略，而DevOps团队不进行手动配置或实施，而希望Terraform脚本或自动化的东西。Quane说，需要使用帐户信息来获取API，但是鉴于大多数组织都有许多不同的帐户所有者，因此不清楚要问谁。

Quane认为，书面政策与实现实施过程自动化的工具之间的鸿沟意味着组织难以了解云中的内容，并无法竭尽全力。考虑到云中错误配置的发生频率，风险是部门正在旋转云中不安全的基础架构，组织中的其他人甚至都不知道。

8.责任分担模式细分

Recorded Future的首席运营官Stu Solomon表示，竞争对手正在利用共享责任模型的细目分类，因为它涉及到数据访问权限和数据标准。他说，在传统的结构化环境中，用户将根据其工作角色或职责被授予对数据的访问权限，而管理员可以监视、维护、控制或管理其访问权限。

Solomon表示，当迁移到云环境中时，必须继续进行数据识别、数据分类以及对个人访问数据的持续审查和确认。有时在迁移过程中可能会忽略对个人访问权限的监视和执行。

Solomon说，迁移通常是由业务和运营决策者在安全团队外部发起和执行的，现在安全从业人员通常都参与该过程。因此，一旦迁移完成并且日常操作恢复到正常水平，数据访问问题就会浮出水面。

7.无服务器和容器环境的配置错误

Check Point负责云SecOps和法规遵从性的产品管理负责人Marina Segal表示，迁移到无服务器和容器环境已经创建了新的边界和新类型的工作负载，组织需要学习如何保护这些工作负载。

由于无服务器环境没有底层基础架构，公司必须确保该功能本身具有正确的定义和策略集，不允许执行恶意活动。根据Segal的说法，在运行时还必须存在一个功能，以分析功能的行为并阻止任何异常情况。

如果未加密的密钥以纯文本形式保留在用户代码中，并且该代码最终存储在公共存储库中或暴露在外，则攻击者可以利用这些密钥到达公司环境中的许多其他地方。Segal说，企业应该利用云本地密钥管理系统，并确保密钥被加密和轮换，而不是将其保留为纯文本形式。

6.数据库的安全缺失

根据Synopsys首席安全策略师Tim Mackey的说法，太多的组织将默认数据库配置保留在原地，因为它们急于使用可能不是原型而是生产状态的工具推向市场。随着公司争夺云中的市场份额，许多公司不需要第三方签收代码更改，也无需在发现任何错误后检查部署。

Mackey说，数据库默认设置或创建数据库的人为保护实例安全所做的努力可能不够充分。因此，公司需要员工方面的专业知识或通过MongoDB，Microsoft SQL Server和Oracle数据库周围的渠道合作伙伴来确保所有数据库实例均已被识别并锁定。

从法规的角度来看，企业必须确保只有需要以未加密形式访问数据的用户才被授予访问权限，以保持对PCI或CCPA的合规性。公司必须做的最大的事情就是确保采取措施对预期的行为进行审计，Mackey说，通过标记潜在的资产泄露或数据泄漏，这将有助于事件响应。

5.基础架构作为代码模板

开发人员越来越多地使用他们在GitHub等地方找到的模板作为其云基础架构的基本构建块，但根据Palo Alto Networks首席安全官Matt Chiodi的说法，将这些模板放入云中通常会导致环境中的配置错误。

Chiodi表示，鉴于正在发生大量的云迁移，DevOps团队已在过去两年中开始使用这些模板来快速构建和扩展。开发人员通常仅在开发环境中使用这些模板，但最终往往会在生产环境中禁用云存储日志记录，这意味着无法识别或归因潜在的安全事件。

根据Chiodi的说法，大多数模板都是通过三步设计、编码和部署过程创建的，而该过程通常并不包括扫描这些模板中是否存在安全问题的第四步。结果，将近200,000个基础结构（因为Code模板）具有高或中等安全漏洞，这可能导致不必要的攻击者暴露。

