云安全專家 Qualys 從其自己的平臺和第三方汲取見解和數(shù)據(jù)，提供了對前五名云安全風險的看法。

五個關鍵風險領域是錯誤配置、面向外部的漏洞、武器化漏洞、云環(huán)境內(nèi)的惡意軟件以及修復滯后（即修補延遲）。

2023 年 Qualys 云安全洞察報告，提供了有關這些風險領域的更多詳細信息。毫無疑問，錯誤配置是第一個。早在 2020 年 1 月，美國國家安全局 (NSA) 就警告稱，配置錯誤是云資產(chǎn)的主要風險領域，而且似乎沒有什么變化。Qualys 和 NSA 都指出，對云服務提供商 (CSP) 和云消費者之間共同責任概念的誤解或回避是錯誤配置的主要原因。

Tigera 首席營銷官 Utpal Bhatt 解釋說：“在共擔責任模式下，CSP 負責監(jiān)控和響應云和基礎設施（包括服務器和連接）的威脅。他們還有望為客戶提供保護其工作負載和數(shù)據(jù)所需的功能。使用云的組織負責保護云中運行的工作負載。工作負載保護包括安全工作負載狀態(tài)、運行時保護、威脅檢測、事件響應和風險緩解。”

雖然 CSP 提供安全設置，但將數(shù)據(jù)部署到云的速度和簡單性往往會導致這些控制措施被忽視，而補償消費者控制措施則不夠充分。誤解或誤用共同責任的劃分會給辯護留下漏洞；Qualys 指出，“這些安全‘漏洞’可以快速打開云環(huán)境，并將敏感數(shù)據(jù)和資源暴露給攻擊者?！?/p>

Qualys 發(fā)現(xiàn) 60% 的 Google Cloud Platform (GCP) 使用情況、57% 的 Azure 和 34% 的 Amazon Web Services (AWS) 使用情況都存在配置錯誤（根據(jù) CIS 基準衡量）。

圖片

Qualys 威脅研究部門副總裁 Travis Smith 表示：“AWS 配置比 Azure 和 GCP 的配置更安全的原因可能在于其更大的市場份額……與其他 CSP 相比，有更多關于保護 AWS 的材料市場?！?/p>

該報告敦促更多地使用互聯(lián)網(wǎng)安全中心（CIS）基準來強化云環(huán)境。“沒有組織會部署 100% 的覆蓋率，”Smith 補充道，“但如果組織希望降低在云中遇到安全事件的風險，則應強烈考慮將 [映射到 MITRE ATT&CK 策略和技術(shù)的 CIS 基準] 作為基線部署”。

第二大風險來自包含已知漏洞的外部資產(chǎn)。攻擊者可以掃描具有公共 IP 的云資產(chǎn)以查找漏洞。以Log4Shell（面向外部的漏洞）為例?！叭缃?，Log4Shell 及其已知的次要漏洞已經(jīng)有了補丁，”Qualys 說?！暗恍业氖牵琇og4Shell 仍然沒有得到修復，在面向外部的云資產(chǎn)上有 68.44% 的檢測結(jié)果未打補丁?！?/p>

Log4Shell 還說明了第三種風險：武器化漏洞。報告稱：“武器化漏洞的存在就像給任何人一把通往你的云的鑰匙?！?nbsp;Log4Shell 允許攻擊者在記錄字符串時通過操縱特定的字符串替換表達式來執(zhí)行任意 Java 代碼或泄露敏感信息。它很容易利用并且在云中無處不在。

“Log4Shell 于 2021 年 12 月首次檢測到，并繼續(xù)困擾全球企業(yè)。我們已檢測到 100 萬個 Log4Shell 漏洞，其中只有 30% 成功修復。由于復雜性，修復 Log4Shell 漏洞平均需要 136.36 天（約四個半月）。”

第四個風險是您的云中已經(jīng)存在惡意軟件。雖然這并不自動意味著“游戲結(jié)束”，但如果不采取任何行動，游戲很快就會結(jié)束?！霸瀑Y產(chǎn)面臨的兩個最大威脅是加密貨幣挖礦和惡意軟件；兩者的設計目的都是為了在您的環(huán)境中提供立足點或促進橫向移動，”報告稱?！凹用茇泿磐诘V造成的關鍵損害是基于計算周期成本的浪費?！?/p>

雖然這對礦工來說可能是正確的，但值得記住的是，礦工找到了進入的方法。鑒于暗網(wǎng)中信息共享的效率，該路線很可能會被其他犯罪分子所知。2022 年 8 月，Sophos報告了“多方”攻擊，其中礦工往往是帶頭攻擊。Sophos當時 告訴《安全周刊》，“加密貨幣礦工應該被視為煤礦里的金絲雀——這是幾乎不可避免的進一步攻擊的初步跡象。”

簡而言之，如果您在云中發(fā)現(xiàn)加密貨幣挖礦程序，請開始尋找其他惡意軟件，并找到并修復挖礦程序的進入路徑。

第五個風險是漏洞修復緩慢，即補丁時間過長。我們已經(jīng)看到 Log4Shell 的修復時間超過 136 天（如果確實完成的話）。同樣的一般原則也適用于其他可修補的漏洞。

有效的修補可以快速減少系統(tǒng)中的漏洞數(shù)量并提高安全性。統(tǒng)計數(shù)據(jù)表明，通過某種自動化方法可以更有效地執(zhí)行此操作。報告稱，“幾乎在所有情況下，自動修補都被證明是比手動工作更有效地部署關鍵補丁并讓您的業(yè)務更安全的補救途徑?！?/p>

對于非 Windows 系統(tǒng)，自動修補的效果是修補率提高 8%，修復時間縮短兩天。

與補救風險相關的是技術(shù)債務的概念——繼續(xù)使用支持終止 (EOS) 或生命周期終止 (EOL) 產(chǎn)品。這些產(chǎn)品不再受到供應商的支持 - 將沒有補丁可供實施，并且未來的漏洞將自動成為零日威脅，除非您可以采取其他補救措施。 

報告指出：“我們的調(diào)查期間發(fā)現(xiàn)超過 6000 萬個應用程序已終止支持 (EOS) 和終止生命周期 (EOL)?！?nbsp;此外，“在接下來的 12 個月內(nèi)，超過 35,000 個應用程序?qū)⑼Ｖ怪С??！?/p>

防御團隊需要優(yōu)先考慮這些風險中的每一個。消費者使用云的速度和攻擊者濫用云的速度表明，防御者應盡可能采用自動化和人工智能來保護其云資產(chǎn)?！白詣踊窃瓢踩暮诵?，”Bhatt 評論道，“因為在云中，計算資源數(shù)量眾多且不斷變化?！?/p>