如果您仍在運營數(shù)據(jù)中心基礎(chǔ)設(shè)施，防范勒索軟件攻擊必須是您公司整體網(wǎng)絡(luò)安全戰(zhàn)略的一部分。但云基礎(chǔ)設(shè)施面臨著另一種威脅，勒索軟件并不是一個大因素。喬?！に固乩骄苛嗽?。

馬里蘭州弗雷德里克——(商業(yè)連線)——在一段簡短的視頻講解和評論中，Snyk首席架構(gòu)師、云安全和合規(guī)SaaS公司Fugue的創(chuàng)始首席技術(shù)官喬什·斯特拉(Josh Stella)與商業(yè)和安全領(lǐng)導人討論了云為什么一般不受勒索軟件的影響，并分析了云環(huán)境面臨的最大威脅。

勒索軟件在本月早些時候成為全球新聞頭條。此前，豐田汽車公司(Toyota Motor Corp.)的一家零部件供應(yīng)商遭到成功襲擊，迫使該公司在日本關(guān)閉了14家工廠一天，導致其約1.3萬輛汽車的總產(chǎn)量停產(chǎn)。

這次襲擊是勒索軟件對所有行業(yè)構(gòu)成威脅的最新例子。最新一期的SoCiWalk年度威脅報告指出，2021的勒索攻擊量自2019以來上升了231.7%。由網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、聯(lián)邦調(diào)查局(FBI)和美國國家安全局(NSA)聯(lián)合發(fā)布的一份咨詢報告顯示，最新的趨勢是勒索軟件即服務(wù)——一群壞人基本上是將勒索軟件工具和技術(shù)“特許”給組織較少或技能較低的黑客。

顯然，如果您仍在運營數(shù)據(jù)中心基礎(chǔ)設(shè)施而不是云基礎(chǔ)設(shè)施，那么防范勒索軟件攻擊必須是您公司整體網(wǎng)絡(luò)安全戰(zhàn)略的一部分。強化數(shù)據(jù)中心和端點以防止勒索軟件攻擊是強制性的，但云基礎(chǔ)設(shè)施面臨著另一種威脅。如果你的組織都在云端，勒索軟件就不那么令人擔心了。

什么是勒索軟件?

不要將勒索軟件攻擊與數(shù)據(jù)泄露混為一談，后者涉及被盜數(shù)據(jù)。勒索軟件的目的不是竊取您的數(shù)據(jù)(盡管在勒索軟件攻擊期間也可能發(fā)生這種情況)，而是控制存儲或加密您的數(shù)據(jù)的系統(tǒng)，并阻止您訪問數(shù)據(jù)——直到您支付了贖金。在恢復(fù)對數(shù)據(jù)的訪問之前，這會有效地關(guān)閉操作，從而對組織造成毀滅性的影響。

雖然勒索軟件是一個主要的網(wǎng)絡(luò)安全威脅，但我們并沒有看到針對云環(huán)境的勒索軟件攻擊。原因涉及云基礎(chǔ)設(shè)施和數(shù)據(jù)中心基礎(chǔ)設(shè)施之間的根本區(qū)別。

新的威脅形勢

您的云環(huán)境不僅僅是現(xiàn)場數(shù)據(jù)中心和IT系統(tǒng)的遠程副本。云計算是100%由應(yīng)用程序編程接口(API)驅(qū)動的軟件，API是允許不同應(yīng)用程序相互交互的軟件“中間商”?？刂破矫媸桥渲煤筒僮髟频腁PI表面。

例如，您可以使用控制平面來構(gòu)建虛擬服務(wù)器、修改網(wǎng)絡(luò)路由，以及訪問數(shù)據(jù)庫中的數(shù)據(jù)或數(shù)據(jù)庫的快照(這些數(shù)據(jù)庫實際上是云黑客比實時生產(chǎn)數(shù)據(jù)庫更常見的目標)。API控制平面是您的組織用于配置和操作云的API的快速增長的集合。

亞馬遜、谷歌和微軟等所有云平臺提供商的首要任務(wù)是確保數(shù)據(jù)的健壯性和彈性。在云中復(fù)制數(shù)據(jù)既簡單又便宜，而且架構(gòu)良好的云環(huán)境確保了數(shù)據(jù)的多個備份。這是阻止攻擊者使用勒索軟件的關(guān)鍵因素：數(shù)據(jù)的多個副本會使攻擊者無法將您鎖定。如果攻擊者能夠加密您的數(shù)據(jù)并要求您支付贖金，您只需在加密之前恢復(fù)到最新版本的數(shù)據(jù)即可。

AWS、谷歌和微軟為數(shù)十萬運行著數(shù)百萬臺服務(wù)器和網(wǎng)絡(luò)的客戶構(gòu)建的冗余和恢復(fù)能力，對于您自己的數(shù)據(jù)中心基礎(chǔ)設(shè)施來說是不可能復(fù)制的。而且，如果您對內(nèi)部系統(tǒng)的訪問被剝奪并加密，您在不支付贖金的情況下重新獲得訪問權(quán)限可能非常困難——在某些情況下實際上是不可能的。

云中的安全性是不同的，因為它是良好設(shè)計和架構(gòu)的功能，而不是入侵檢測和安全分析。黑客并不是為了把你鎖在系統(tǒng)之外而試圖侵入你的網(wǎng)絡(luò);他們試圖利用云的錯誤配置，使他們能夠針對您的云控制平面API進行操作，并從您的下方竊取您的數(shù)據(jù)。

什么是云的錯誤配置?

