SANS协会的2019云安全调查(在新窗口打开)发人深省(你需要注册一个免费会员才能阅读它)。该报告由戴夫·沙克尔福德于2019年4月撰写,陈述了一些令人失望的事实和数据。例如,有人会认为,在最近所有的泄露报告之后,我们会更好地保护我们的云资源。但我们不仅在这方面仍然很糟糕,而且最大的问题甚至不是技术。还是人。在报告中列出的最主要的攻击类型中,可以清楚地看到这一点,首先是帐户或凭证劫持,其次是云服务和资源配置错误。
“证书劫持是一种可靠的访问方法,因为你是在攻击人,”微软安全咨询业务高级经理Mike Sprunger说了解企业(在新窗口打开)“安全咨询业务。“人永远是最薄弱的一环,因为这是你陷入许多传统社会工程问题的地方,比如呼叫帮助台网络钓鱼和鱼叉式网络钓鱼。”
当然,有很多方法可以窃取凭证网络钓鱼仅仅是最新的,在某些情况下,也是最难处理的。但是,凭据也可以从其他泄露的数据中获取,因为人们可以在可能的地方重用相同的凭据,这样他们就不需要记住任何必要的东西。此外,将登录信息写在便利贴上并粘贴在键盘旁的做法仍然很流行。
云服务的错误配置是人是弱点的另一个领域。不同之处在于,人们会在不知道自己在做什么的情况下建立一个云服务,然后他们会用它来存储数据,而不保护数据。
Sprunger解释说:“首先,在采用云计算的过程中,建立云计算是多么容易,以至于存在不切实际的期望。“人们会犯错误,而且不清楚你必须做什么来定义周围的安全容器。"
在安全方面含糊不清是不好的
部分问题就在于此云提供商并没有真正充分地解释他们的安全选项是如何工作的(正如我最近在审查时发现的那样)“基础架构即服务”或IaaS解决方案),因此您必须猜测或向供应商寻求帮助。例如,对于许多云服务,您可以选择打开防火墙。但是,一旦它运行,如何配置它可能不会被清楚地解释。在所有。
这个问题如此严重,以至于SANS报告的作者Shackleford在报告开始时列出了一个未受保护的名单Amazon S3 (Simple Storage Service)(亚马逊的前5gb数据0.00美元)(在新窗口打开)导致数据泄露的桶。他写道:“如果这些数字可信,那么7%的S3存储桶是完全向世界开放的,另外35%的存储桶没有使用加密(内置在服务中)。”我们的测试表明,Amazon S3是一个很棒的存储平台。像这样的问题仅仅是因为用户错误地配置了服务或者完全没有意识到某些功能的存在。
特权滥用是名单上的下一个问题,这是另一个源于人的问题。斯普朗格说,这不仅仅是不满的员工,尽管也包括那些员工。他解释说:“我们错过了很多有特权访问的第三方。”“通过服务帐户访问要容易得多。通常情况下,这是一个拥有单一密码的单一账户,而且没有问责制。”
服务帐户通常提供给第三方,通常是需要访问以提供支持或服务的供应商或承包商。这是一个属于暖通空调(HVAC)承包商的服务帐户,这是导致的弱点目标违约在2014年。斯普朗格说:“这些账户通常拥有上帝般的特权。”他补充说,这些账户是攻击者的主要目标。
克服安全漏洞
那么,如何应对这些漏洞呢?简单的答案是训练,但实际情况要复杂得多。例如,用户需要接受培训,以防范网络钓鱼电子邮件,而且这种培训需要足够完整,以识别即使是细微的网络钓鱼迹象。此外,它还需要包括员工在怀疑自己看到了此类攻击时应该采取的措施。这包括如何查看电子邮件中的链接的真正去向,但它还需要包括报告此类电子邮件的程序。培训需要包括一种信念,即他们不会因为没有按照可疑的电子邮件指示行事而陷入麻烦。
同样,需要有某种程度的公司治理,这样随机的员工就不会出去建立自己的云服务帐户。这包括观看费用报告个人信用卡云服务收费凭证。但这也意味着你需要提供关于如何处理云服务可用性的培训。
处理特权用户滥用
处理特权用户滥用也可能具有挑战性,因为一些供应商将坚持使用广泛的权限访问。您可以通过分割网络来处理其中的一些问题,这样只能访问被管理的服务。例如,对其进行分段,以便HVAC控制器在自己的分段上,负责维护该系统的供应商只能访问网络的那一部分。另一个可以帮助实现这一目标的措施是部署一个健壮的身份管理(IDM)系统,该系统不仅可以更好地跟踪帐户,而且还可以跟踪帐户的所有者及其访问权限。这些系统还允许您更快地暂停访问,并提供帐户活动的审计跟踪。虽然你可以花一大笔钱买一台,但如果你是Windows服务器商店,你可能已经有一台正在运行微软活动目录(AD)(微软Azure售价0.5美元)(在新窗口打开)树启用。
您可能还需要确保供应商具有最低权限访问,以便他们的帐户只授予他们对所管理的软件或设备的权限,而不授予其他权限——这是IDM系统的另一个重要用途。您可以要求他们申请其他任何东西的临时访问权限。
这些只是相当长的安全问题列表中的前几项,值得完整地阅读SANS安全调查报告。它的列表将为您提供解决安全漏洞的方法路线图,并将帮助您认识到可以采取的更多步骤。但底线是,如果您没有对SANS报告的问题采取任何措施,那么您的云安全性将会很糟糕,并且您可能会陷入失败的漩涡,因为您的云会陷入全面破坏的深渊。
对云安全有什么问题吗?加入(电子邮件保护)(在新窗口打开)你可以在领英的讨论组里询问供应商、其他像你一样的专业人士和PCMag的编辑。