随着云迁移步伐的加速而需要解决的主要安全风险有哪些?让IBM数据告诉你
2020年6月,IBM Security发布新数据详解影响云安全的主要挑战和威胁。根据IBM 调研数据和案例研究分析结果显示,部署新的云工具在带来便捷性和速度的同时,可能也会让安全团队面临更多挑战;监管、漏洞和误配置等基本安全问题仍然是日益增长的云端应用面临的主要风险因素。针对过去一年的安全事件进行的案例研究分析结果也揭示了网络犯罪分子如何通过定制化恶意软件、勒索软件等手段攻击云环境。
随着企业迅速迁移到云端来适应远程劳动力需求,独特安全挑战随之产生。了解这一点,对于安全风险管理而言至关重要。尽管云支持许多关键的业务和技术功能,但云资源的临时采用和管理会给 IT 和网络安全团队带来复杂性。IDC 的统计结果显示,仅仅在 2019 年,超过三分之一的公司从 16 家不同的供应商购买了 30 多种云服务。1 这种分布式格局会导致模糊的云安全保护所有权及策略“盲点”,也会为影子 IT 引入漏洞和误配置。
为了更好地了解企业迅速适应混合多云环境而形成的新的安全现状,IBM 商业价值研究院 (IBV) 和 IBM X-Force 事件响应和情报服务 (IRIS) 研究了影响云安全运营的独特挑战,以及针对云环境的主要威胁。重要调查结果包括:
· 复杂的所有权:66% 的受访者2 表示,他们依靠云提供商确保基准安全功能;然而,受访者对安全保护所有权的看法因特定的云平台和应用而存在着巨大差异。2
· 云应用为网络犯罪分子“敞开了大门”:网络犯罪分子入侵云环境的最常见途径是通过基于云的应用,这种途径占 IBM X-Force IRIS 云相关案例研究所分析事件的 45%。3在这些案例中,网络罪犯分子利用误配置及应用漏洞实施攻击,而由于员工在批准的渠道之外自行安装新的云应用,导致无法检测到这些误配置和漏洞。
· 扩大攻击影响:尽管数据盗窃是所分析云攻击3 中会带来最大影响的攻击方式,但黑客也会利用加密挖矿和勒索软件4 对云环境实施攻击 - 使用云资源来扩大这些攻击的影响。
IBM Security Services 云安全负责人 Abhijit Chakravorty 介绍说:“云技术不仅拥有提升业务效率和创新能力的巨大潜力,而且可提供更广泛、更具分布式的环境,确保企业能够实现高效管理和安全保护。如果运用得当,云技术能够让安全变得具有可扩展性和适应性,不过首先,企业需要抛弃传统假设事项,转向专门为这种新技术领域而设计的新安全方法,并尽可能利用自动化。一开始就要清楚了解监管义务和合规性要求,以及针对云的独特技术挑战和策略驱动型安全挑战以及外部威胁。”
云安全保护由谁所有?