4.额外特权

Alert Logic的Dhamankar说，太多的组织未能按照云中的最小特权原则进行操作，从而导致太多人被管理员授予对服务和帐户的访问权限的特殊情况。Alert Logic的客户群中有8％到9％在数据库等区域的帐户中拥有过多特权，Dhamankar表示这可能会造成严重麻烦。

Alert Logic的Birk说，云中的许多服务是相互连接的，这意味着只要管理权限允许，一个被利用的口令就可以提供对整个云 络的访问。结果，对云中一个个人帐户的破坏或攻击可能导致更大程度的利用。

与其他类似角色的用户相比，组织必须检查用户行为是否存在违规行为。Dhamankar认为，公司还应该考虑用户过去拥有哪些特权，并利用机器学习来分析什么构成该特定用户的正常行为。

3.安全团队本身

趋势科技云研究副总裁Mark Nunnikhoven表示，传统的安全保护方法直接与云的使用方式冲突，并且安全部门不再期望成为部门的守门人，因为部门可以随便处理事情。即使错误和配置错误会带来更多麻烦，安全团队也往往过于担心零日漏洞威胁。

Nunnikhoven说，安全团队经常以傲慢或过分专注于攻击而碰到其他部门，尤其是在没有业务上下文支持的情况下。而且，安全团队经常发现以他们一贯的方式做事变得更容易，因为他们一直处于消防模式，并且感觉好像他们没有足够的时间让自己陷入困境。

Nunnikhoven说，安全团队必须通过教育、培训和通知其他部门成为他们自己组织中值得信赖的资源。据Nunnikhoven称，他们还应该使实施DevOps理念的团队能够以自动化的方式提供安全性，从而以与团队运作方式兼容的方式检查错误配置。

2.不良行为体的进入门槛低

根据Recorded Future的Solomon的说法，云中计算和存储功能的普遍存在和可用特性为那些希望利用云环境进行恶意或不法行为的人们降低了进入门槛。

首先，Solomon表示，云可以用作攻击的起点，因为它为攻击者提供了一个相对匿名的环境来组织可轻易设置或分解的邪恶活动。其次，不良行为者可以轻松地在云中建立或停止计算功能，从而使其能够托管基础设施或计算机功能，以进行从DDoS攻击到 络钓鱼活动的恶意活动。

Solomon说，具有重要云职责或关键访问权限的员工也成为威胁行体的重要攻击目标。黑客可以在安全性低于预期的公共或混合云场景中劫持特权访问通信或流。

1.自动化攻击

Threat Stack的Bisbee认为，随着软件价格的降低，攻击者构建质量的提高，客户使更多的系统联机以及环境变得更加复杂，云中的自动攻击变得更加容易和流行。

Bisbee说，任何开发人员只需刷卡即可将系统放置在Internet，这为自动攻击创造了绝佳的机会。Bisbee说，软件的进步使攻击者更容易进行大规模数据处理和收集，并且在政策文件说事情有效与实际运行之间经常存在差距。

为了防御自动攻击，Bisbee说组织必须知道所有系统的位置，正在运行的系统以及正常状态。企业还必须在防御中采用自动化，并利用软件工程功能自动隔离和遏制潜在事件，以便人们有更多时间进行调查。

原文链接
https://www.crn.com.au/news/12-biggest-cloud-threats-and-vulnerabilities-in-2020-549025

【闲人闲话】云安全是一个复杂的系统工程，涉及云计算基础设施、操作系统、应用、数据、虚拟化等多个维度，好用易用与安全之间的权衡、取舍、协调是永恒的主题。虽然云安全责任共担这个模式在业界也已经达成了共识，无论是IaaS、PaaS、还是SaaS模式，云计算提供商承担一部分，云上客户承担另一部分，像亚马逊AWS、微软Azure、阿里云、华为云均采用这种模式。但出现敏感数据泄露、被勒索这种事件，用户的直接、间接损失仍然难以挽回。12种最大的威胁和漏洞，再次为云安全敲响警钟。关口前移，防串于未然。