? 在準(zhǔn)備大規(guī)模的黑客攻擊和漏洞利用時(shí)，網(wǎng)絡(luò)攻擊者通常依賴受害者的人為錯(cuò)誤、天真和粗心，而不是他們自己的技巧和狡猾。事實(shí)上，大多數(shù)公司擁有所有正確的安全工具和資源來解決其安全中的大多數(shù)漏洞。

然而，調(diào)查發(fā)現(xiàn)不可預(yù)測的人為因素是最難管理的。例如，用戶錯(cuò)誤配置仍然是對云安全的最大威脅。但是，可以通過多種方式應(yīng)對這種威脅。以下將展示如何盡可能有效地修復(fù)并可能減輕基于云配置錯(cuò)誤的違規(guī)行為。

了解云配置錯(cuò)誤

根據(jù)Gartner公司副總裁分析師兼Neil MacDonald說：“幾乎所有對云服務(wù)的成功攻擊都源于客戶配置錯(cuò)誤、管理不善和漏洞。”雖然聽起來這有些指責(zé)的意味，但這種說法是準(zhǔn)確的。而由供應(yīng)商疏忽造成的違規(guī)事件并不多。

云配置錯(cuò)誤描述了可能破壞性能、安全性或一般可靠性的云服務(wù)的任何不當(dāng)實(shí)施。惡意行為者可以利用這些漏洞利用配置錯(cuò)誤的基礎(chǔ)設(shè)施，并利用它來利用和發(fā)起網(wǎng)絡(luò)攻擊。

錯(cuò)誤配置的原因和示例包括：

• 沒有經(jīng)驗(yàn)的用戶。
• 錯(cuò)誤的存儲訪問設(shè)置。
• 缺乏適當(dāng)?shù)膽{據(jù)驗(yàn)證。
• 對工作負(fù)載的訪問限制寬松。
• 禁用日志記錄和監(jiān)控。

為用戶提供充足的培訓(xùn)和教育

根據(jù)AWS公司的責(zé)任共擔(dān)模型，合規(guī)性和安全性不是供應(yīng)商或云安全提供商的唯一責(zé)任。從本質(zhì)上講，客戶在保護(hù)他們的數(shù)據(jù)和其他數(shù)字資產(chǎn)方面扮演著與提供商同樣重要的角色。然而，AWS的分擔(dān)責(zé)任模型只是一個(gè)例子。通常情況下，大多數(shù)云計(jì)算供應(yīng)商都訂閱他們自己的關(guān)于共同責(zé)任的協(xié)議和精神。

因此，客戶必須訓(xùn)練有素并具有安全意識。同樣，與網(wǎng)站漏洞不同，云安全中的大多數(shù)（如果不是全部）漏洞都是由客戶端/客戶方面的錯(cuò)誤引起的。

人們已經(jīng)看到移動(dòng)勞動(dòng)力基礎(chǔ)設(shè)施遷移如何增加了企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。用戶/工作人員必須了解最新的協(xié)議和做法。

這個(gè)過程可能意味著改變他們的習(xí)慣，并對如何操作云平臺、網(wǎng)絡(luò)或網(wǎng)站監(jiān)控工具有一個(gè)基本的了解。這些知識將幫助他們驗(yàn)證配置。此外，它將允許他們檢測可能由錯(cuò)誤配置導(dǎo)致的任何故障或違規(guī)行為。

存儲訪問配置錯(cuò)誤

保留對用于數(shù)據(jù)存儲（例如S3存儲）的云對象的訪問權(quán)限并將它們暴露給外部參與者是最常見的錯(cuò)誤之一。令人擔(dān)憂的是，已經(jīng)觀察到一些企業(yè)將其中一些訪問權(quán)限向公眾開放。

網(wǎng)絡(luò)犯罪分子將主動(dòng)掃描暴露的S3存儲桶或公共GitHub存儲庫，以查找企業(yè)機(jī)密和憑證。因此，確保密碼、API密鑰和管理員憑據(jù)的安全和加密變得越來越重要。

解決任何監(jiān)控盲點(diǎn)

云計(jì)算本質(zhì)上是企業(yè)實(shí)現(xiàn)遠(yuǎn)程工作的基礎(chǔ)。無論是訪問軟件即服務(wù)產(chǎn)品以進(jìn)行編程還是會計(jì)，其優(yōu)勢都已得到充分證明。然而，隨著企業(yè)和個(gè)人將更多云平臺提供的服務(wù)集成到他們的軟件堆棧中，他們的安全性和配置要求也會發(fā)生變化。有更多的移動(dòng)部件需要跟蹤。

因此，確保監(jiān)控和日志記錄已經(jīng)打開并將其應(yīng)用于正確的安全組配置非常重要。如果記錄更改云設(shè)置的時(shí)間和人員，這將有所幫助。它將允許企業(yè)解決任何錯(cuò)誤并改進(jìn)對員工的培訓(xùn)。

升級安全性

出現(xiàn)這些錯(cuò)誤配置的另一個(gè)原因是企業(yè)未能擺脫過時(shí)的安全模型，并且缺乏統(tǒng)一的云可見性。安全和基礎(chǔ)設(shè)施的快速變化也可能讓用戶更容易做出改變。例如，多云環(huán)境可能會增加發(fā)生云配置錯(cuò)誤的可能性。

云采用仍然相對較新。因此，尋找能夠跟上現(xiàn)代云服務(wù)不斷發(fā)展的格局的安全資源或程序具有挑戰(zhàn)性。大多數(shù)傳統(tǒng)的本地安全控制已被轉(zhuǎn)換為云基礎(chǔ)設(shè)施。

但是，它們可能還不夠，因?yàn)楸镜匚锢戆踩哪承┓矫娓静贿m用于云服務(wù)安全。例如，獲得所有賬戶和所有地區(qū)的可見性可能會更加困難。

如果企業(yè)有一個(gè)大型運(yùn)營環(huán)境，并且在不同區(qū)域或部門擁有多個(gè)用于風(fēng)險(xiǎn)和合規(guī)性的安全工具，則尤其如此。建議實(shí)施一項(xiàng)將人工智能與網(wǎng)絡(luò)和文件分析相結(jié)合的安全服務(wù)。該解決方案還應(yīng)該為企業(yè)提供動(dòng)態(tài)日志記錄和監(jiān)控。

限制錯(cuò)誤配置

雖然消除錯(cuò)誤配置幾乎是不可能的（尤其是對于擁有復(fù)雜云計(jì)算資產(chǎn)的大公司），但可以限制它們以及可能造成的潛在損害。盡管如此，在企業(yè)中根深蒂固的安全文化是關(guān)鍵。企業(yè)可以從實(shí)施零信任環(huán)境開始，其中只有正確的參與者才能訪問其重要云資產(chǎn)及其配置數(shù)據(jù)。

許多云服務(wù)提供商都有內(nèi)置工具來解決錯(cuò)誤配置。它們包括日志記錄、監(jiān)控、訪問限制等功能?；旧?，企業(yè)可以通過簡單地選擇安全的云計(jì)算供應(yīng)商的服務(wù)來解決一些最常見的錯(cuò)誤配置錯(cuò)誤，并防止違規(guī)事件。?