虹科分享 | 拒絕成為云安全領(lǐng)域的數(shù)據(jù)泄露的受害者

將敏感數(shù)據(jù)存儲在云中的概念曾被視為荒謬可笑。現(xiàn)在，隨著更大的存儲空間、更低的成本和更高的性能，企業(yè)正在以指數(shù)級的速度進入云安全領(lǐng)域。然而，如此巨大的好處也伴隨著嚴重的風險。

No.1數(shù)據(jù)泄露的財務(wù)風險

由于云中的機密數(shù)據(jù)數(shù)量巨大，攻擊者的目標是從小型企業(yè)到大公司的各種云基礎(chǔ)設(shè)施，包括CapitalOne等財富500強公司，該公司在2019年成為2.7億美元數(shù)據(jù)泄露的受害者。最近，在2022年5月，一家名為Pegasus的航空公司擁有一個開放的S3存儲桶(一種用于存儲數(shù)據(jù)的亞馬遜云存儲服務(wù))，其中包含6.5TB的敏感數(shù)據(jù)，包括明文密碼、源代碼和PII。

2021年，云漏洞的平均成本計算為七位數(shù)，其中公共云基礎(chǔ)設(shè)施約為480萬美元，私有云基礎(chǔ)設(shè)施為455萬美元，混合云基礎(chǔ)設(shè)施(公共和私有混合)為361萬美元。在這些數(shù)據(jù)中，發(fā)現(xiàn)94%的企業(yè)使用云，其中91%使用公共云服務(wù)，如AWS(Amazon Web Services)、Azure或GCP(Google Cloud Provider)。

由于新冠肺炎的存在，公司轉(zhuǎn)向了遠程工作方式，這也增加了員工的在線參與度。這導致數(shù)據(jù)泄露的嚴重性增加。平均而言，擁有81%-100%遠程員工的公司估計會因數(shù)據(jù)泄露而損失554萬美元(比遠程工作不是數(shù)據(jù)泄露因素的公司高出100多萬美元)。

云仍處于初級階段，因此企業(yè)基礎(chǔ)設(shè)施中存在的嚴重和高度嚴重的漏洞讓人想起互聯(lián)網(wǎng)早期階段內(nèi)部環(huán)境中存在的簡單漏洞。

No.2公有云的復(fù)雜性

這些漏洞的存在不僅是因為云基礎(chǔ)設(shè)施是一個新概念，還因為云本身的復(fù)雜性。公共云通常由兩種不同的職責組成：

◎客戶責任-云中的安全

◎公共云服務(wù)責任-云的安全

云服務(wù)提供商負責確保其數(shù)據(jù)中心不受數(shù)據(jù)泄露的影響。因此，這些數(shù)據(jù)中心無懈可擊，并實施安全最佳實踐。然而，盡管公有云服務(wù)具有安全性，但當客戶使用公有云服務(wù)構(gòu)建自己的基礎(chǔ)設(shè)施時，可能會出現(xiàn)嚴重的漏洞。公共云服務(wù)為客戶提供了許多不同的使用案例，了解他們希望如何定制其基礎(chǔ)架構(gòu)，而這種能力很容易導致配置不安全。

No.3資源匱乏

云的復(fù)雜性導致對云安全工程師的需求激增。新冠肺炎的流行加劇了這一需求，它增加了在線人氣。然而，安全工程師的供應(yīng)遠遠落后于需求，隨著針對云基礎(chǔ)設(shè)施的攻擊不斷增加，這種失衡正變得更加極端。

No.4如何保護云環(huán)境

僅靠安全工程師不能承擔整個云基礎(chǔ)設(shè)施的重量，因為它的安全性僅限于其最薄弱的環(huán)節(jié)。在云環(huán)境中找到這樣一個薄弱環(huán)節(jié)類似于大海撈針，因為錯誤配置通常隱藏在數(shù)百甚至數(shù)千個策略、身份和實例。

因此，對公司的云基礎(chǔ)設(shè)施執(zhí)行滲透測試(模擬攻擊)變得極其重要。這一領(lǐng)域訓練有素的專業(yè)人員習慣于在此類環(huán)境中找到薄弱環(huán)節(jié)，進行驗證，并直接向他們的聯(lián)絡(luò)點報告，以便在惡意行為者利用這些漏洞之前對其進行修補。

以下是安全工程師和開發(fā)人員在云環(huán)境中常犯的三個錯誤：

沒有遵循最低特權(quán)原則：云環(huán)境的配置通常不正確，無法提供比必要的更多訪問。

開發(fā)不安全的應(yīng)用程序和功能：不安全的應(yīng)用程序和功能可為攻擊者提供一條利用漏洞進入云環(huán)境的途徑。

如果更高權(quán)限的身份或角色受到損害(例如通過損害VM)，則可以在云環(huán)境中提升權(quán)限：安全組配置不正確，允許的流量超過必要的數(shù)量。

云基礎(chǔ)設(shè)施很容易配置錯誤，這可能會導致極端的后果。因此，每次應(yīng)用重大更改時，都應(yīng)該測試云基礎(chǔ)設(shè)施的安全態(tài)勢。

No.5為什么選擇SSC

在SecurityScorecard，您的安全狀況可以從所有角度進行測試和加強，從云到外部、內(nèi)部、移動、網(wǎng)絡(luò)和Wi-Fi基礎(chǔ)設(shè)施。SecurityScorecard的滲透測試服務(wù)確保您的環(huán)境安全，同時幫助您實現(xiàn)合規(guī)。在網(wǎng)絡(luò)安全問題上，這句格言“最好的防御是最好的進攻”比以往任何時候都更加正確。

推薦閱讀

虹科SecurityScorecard

虹科SecurityScorecard（SSC）是一個安全評級平臺，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對全球任何公司的安全風險進行即時評級、了解和持續(xù)監(jiān)測。獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。

虹科SSC對企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時可見性。該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。

虹科SSC為各行各業(yè)的大小型企業(yè)提供最準確、最透明、最全面的安全風險評級。

虹科是在各細分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡單！憑借深厚的行業(yè)經(jīng)驗和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡(luò)安全評級，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術(shù)培訓和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術(shù)的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結(jié)可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。