如何防范最大的云安全威脅？

IBM公司最近公布了一項全球范圍的研究結(jié)果，該研究發(fā)現(xiàn)2021年的數(shù)據(jù)泄露事件使這些受害的企業(yè)平均損失424萬美元。對于IBM公司來說，這是其發(fā)布年度調(diào)查報告17年來統(tǒng)計的最高成本。

網(wǎng)絡攻擊者時刻致力于破解企業(yè)和個人的系統(tǒng)并破壞和竊取數(shù)據(jù)。在許多情況下，企業(yè)內(nèi)部員工無意中導致數(shù)據(jù)泄露或遭受網(wǎng)絡攻擊。

大多數(shù)企業(yè)發(fā)生數(shù)據(jù)泄露的事件都是簡單的錯誤配置或人為錯誤。當安全管理員或最終用戶未能正確設置某些安全屬性時，就會發(fā)生這種情況。因此，對云中的計算服務器或存儲服務器的訪問是完全開放的，并且容易受到破壞。

網(wǎng)絡安全服務商McAfee公司在最近的一份調(diào)查報告中，將云計算漏洞的興起與多云采用的狀態(tài)聯(lián)系起來。調(diào)查發(fā)現(xiàn)，近年來，將近70%的數(shù)據(jù)泄露的文件(總計54億條)是由于云服務配置錯誤導致的無意泄露造成的。

更令人擔憂的是，McAfee公司發(fā)現(xiàn)這些錯誤配置中的大多數(shù)都未被報告，并且在許多情況下未被注意到。這表明其核心問題是內(nèi)部人員錯誤配置或無意泄露，很容易受到網(wǎng)絡攻擊。更重要的是，當發(fā)現(xiàn)錯誤時，它們往往會被忽視或掩蓋，因為這會導致糟糕的公關(guān)，或者是員工為了避免受到紀律處分。

云安全中人為錯誤的原因

那么，企業(yè)的員工在設置云安全時會犯哪些錯誤呢?導致錯誤的原因有很多，以下是最常見的兩個：

(1)缺乏網(wǎng)絡安全方面的培訓或安全經(jīng)驗

很明顯，大多數(shù)無意中泄露數(shù)據(jù)或錯誤配置和其他錯誤可以追溯到員工對安全設置如何工作缺乏了解。這甚至包括缺乏關(guān)于如何重新配置默認安全參數(shù)的知識，這些知識通常足以阻止外部入侵者的攻擊。

換句話說，網(wǎng)絡攻擊者通?？梢岳@過云計算提供商創(chuàng)建的默認安全設置來暴露數(shù)據(jù)。保留默認安全參數(shù)(有時是文字)相當于使用“admin”作為密碼的行為。

這將是一個持續(xù)存在的問題，因為需要云安全技能的空缺職位太多，而合格的應聘者很少。在許多情況下，企業(yè)雇用了一些經(jīng)驗較少、未經(jīng)培訓的員工。其結(jié)果是，此類錯誤將變得更加普遍。

(2)云計算供應商服務更新很快

由于按需提供云計算服務，并且云計算供應商不斷改進他們的云計算服務，包括安全性，因此安全設置的工作方式經(jīng)常發(fā)生變化。但企業(yè)的員工經(jīng)常忽略更新他們的知識和軟件，通常是因為他們忙于其他工作而沒有足夠的時間關(guān)注。

當某些事情發(fā)生變化并且需要更新設置時，它們不會得到更新。這導致客戶無法跟上云計算供應商對其安全功能和設置的更新，而出現(xiàn)數(shù)據(jù)泄露的風險。

例如在一個數(shù)據(jù)泄露事件中，云計算供應商的客戶自動選擇退出加密，并沒有仔細閱讀并接受協(xié)議。黑客利用了大多數(shù)客戶最初關(guān)閉加密功能的事實，他們發(fā)現(xiàn)可以輕松訪問基于云的數(shù)據(jù)。

有人提出，云計算供應商應該放慢軟件或云計算服務的更新速度，讓客戶的安全人員跟上其發(fā)展步伐。這種方法會產(chǎn)生一系列問題，尤其是當云計算供應商對修復已知漏洞猶豫不決時。與其相反，企業(yè)和云計算供應商需要更好地協(xié)調(diào)，以更好地適應這些變化。

如何防范云安全錯誤

企業(yè)需要采取哪些措施來避免云安全配置錯誤和其他可能導致違規(guī)的錯誤，其責任在于客戶。

然而，云計算供應商還需要意識到他們在解決方案中扮演的角色。最后，需要更加耦合的協(xié)調(diào)來解決這個問題。

以下是企業(yè)可以關(guān)注的幾件事：

(1)同行認可的配置

要求同行審查安全設置并確認其正確性。這意味著找到另一位云安全管理員來查看企業(yè)的安全措施并確保沒有遺漏任何內(nèi)容。

圍繞這一點的問題包括同行可能比較熟悉的，從而忽視了真正審查設置。或者有些居心不良的員工可能故意讓同事難堪。

(2)自動配置檢查和測試

一個更好的解決方案是使用自動安全檢查和審計來發(fā)現(xiàn)設置和其他配置的問題，從而將工作人員從流程中完全移除。

這樣做的好處是，這些配置檢查可以在不到一分鐘的時間內(nèi)完成，并直接向最初負責配置錯誤的人員報告。他們可以迅速解決問題，而無需通知其他人。

企業(yè)可以在DevOps的世界中找到許多此類工具，安全測試在其中很常見。這只是將DevOps測試理念擴展到安全配置以及應用程序和數(shù)據(jù)，確保刪除盡可能多的漏洞。但是，企業(yè)必須在工具以及技能和培訓方面進行投資。否則，最終會遇到本應解決的相同的問題。

云安全最大的挑戰(zhàn)是什么?

如今，企業(yè)的首席信息安全官和首席信息官一直擔憂網(wǎng)絡安全。然而，圍繞系統(tǒng)安全的人為錯誤是一個更大的問題。對于大多數(shù)企業(yè)來說，這是一個安全秘密，因為犯錯的員工并不承認錯誤，并且在發(fā)現(xiàn)錯誤時不報告。這是根據(jù)上述調(diào)查得出的一些結(jié)論。

所以，企業(yè)首先承認有問題。接下來，通過識別和理解核心問題，最終采取措施。