IBM 商业价值研究院的一项调研结果显示,尽管配置问题(通常是用户的责任)是发生数据泄露的最常见原因(在 2019 年参与调研的组织中,有 85% 的数据泄露事件是由于配置问题所致),但受访组织非常依赖于由云提供商拥有云安全保护的方法。4
此外,受访组织对云安全所有权的理解因平台和应用的不同而存在着很大差异。举例来说,大多数受访者 (73%) 表示公有云提供商是负责确保软件即服务 (SaaS) 安全的主力,而仅有 42% 的受访者表示由提供商主要负责云基础架构即服务 (IaaS) 的安全保护。3
虽然这种共享责任模型对于混合多云时代而言必不可少,但它也可能会导致安全策略多生变数,以及缺乏跨云环境的可视性。能够简化云和安全运营的组织可以通过在整个 IT 环境中运用明确定义的策略来降低这种风险。
云安全的主要威胁:数据盗窃、加密挖矿和勒索软件
为了更好地了解攻击者如何针对云环境实施攻击,X-Force IRIS 的事件响应专家对团队在过去一年中响应的云相关案例进行了深入分析。5 通过分析发现:
· 网络犯罪分子“带头冲锋”:在 IBM X-Force 事件响应案例中,出于财务动机的网络犯罪分子是针对云环境的最常见威胁类别,不过民族国家的威胁实施者也是一种持续存在的风险。
· 利用云应用:攻击者最常见的攻击切入点是通过云应用,其中包括暴力攻击、漏洞利用和误配置等策略。当员工在批准的渠道之外安装易受攻击的云应用时,便会产生“影子 IT”,进而导致漏洞通常无法被检测到。云端漏洞的管理具有挑战性,因为在 2020 之前,云产品中的漏洞仍不属于传统 CVE 的范围。
· 云端的勒索软件:在 IBM 事件响应案例中,勒索软件在云环境中的部署量比其他任何类型的恶意软件都要多 3 倍,其次是加密挖矿和僵尸网络恶意软件。
· 数据盗窃:除了恶意软件部署外,数据盗窃是 IBM 去年针对遭受数据泄露的云环境中监测到的最常见的威胁活动,涉及到个人身份信息 (PII)、与客户相关的电子邮件等等。
· 指数级回报:威胁实施者利用云资源来扩大加密挖矿和 DDoS 等攻击的影响。此外,威胁团伙利用云来托管其恶意基础结构和运营,不仅扩大了规模,还增加了一层混淆层来躲避检测。
来自 IBM X-Force IRIS 的 Charles DeBeck 介绍说:“从我们的事件响应案例趋势来看,针对云环境的恶意软件攻击案例可能会随着云被采用的增加而继续扩大和演变。我们的团队发现,恶意软件开发人员已经着手开发软件来禁用通用的云安全产品,而且开始设计恶意软件来充分利用云所提供的规模和敏捷性。”
日渐成熟的 CloudSec 有助于提升安全响应速度
云变革给安全团队带来了新的挑战,而能够转向更成熟、更简单云安全治理模型的组织,则可以提高安全敏捷性和响应能力。
IBM 商业价值研究院通过调研发现,相比那些仍处于云采用初期阶段的组织,在云和安全演变中均具有较高成熟度的受访组织能够更快地识别和遏制数据泄露。在数据泄露响应时间方面,最成熟的受访组织识别和遏制数据泄露的速度是最不成熟的组织的两倍(平均威胁生命周期分别是 125 天与 250 天)。
随着云成为业务运营及日益增长的远程劳动力的“必需品”,IBM Security 建议企业组织专注于以下元素,以改善混合多云环境的网络安全性:
· 建立协作型治理与文化氛围:在应用开发人员、IT 运营人员与安全人员之间采用云与安全运营相结合的统一策略。为现有的云资源以及新的云资源指定明确的策略和职责。
· 采取基于风险的视图:评估拟迁移到云端的工作负载和数据的种类,并定义适当的安全策略。从基于风险的评估开始,了解整个环境的可视性,并针对云计算的分阶段被采用创建路线图。
· 运用强大的访问管理:利用访问管理策略和工具(包括多重身份验证)来管理云资源的访问,以防犯罪分子使用被盗凭证进行渗透。限制特权帐户,并将所有用户组的权限设置为最低要求,以最大程度地减少帐户泄露造成的损害(即零信任模型)。
· 部署适当的工具:确保安全监控、可视性和响应工具在所有云平台和内部资源上均能够发挥效力。考虑改用开放技术和标准,以提升工具之间的可互操作性。
· 实现安全流程的自动化:在系统中实施有效的安全自动化有助于提升您的检测和响应能力,而不是依赖于对事件的手动响应。
· 使用主动模拟:演练各种攻击场景;这种方法有助于确定可能存在的盲点,还有助于解决在攻击调查过程中可能出现的任何潜在的取证问题。
有关 X-Force IRIS 的云安全根据报告,详细了解IBM官网下载完整报告。
资料参考:
1 IDC CloudPulse 汇总(2019 年第 1 季度)
2 IBM 商业价值研究院针对 930 名高级业务与 IT 主管开展的调研
3 IBM X-Force IRIS:云安全格局报告
4 IBM X-Force 威胁情报指数(2020 年)
5 IBM X-Force IRIS 云格局报告(基于 2018 年 6 月至 2020 年 3 月之间所进行客户事件响应案例)
来源:IBM