圖1:云增長與安全事件
為了了解新冠疫情在全球范圍內(nèi)對企業(yè)安全態(tài)勢的影響,Unit 42云威脅情報團(tuán)隊(duì)分析了2019年10月至2021年2月(疫情發(fā)生前后)全球數(shù)百個云賬戶的數(shù)據(jù)。我們的研究表明,云安全事件在2020年第二季度(4月至6月)增長了驚人的188%。我們發(fā)現(xiàn),雖然企業(yè)迅速將更多的工作負(fù)載轉(zhuǎn)移到云端,以應(yīng)對疫情,但他們在數(shù)月后仍難以實(shí)現(xiàn)云安全自動化并降低云風(fēng)險。雖然基礎(chǔ)設(shè)施即代碼(IaC)為DevOps和安全團(tuán)隊(duì)提供了一種可預(yù)測的方式來執(zhí)行安全標(biāo)準(zhǔn),但這種強(qiáng)大的功能仍然沒有得到充分利用。
本報告詳細(xì)介紹了新冠疫情對云威脅環(huán)境的影響范圍,并解釋了在特定地區(qū)和行業(yè)中最普遍的風(fēng)險類型。它還確定了企業(yè)可以采取的行動步驟,以降低與云工作負(fù)載相關(guān)的安全風(fēng)險。
重點(diǎn)行業(yè)在新冠疫情中的安全事件激增
圖2:按行業(yè)分類的安全事件增長幅度
疫情爆發(fā)后,眾多企業(yè)的云工作負(fù)載部署規(guī)模大幅擴(kuò)張,但云安全事件也有所增加。值得注意的是,零售業(yè)、制造業(yè)和政府部門的云安全事件分別增長了402%、230%和205%。這種趨勢并不奇怪;這些行業(yè)是在疫情來臨時面臨調(diào)整和擴(kuò)展規(guī)模最大壓力的行業(yè)之一,零售商提供基本生活必需品,而制造業(yè)和政府提供新冠疫情防治所需的各種物資和援助。
在抗擊疫情中發(fā)揮關(guān)鍵作用的行業(yè)正在努力保護(hù)其云工作負(fù)載,這凸顯了對云安全投資不足的危險。云安全事件的激增表明,雖然云可以讓企業(yè)快速擴(kuò)展其遠(yuǎn)程辦公能力,但圍繞DevOps和持續(xù)集成/連續(xù)交付(CI/CD)流程的自動化安全控制往往滯后于這種快速移動。
云中的挖礦劫持正在減少
在疫情肆虐時,比特幣(BTC)、以太幣(ETH)和門羅幣(XMR)等加密貨幣的受歡迎程度和市場價值都在增長。盡管如此,挖礦劫持正在呈下降趨勢:從2020年12月到2021年2月,只有17%擁有云基礎(chǔ)設(shè)施的企業(yè)有這種活動的跡象,而從2020年7月到9月,這一比例為23%。這是自Unit 42在2018年開始跟蹤挖礦劫持趨勢以來的首次下降記錄。企業(yè)似乎在通過工作負(fù)載運(yùn)行時保護(hù)功能更主動、有效地阻止挖礦劫持,以減少攻擊者在企業(yè)云環(huán)境中運(yùn)行惡意挖礦軟件而不被發(fā)現(xiàn)的現(xiàn)象。
云中敏感數(shù)據(jù)仍存在公開暴露問題
我們的研究結(jié)果表明,30%的企業(yè)將一些敏感內(nèi)容暴露在互聯(lián)網(wǎng)上,如個人身份信息(PII)、知識產(chǎn)權(quán)、醫(yī)療保健和財務(wù)數(shù)據(jù)。任何知道或能猜到URL的人都可以訪問這些數(shù)據(jù)。當(dāng)這些數(shù)據(jù)直接暴露在互聯(lián)網(wǎng)上時,企業(yè)將面臨與未經(jīng)授權(quán)的訪問和違反法規(guī)相關(guān)的重大風(fēng)險。這種程度的暴露表明,企業(yè)仍在努力為可能在云中運(yùn)行的數(shù)百個數(shù)據(jù)存儲桶實(shí)施適當(dāng)?shù)脑L問控制,特別是當(dāng)這些桶分布在多個云提供商和賬戶中時。
建議
從我們的數(shù)據(jù)中得到的結(jié)論顯而易見:很多企業(yè)忽視了對云治理和自動化安全控制的投資,而這些投資對確保他們的工作負(fù)載安全地遷移到云非常必要。反過來,他們又造成了嚴(yán)重的業(yè)務(wù)風(fēng)險,例如將未加密的敏感數(shù)據(jù)暴露在互聯(lián)網(wǎng)上,并通過開放不安全的端口招致入侵。雖然我們在2020年的Unit 42云威脅報告中也發(fā)現(xiàn)了類似問題,但新冠疫情引發(fā)的眾多危機(jī)讓情況變得更普遍并具有挑戰(zhàn)性。
面對這一威脅,企業(yè)必須制訂一個云安全計(jì)劃,持續(xù)關(guān)注軟件開發(fā)生命周期的各個階段。這樣做不僅可以讓企業(yè)在市場上勝出,而且可以建立可持續(xù)的云安全計(jì)劃,無論未來發(fā)生何種類型的不可預(yù)知事件,都能擴(kuò)展和收縮。
