如何看待當今的云威脅
企業繼續盲目地采用云計算,但研究表明,IT領導者和決策者對他們的組織理解所有風險的能力感到不安——與此同時,網絡犯罪分子也一直在密切地關注著他們。
安全團隊面臨的部分問題是,云威脅范式仍然沒有被完全理解(盡管如果處理得當,云可以比大多數本地環境更安全)。
談到云,這算是新的威脅,還是只是針對相對較新的資產的熟悉的舊威脅?您的對手未來的潛力是什么?您的安全運營團隊要如何做才能領先于這個快速發展的局面?
對于許多組織來說,云仍然是一個“陌生的土地”,因為它是一個環境,也是一個攻擊面,看起來與傳統數據中心有很大不同,包括以下方面:
- 云是短暫的、可擴展的:短期資產在云中占主導地位,由于其短暫性,它們顯然很容易管理和忽略。
- 云是 API 驅動的:隨著越來越多的系統和資產的云遷移,企業正在使用應用程序編程接口調用作為他們的數字“店面”來連接客戶和合作伙伴——但這已經引起了網絡犯罪分子的興趣。
- 云的身份層至關重要:在公共云、混合云和多云環境(存在大量身份和權利)中保護特權比控制傳統數據中心邊界的訪問要復雜得多。
- 云中的日志記錄規模要大得多:由于 SOC 團隊已經被警報壓得喘不過氣來,云環境只會加劇這種負擔。但是,在云世界中,并不能保證收集日志并確保正確的日志進入 SIEM,這主要是由于不常用的日志收集方法(與本地系統相比)。
雖然這些特征可能看起來很陌生,但目前影響云環境的威脅仍然存在——至少目前如此——與 SOC 團隊通常遇到的威脅差不多。為了更好地理解“威脅獵人”在云端觀察到什么,谷歌云安全播客最近邀請了谷歌云合作伙伴Lacework的安全研究主管詹姆斯·康登(James Condon)進行了一次有趣的對話。點擊下方,即可收聽完整播客(相關聽譯參考社群分享):
根據 Lacework最近的一份研究報告(相關報告參考社群分享),他回答了幾個關于云計算威脅狀態的關鍵問題。以下是他回答的轉述。
1. 對手在云中追求什么?
雖然在云中實現任務的高級策略是相同的(初始訪問/橫向移動/特權升級),但所使用的技術和最終目標可能不同。例如,在分析對企業網絡的傳統攻擊時,知識產權通常是目標,而網絡釣魚和社會工程通常是不法分子獲得初始訪問權限的手段。但是,當涉及到云時,攻擊者通常針對易受攻擊的面向 Web 的應用程序和配置錯誤的服務器、Web 應用程序或存儲桶,而且只關注經濟利益,這可以通過加密貨幣挖礦和加密劫持的持續激增來證明,加密挖掘和加密劫持是一種在云中特別可擴展的攻擊類型。
2. 為什么云中的錯誤配置和漏洞會如此頻繁地發生?
攻擊者通常會選擇阻力最小的路徑來識別和傷害他們的受害者,并將相同的思維方式帶入云端。這就是為什么錯誤配置和漏洞是攻擊的首選發射臺。錯誤配置的危險已被充分記錄(例如,不小心將私有存儲桶公開),并且通常被列為組織面臨的最大云風險。由于許多企業依賴大量第三方代碼來構建SaaS應用程序,漏洞也經常發生。這造成了漏洞管理的噩夢,因為漏洞通常難以解決和劃分優先級,特別是當它們存在于捆綁到多個不同發行版的應用程序中。
3. 云中的勒索軟件和其他惡意軟件情況如何?
Condon 說,雖然由于配置錯誤導致的威脅不如數據泄漏那么多,但針對云的惡意軟件攻擊,例如容器逃逸攻擊和加密蠕蟲,“正在人們的雷達下冒泡”。
其中包括勒索軟件,這可以說是安全團隊面臨的最緊迫的威脅,盡管云勒索軟件攻擊者的做法通常是通過訪問云控制平面,下載敏感數據,并威脅如果不付款就公布信息(相對于用加密方式鎖定系統或數據訪問,直到支付贖金)。在云端執行備份和其他災難恢復更容易,這使得傳統的勒索軟件攻擊的利潤更低。因此,大多數勒索軟件供應商將繼續以本地系統為目標,因為通過凍結受害者組織的業務來迫使其停止運作,可以賺到更多的錢。
另一個需要密切關注的犯罪動機是通過地下市場出售云賬戶訪問權。價格將取決于諸如帳戶中有多少存儲桶以及它們包含什么類型的數據等。
4. 組織機構如何在云中保持彈性?
盡管云計算可能是一個新的前沿領域——至少與典型的企業邊界相比——保護它是一個和信息安全時代一樣古老的故事:預先計劃安全,而不是事后才考慮。在云安全的背景下,這意味著投資于治理、風險和遵從性(GRC)團隊,以幫助您的組織確定如何存儲和處理敏感數數據,以及聘請熟練的分析師和工程師,他們將擴展云安全控制作為優先事項。
Condon警告說,“在你需要之前”做這一切。組織機構不應該對這一建議感到驚訝。從軟件開發到員工文化,那些從一開始就考慮安全性的企業通常都更有能力應對攻擊。
Google Cloud 如何提供幫助
您使用的公共云平臺也很重要。云能否像本地環境一樣安全?你打賭。谷歌Cloud的基線安全架構遵循零信任原則——即每個網絡、設備、個人和服務在證明自己之前都是不可信的。它還依賴于深度防御,具有多層控制和功能,以防止配置錯誤和攻擊的影響。此外,Chronicle SIEM和Siemplify SOAR等云原生技術可以以前所未有的速度和規模提供現代威脅檢測、調查和響應。
