五个关键风险领域是错误配置、面向外部的漏洞、武器化漏洞、云环境内的恶意软件以及修复滞后(即修补延迟)。
2023 年 Qualys 云安全洞察报告,提供了有关这些风险领域的更多详细信息。毫无疑问,错误配置是第一个。早在 2020 年 1 月,美国国家安全局 (NSA) 就警告称,配置错误是云资产的主要风险领域,而且似乎没有什么变化。Qualys 和 NSA 都指出,对云服务提供商 (CSP) 和云消费者之间共同责任概念的误解或回避是错误配置的主要原因。
Tigera 首席营销官 Utpal Bhatt 解释说:“在共担责任模式下,CSP 负责监控和响应云和基础设施(包括服务器和连接)的威胁。他们还有望为客户提供保护其工作负载和数据所需的功能。使用云的组织负责保护云中运行的工作负载。工作负载保护包括安全工作负载状态、运行时保护、威胁检测、事件响应和风险缓解。”
虽然 CSP 提供安全设置,但将数据部署到云的速度和简单性往往会导致这些控制措施被忽视,而补偿消费者控制措施则不够充分。误解或误用共同责任的划分会给辩护留下漏洞;Qualys 指出,“这些安全‘漏洞’可以快速打开云环境,并将敏感数据和资源暴露给攻击者。”
Qualys 发现 60% 的 Google Cloud Platform (GCP) 使用情况、57% 的 Azure 和 34% 的 Amazon Web Services (AWS) 使用情况都存在配置错误(根据 CIS 基准衡量)。
图片
Qualys 威胁研究部门副总裁 Travis Smith 表示:“AWS 配置比 Azure 和 GCP 的配置更安全的原因可能在于其更大的市场份额……与其他 CSP 相比,有更多关于保护 AWS 的材料市场。”
该报告敦促更多地使用互联网安全中心(CIS)基准来强化云环境。“没有组织会部署 100% 的覆盖率,”Smith 补充道,“但如果组织希望降低在云中遇到安全事件的风险,则应强烈考虑将 [映射到 MITRE ATT&CK 策略和技术的 CIS 基准] 作为基线部署”。
第二大风险来自包含已知漏洞的外部资产。攻击者可以扫描具有公共 IP 的云资产以查找漏洞。以Log4Shell(面向外部的漏洞)为例。“如今,Log4Shell 及其已知的次要漏洞已经有了补丁,”Qualys 说。“但不幸的是,Log4Shell 仍然没有得到修复,在面向外部的云资产上有 68.44% 的检测结果未打补丁。”
Log4Shell 还说明了第三种风险:武器化漏洞。报告称:“武器化漏洞的存在就像给任何人一把通往你的云的钥匙。” Log4Shell 允许攻击者在记录字符串时通过操纵特定的字符串替换表达式来执行任意 Java 代码或泄露敏感信息。它很容易利用并且在云中无处不在。
“Log4Shell 于 2021 年 12 月首次检测到,并继续困扰全球企业。我们已检测到 100 万个 Log4Shell 漏洞,其中只有 30% 成功修复。由于复杂性,修复 Log4Shell 漏洞平均需要 136.36 天(约四个半月)。”
第四个风险是您的云中已经存在恶意软件。虽然这并不自动意味着“游戏结束”,但如果不采取任何行动,游戏很快就会结束。“云资产面临的两个最大威胁是加密货币挖矿和恶意软件;两者的设计目的都是为了在您的环境中提供立足点或促进横向移动,”报告称。“加密货币挖矿造成的关键损害是基于计算周期成本的浪费。”
虽然这对矿工来说可能是正确的,但值得记住的是,矿工找到了进入的方法。鉴于暗网中信息共享的效率,该路线很可能会被其他犯罪分子所知。2022 年 8 月,Sophos报告了“多方”攻击,其中矿工往往是带头攻击。Sophos当时 告诉《安全周刊》,“加密货币矿工应该被视为煤矿里的金丝雀——这是几乎不可避免的进一步攻击的初步迹象。”
简而言之,如果您在云中发现加密货币挖矿程序,请开始寻找其他恶意软件,并找到并修复挖矿程序的进入路径。
第五个风险是漏洞修复缓慢,即补丁时间过长。我们已经看到 Log4Shell 的修复时间超过 136 天(如果确实完成的话)。同样的一般原则也适用于其他可修补的漏洞。
有效的修补可以快速减少系统中的漏洞数量并提高安全性。统计数据表明,通过某种自动化方法可以更有效地执行此操作。报告称,“几乎在所有情况下,自动修补都被证明是比手动工作更有效地部署关键补丁并让您的业务更安全的补救途径。”
对于非 Windows 系统,自动修补的效果是修补率提高 8%,修复时间缩短两天。
与补救风险相关的是技术债务的概念——继续使用支持终止 (EOS) 或生命周期终止 (EOL) 产品。这些产品不再受到供应商的支持 - 将没有补丁可供实施,并且未来的漏洞将自动成为零日威胁,除非您可以采取其他补救措施。
报告指出:“我们的调查期间发现超过 6000 万个应用程序已终止支持 (EOS) 和终止生命周期 (EOL)。” 此外,“在接下来的 12 个月内,超过 35,000 个应用程序将停止支持。”
防御团队需要优先考虑这些风险中的每一个。消费者使用云的速度和攻击者滥用云的速度表明,防御者应尽可能采用自动化和人工智能来保护其云资产。“自动化是云安全的核心,”Bhatt 评论道,“因为在云中,计算资源数量众多且不断变化。”