马里兰州弗雷德里克——(商业连线)——在一段简短的视频讲解和评论中,Snyk首席架构师、云安全和合规SaaS公司Fugue的创始首席技术官乔什·斯特拉(Josh Stella)与商业和安全领导人讨论了云为什么一般不受勒索软件的影响,并分析了云环境面临的最大威胁。
勒索软件在本月早些时候成为全球新闻头条。此前,丰田汽车公司(Toyota Motor Corp.)的一家零部件供应商遭到成功袭击,迫使该公司在日本关闭了14家工厂一天,导致其约1.3万辆汽车的总产量停产。
这次袭击是勒索软件对所有行业构成威胁的最新例子。最新一期的SoCiWalk年度威胁报告指出,2021的勒索攻击量自2019以来上升了231.7%。由网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和美国国家安全局(NSA)联合发布的一份咨询报告显示,最新的趋势是勒索软件即服务——一群坏人基本上是将勒索软件工具和技术“特许”给组织较少或技能较低的黑客。
显然,如果您仍在运营数据中心基础设施而不是云基础设施,那么防范勒索软件攻击必须是您公司整体网络安全战略的一部分。强化数据中心和端点以防止勒索软件攻击是强制性的,但云基础设施面临着另一种威胁。如果你的组织都在云端,勒索软件就不那么令人担心了。
什么是勒索软件?
不要将勒索软件攻击与数据泄露混为一谈,后者涉及被盗数据。勒索软件的目的不是窃取您的数据(尽管在勒索软件攻击期间也可能发生这种情况),而是控制存储或加密您的数据的系统,并阻止您访问数据——直到您支付了赎金。在恢复对数据的访问之前,这会有效地关闭操作,从而对组织造成毁灭性的影响。
虽然勒索软件是一个主要的网络安全威胁,但我们并没有看到针对云环境的勒索软件攻击。原因涉及云基础设施和数据中心基础设施之间的根本区别。
新的威胁形势
您的云环境不仅仅是现场数据中心和IT系统的远程副本。云计算是100%由应用程序编程接口(API)驱动的软件,API是允许不同应用程序相互交互的软件“中间商”。控制平面是配置和操作云的API表面。
例如,您可以使用控制平面来构建虚拟服务器、修改网络路由,以及访问数据库中的数据或数据库的快照(这些数据库实际上是云黑客比实时生产数据库更常见的目标)。API控制平面是您的组织用于配置和操作云的API的快速增长的集合。
亚马逊、谷歌和微软等所有云平台提供商的首要任务是确保数据的健壮性和弹性。在云中复制数据既简单又便宜,而且架构良好的云环境确保了数据的多个备份。这是阻止攻击者使用勒索软件的关键因素:数据的多个副本会使攻击者无法将您锁定。如果攻击者能够加密您的数据并要求您支付赎金,您只需在加密之前恢复到最新版本的数据即可。
AWS、谷歌和微软为数十万运行着数百万台服务器和网络的客户构建的冗余和恢复能力,对于您自己的数据中心基础设施来说是不可能复制的。而且,如果您对内部系统的访问被剥夺并加密,您在不支付赎金的情况下重新获得访问权限可能非常困难——在某些情况下实际上是不可能的。
云中的安全性是不同的,因为它是良好设计和架构的功能,而不是入侵检测和安全分析。黑客并不是为了把你锁在系统之外而试图侵入你的网络;他们试图利用云的错误配置,使他们能够针对您的云控制平面API进行操作,并从您的下方窃取您的数据。
什么是云的错误配置?
错误配置可能会有所不同,从看似简单的单个资源错误配置(例如保持端口打开)到攻击者用来将小错误配置转化为大爆炸半径的重大架构设计缺陷。我可以保证,如果您的组织在云中运行,您的环境将同时存在这两种漏洞。好消息是,因为云基础设施是可以编程的软件,所以可以通过使用策略作为代码的软件工程方法来防止此类攻击。
以策略作为代码构建云安全
当开发者在云中构建应用程序时,他们也在为应用程序构建基础设施,而不是购买物理基础设施并在其中部署应用程序。设计和构建云基础设施的过程是用代码完成的,这意味着开发人员拥有这个过程,这从根本上改变了安全团队的角色。
在一个完全由软件定义的世界中,安全性的角色是领域专家,他将知识传授给开发人员,以确保他们在安全的环境中工作。这些知识以自动化开发工具的形式提供,该工具将策略作为代码,而不是用人类语言编写的清单和策略文档。
策略代码使您的团队能够用编程语言表达安全性和法规遵从性规则,应用程序可以使用该语言检查配置的正确性。它旨在检查其他代码和运行环境是否存在不必要的条件或不应该出现的情况。它使所有云涉众能够安全地运行,而不会对规则是什么以及在软件开发生命周期(SDLC)的两端应该如何应用这些规则产生任何歧义或分歧。
云安全必须自动化
同时,策略即代码自动化了不断搜索和纠正错误配置的过程。从长远来看,没有其他方法能在这方面取得成功,因为问题空间不断扩大。云服务的数量在不断增长,部署的数量在不断增长,资源的数量也在不断增长。因此,您必须实现自动化,以使安全专业人员无需花费大量时间手动监控错误配置,并使开发人员能够以一种灵活的方式编写代码,这种方式可以随着时间的推移而改变,并且可以结合新的知识,例如最新的大数据泄露事件,从而成为新闻头条。
强化你的云安全姿态
实施了有效云安全计划的组织都有一些特征,任何企业都可以效仿这些特征来强化其云安全态势:
- 了解你的环境。每周或每季度进行云安全审计是不够的,因为云环境在不断变化,黑客使用自动化来检测他们可以利用的错误配置。持续调查您的云环境,包括所有资源和配置,以随时保持态势感知。
- 积极主动,不要被动。将您的安全意识转向防止错误配置漏洞,远离入侵检测和拦截。云控制飞机泄露攻击发生得太快,任何团队或技术都无法阻止正在进行的攻击。
- 授权你的开发者。通过使用自动化的安全工具将策略作为代码,让开发人员参与到这个过程中来。毕竟,既然你现在把重点放在预防上,那么谁能比构建这些环境和系统的工程师更好地防止错误配置呢?
- 衡量并实施。成功的组织衡量什么是重要的,以了解他们的立场,他们要去哪里,并量化他们在预防漏洞和由此产生的安全事件方面的进展。最终,他们全面实施云安全,以最小化风险,最大限度地提高云中的创新速度。
我不想淡化勒索软件攻击对您的组织构成的威胁,并鼓励您访问www.StopRansomware.gov,美国联邦政府学习如何保护自己不成为勒索软件受害者的资源。
但我还想强调的是,尽管您的云环境不太容易受到勒索软件的攻击,但随着您采用更多基于云的平台和服务,由于错误配置而导致数据泄露的风险很高,而且还在不断增加。
最好的防御是预防。在开发阶段、持续集成/持续交付(CI/CD)管道和运行时将策略用作代码,以快速识别和纠正错误配置。随着成熟度的提高,这些步骤可以在整个DevOps流程中操作,从而使整个流程自动化且高效。