錯誤配置可能會有所不同，從看似簡單的單個資源錯誤配置(例如保持端口打開)到攻擊者用來將小錯誤配置轉(zhuǎn)化為大爆炸半徑的重大架構(gòu)設(shè)計缺陷。我可以保證，如果您的組織在云中運行，您的環(huán)境將同時存在這兩種漏洞。好消息是，因為云基礎(chǔ)設(shè)施是可以編程的軟件，所以可以通過使用策略作為代碼的軟件工程方法來防止此類攻擊。

以策略作為代碼構(gòu)建云安全

當開發(fā)者在云中構(gòu)建應(yīng)用程序時，他們也在為應(yīng)用程序構(gòu)建基礎(chǔ)設(shè)施，而不是購買物理基礎(chǔ)設(shè)施并在其中部署應(yīng)用程序。設(shè)計和構(gòu)建云基礎(chǔ)設(shè)施的過程是用代碼完成的，這意味著開發(fā)人員擁有這個過程，這從根本上改變了安全團隊的角色。

在一個完全由軟件定義的世界中，安全性的角色是領(lǐng)域?qū)＜?，他將知識傳授給開發(fā)人員，以確保他們在安全的環(huán)境中工作。這些知識以自動化開發(fā)工具的形式提供，該工具將策略作為代碼，而不是用人類語言編寫的清單和策略文檔。

策略代碼使您的團隊能夠用編程語言表達安全性和法規(guī)遵從性規(guī)則，應(yīng)用程序可以使用該語言檢查配置的正確性。它旨在檢查其他代碼和運行環(huán)境是否存在不必要的條件或不應(yīng)該出現(xiàn)的情況。它使所有云涉眾能夠安全地運行，而不會對規(guī)則是什么以及在軟件開發(fā)生命周期(SDLC)的兩端應(yīng)該如何應(yīng)用這些規(guī)則產(chǎn)生任何歧義或分歧。

云安全必須自動化

同時，策略即代碼自動化了不斷搜索和糾正錯誤配置的過程。從長遠來看，沒有其他方法能在這方面取得成功，因為問題空間不斷擴大。云服務(wù)的數(shù)量在不斷增長，部署的數(shù)量在不斷增長，資源的數(shù)量也在不斷增長。因此，您必須實現(xiàn)自動化，以使安全專業(yè)人員無需花費大量時間手動監(jiān)控錯誤配置，并使開發(fā)人員能夠以一種靈活的方式編寫代碼，這種方式可以隨著時間的推移而改變，并且可以結(jié)合新的知識，例如最新的大數(shù)據(jù)泄露事件，從而成為新聞頭條。

強化你的云安全姿態(tài)

實施了有效云安全計劃的組織都有一些特征，任何企業(yè)都可以效仿這些特征來強化其云安全態(tài)勢：

• 了解你的環(huán)境。每周或每季度進行云安全審計是不夠的，因為云環(huán)境在不斷變化，黑客使用自動化來檢測他們可以利用的錯誤配置。持續(xù)調(diào)查您的云環(huán)境，包括所有資源和配置，以隨時保持態(tài)勢感知。
• 積極主動，不要被動。將您的安全意識轉(zhuǎn)向防止錯誤配置漏洞，遠離入侵檢測和攔截。云控制飛機泄露攻擊發(fā)生得太快，任何團隊或技術(shù)都無法阻止正在進行的攻擊。
• 授權(quán)你的開發(fā)者。通過使用自動化的安全工具將策略作為代碼，讓開發(fā)人員參與到這個過程中來。畢竟，既然你現(xiàn)在把重點放在預(yù)防上，那么誰能比構(gòu)建這些環(huán)境和系統(tǒng)的工程師更好地防止錯誤配置呢?
• 衡量并實施。成功的組織衡量什么是重要的，以了解他們的立場，他們要去哪里，并量化他們在預(yù)防漏洞和由此產(chǎn)生的安全事件方面的進展。最終，他們?nèi)鎸嵤┰瓢踩?，以最小化風險，最大限度地提高云中的創(chuàng)新速度。

我不想淡化勒索軟件攻擊對您的組織構(gòu)成的威脅，并鼓勵您訪問www.StopRansomware.gov，美國聯(lián)邦政府學習如何保護自己不成為勒索軟件受害者的資源。

但我還想強調(diào)的是，盡管您的云環(huán)境不太容易受到勒索軟件的攻擊，但隨著您采用更多基于云的平臺和服務(wù)，由于錯誤配置而導致數(shù)據(jù)泄露的風險很高，而且還在不斷增加。

最好的防御是預(yù)防。在開發(fā)階段、持續(xù)集成/持續(xù)交付(CI/CD)管道和運行時將策略用作代碼，以快速識別和糾正錯誤配置。隨著成熟度的提高，這些步驟可以在整個DevOps流程中操作，從而使整個流程自動化且高效。