文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

勒索软件攻击为何避开云端

2024-12-02 05:21

关注

马里兰州弗雷德里克——(商业连线)——在一段简短的视频讲解和评论中,Snyk首席架构师、云安全和合规SaaS公司Fugue的创始首席技术官乔什·斯特拉(Josh Stella)与商业和安全领导人讨论了云为什么一般不受勒索软件的影响,并分析了云环境面临的最大威胁。

勒索软件在本月早些时候成为全球新闻头条。此前,丰田汽车公司(Toyota Motor Corp.)的一家零部件供应商遭到成功袭击,迫使该公司在日本关闭了14家工厂一天,导致其约1.3万辆汽车的总产量停产。

这次袭击是勒索软件对所有行业构成威胁的最新例子。最新一期的SoCiWalk年度威胁报告指出,2021的勒索攻击量自2019以来上升了231.7%。由网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和美国国家安全局(NSA)联合发布的一份咨询报告显示,最新的趋势是勒索软件即服务——一群坏人基本上是将勒索软件工具和技术“特许”给组织较少或技能较低的黑客。

显然,如果您仍在运营数据中心基础设施而不是云基础设施,那么防范勒索软件攻击必须是您公司整体网络安全战略的一部分。强化数据中心和端点以防止勒索软件攻击是强制性的,但云基础设施面临着另一种威胁。如果你的组织都在云端,勒索软件就不那么令人担心了。

什么是勒索软件?

不要将勒索软件攻击与数据泄露混为一谈,后者涉及被盗数据。勒索软件的目的不是窃取您的数据(尽管在勒索软件攻击期间也可能发生这种情况),而是控制存储或加密您的数据的系统,并阻止您访问数据——直到您支付了赎金。在恢复对数据的访问之前,这会有效地关闭操作,从而对组织造成毁灭性的影响。

虽然勒索软件是一个主要的网络安全威胁,但我们并没有看到针对云环境的勒索软件攻击。原因涉及云基础设施和数据中心基础设施之间的根本区别。

新的威胁形势

您的云环境不仅仅是现场数据中心和IT系统的远程副本。云计算是100%由应用程序编程接口(API)驱动的软件,API是允许不同应用程序相互交互的软件“中间商”。控制平面是配置和操作云的API表面。

例如,您可以使用控制平面来构建虚拟服务器、修改网络路由,以及访问数据库中的数据或数据库的快照(这些数据库实际上是云黑客比实时生产数据库更常见的目标)。API控制平面是您的组织用于配置和操作云的API的快速增长的集合。

亚马逊、谷歌和微软等所有云平台提供商的首要任务是确保数据的健壮性和弹性。在云中复制数据既简单又便宜,而且架构良好的云环境确保了数据的多个备份。这是阻止攻击者使用勒索软件的关键因素:数据的多个副本会使攻击者无法将您锁定。如果攻击者能够加密您的数据并要求您支付赎金,您只需在加密之前恢复到最新版本的数据即可。

AWS、谷歌和微软为数十万运行着数百万台服务器和网络的客户构建的冗余和恢复能力,对于您自己的数据中心基础设施来说是不可能复制的。而且,如果您对内部系统的访问被剥夺并加密,您在不支付赎金的情况下重新获得访问权限可能非常困难——在某些情况下实际上是不可能的。

云中的安全性是不同的,因为它是良好设计和架构的功能,而不是入侵检测和安全分析。黑客并不是为了把你锁在系统之外而试图侵入你的网络;他们试图利用云的错误配置,使他们能够针对您的云控制平面API进行操作,并从您的下方窃取您的数据。

什么是云的错误配置?

错误配置可能会有所不同,从看似简单的单个资源错误配置(例如保持端口打开)到攻击者用来将小错误配置转化为大爆炸半径的重大架构设计缺陷。我可以保证,如果您的组织在云中运行,您的环境将同时存在这两种漏洞。好消息是,因为云基础设施是可以编程的软件,所以可以通过使用策略作为代码的软件工程方法来防止此类攻击。

以策略作为代码构建云安全

当开发者在云中构建应用程序时,他们也在为应用程序构建基础设施,而不是购买物理基础设施并在其中部署应用程序。设计和构建云基础设施的过程是用代码完成的,这意味着开发人员拥有这个过程,这从根本上改变了安全团队的角色。

在一个完全由软件定义的世界中,安全性的角色是领域专家,他将知识传授给开发人员,以确保他们在安全的环境中工作。这些知识以自动化开发工具的形式提供,该工具将策略作为代码,而不是用人类语言编写的清单和策略文档。

策略代码使您的团队能够用编程语言表达安全性和法规遵从性规则,应用程序可以使用该语言检查配置的正确性。它旨在检查其他代码和运行环境是否存在不必要的条件或不应该出现的情况。它使所有云涉众能够安全地运行,而不会对规则是什么以及在软件开发生命周期(SDLC)的两端应该如何应用这些规则产生任何歧义或分歧。

云安全必须自动化

同时,策略即代码自动化了不断搜索和纠正错误配置的过程。从长远来看,没有其他方法能在这方面取得成功,因为问题空间不断扩大。云服务的数量在不断增长,部署的数量在不断增长,资源的数量也在不断增长。因此,您必须实现自动化,以使安全专业人员无需花费大量时间手动监控错误配置,并使开发人员能够以一种灵活的方式编写代码,这种方式可以随着时间的推移而改变,并且可以结合新的知识,例如最新的大数据泄露事件,从而成为新闻头条。

强化你的云安全姿态

实施了有效云安全计划的组织都有一些特征,任何企业都可以效仿这些特征来强化其云安全态势:

我不想淡化勒索软件攻击对您的组织构成的威胁,并鼓励您访问www.StopRansomware.gov,美国联邦政府学习如何保护自己不成为勒索软件受害者的资源。

但我还想强调的是,尽管您的云环境不太容易受到勒索软件的攻击,但随着您采用更多基于云的平台和服务,由于错误配置而导致数据泄露的风险很高,而且还在不断增加。

最好的防御是预防。在开发阶段、持续集成/持续交付(CI/CD)管道和运行时将策略用作代码,以快速识别和纠正错误配置。随着成熟度的提高,这些步骤可以在整个DevOps流程中操作,从而使整个流程自动化且高效。

来源:机房360内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