云安全戰(zhàn)略重點(diǎn)領(lǐng)域
Unit 42的研究人員建議重點(diǎn)關(guān)注云安全中的幾個戰(zhàn)略領(lǐng)域。
獲得感知與深度云可視性
簡化云安全和合規(guī)的第一步是了解您的開發(fā)人員和業(yè)務(wù)團(tuán)隊(duì)目前如何使用云。這意味著獲取并維護(hù)對云環(huán)境動態(tài)的態(tài)勢感知,包括API和工作負(fù)載層。
設(shè)置安全護(hù)欄
捫心自問:在我們的環(huán)境中,哪些錯誤配置是絕對不應(yīng)該存在的?數(shù)據(jù)庫直接接收來自互聯(lián)網(wǎng)的流量就是一個范例。盡管這是一種“最糟糕的做法”,但我們的威脅研究表明,這種錯誤配置存在于 全球28%的云環(huán)境中。當(dāng)發(fā)現(xiàn)這樣的錯誤配置時,您的安全護(hù)欄應(yīng)該自動糾正它們。如果您的企業(yè)還沒有這樣做,您應(yīng)該認(rèn)真考慮使用IaC模板作為左移時加強(qiáng)安全護(hù)欄的另一種方式。請確保掃描這些模板,發(fā)現(xiàn)常見的安全錯誤配置。
采用和執(zhí)行標(biāo)準(zhǔn)
為尚未標(biāo)準(zhǔn)化的流程實(shí)現(xiàn)自動化非常困難。許多團(tuán)隊(duì)在談?wù)撟詣踊瘯r,并沒有適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)。不要從零開始;ヂ(lián)網(wǎng)安全中心 (CIS)為所有主要的云平臺制定了基準(zhǔn),期望通過利用IaC來實(shí)現(xiàn)這些標(biāo)準(zhǔn)的自動化和編纂。
培養(yǎng)和雇用懂得編程的安全工程師
與大多數(shù)傳統(tǒng)數(shù)據(jù)中心不同,公有云環(huán)境由API驅(qū)動。成功的云風(fēng)險管理需要安全團(tuán)隊(duì)能夠利用這些API來大規(guī)模管理工作負(fù)載的安全。如果您的安全團(tuán)隊(duì)中沒有懂得如何編程和實(shí)現(xiàn)安全流程自動化(作為CI/CD流程一部分)的工程師,API就很難使用。
在DevOps中嵌入安全性
努力規(guī)劃出您的企業(yè)如何將代碼推送到云中的人員、內(nèi)容、時間和地點(diǎn)。完成這一步后,您的目標(biāo)應(yīng)該是為CI/CD流程中的安全進(jìn)程和工具找到破壞性最小的插入點(diǎn)。在這方面,盡早得到DevOps團(tuán)隊(duì)的支持至關(guān)重要。在此基礎(chǔ)上,隨著時間的推移,通過為盡可能多的操作實(shí)現(xiàn)自動化來減少人為交互。
準(zhǔn)備好識別云中威脅了嗎?
Prisma Cloud 每月分析超過 100億次安全事件。該分析表明,配置不當(dāng)、放任的行為和缺乏策略會導(dǎo)致許多不良行為者和未識別的威脅被利用。通過主動檢測安全性和合規(guī)性錯誤配置以及觸發(fā)自動化工作流程響應(yīng),Prisma Cloud 能夠幫助用戶確保持續(xù)、安全地滿足動態(tài)云工作負(fù)載的需求。
閱讀完整報告,敬請下載《2021年上半年Unit 42云威脅報告》
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會,改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個日益安全的世界。更多內(nèi)容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡(luò))官網(wǎng)www.paloaltonetworks.com 。
關(guān)于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團(tuán)隊(duì),是網(wǎng)絡(luò)威脅防御領(lǐng)域公認(rèn)的權(quán)威,全球多家企業(yè)及政府機(jī)構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識,我們提供優(yōu)質(zhì)、深入的研究,以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標(biāo)是盡可能提供背景信息,解釋攻擊的具體細(xì)節(jié)、攻擊的執(zhí)行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防御攻擊。