云安全專家 Qualys 從其自己的平臺(tái)和第三方汲取見解和數(shù)據(jù)，提供了對(duì)前五名云安全風(fēng)險(xiǎn)的看法。

五個(gè)關(guān)鍵風(fēng)險(xiǎn)領(lǐng)域是錯(cuò)誤配置、面向外部的漏洞、武器化漏洞、云環(huán)境內(nèi)的惡意軟件以及修復(fù)滯后（即修補(bǔ)延遲）。

2023 年 Qualys 云安全洞察報(bào)告，提供了有關(guān)這些風(fēng)險(xiǎn)領(lǐng)域的更多詳細(xì)信息。毫無疑問，錯(cuò)誤配置是第一個(gè)。早在 2020 年 1 月，美國國家安全局 (NSA) 就警告稱，配置錯(cuò)誤是云資產(chǎn)的主要風(fēng)險(xiǎn)領(lǐng)域，而且似乎沒有什么變化。Qualys 和 NSA 都指出，對(duì)云服務(wù)提供商 (CSP) 和云消費(fèi)者之間共同責(zé)任概念的誤解或回避是錯(cuò)誤配置的主要原因。

Tigera 首席營銷官 Utpal Bhatt 解釋說：“在共擔(dān)責(zé)任模式下，CSP 負(fù)責(zé)監(jiān)控和響應(yīng)云和基礎(chǔ)設(shè)施（包括服務(wù)器和連接）的威脅。他們還有望為客戶提供保護(hù)其工作負(fù)載和數(shù)據(jù)所需的功能。使用云的組織負(fù)責(zé)保護(hù)云中運(yùn)行的工作負(fù)載。工作負(fù)載保護(hù)包括安全工作負(fù)載狀態(tài)、運(yùn)行時(shí)保護(hù)、威脅檢測(cè)、事件響應(yīng)和風(fēng)險(xiǎn)緩解?！?/p>

雖然 CSP 提供安全設(shè)置，但將數(shù)據(jù)部署到云的速度和簡單性往往會(huì)導(dǎo)致這些控制措施被忽視，而補(bǔ)償消費(fèi)者控制措施則不夠充分。誤解或誤用共同責(zé)任的劃分會(huì)給辯護(hù)留下漏洞；Qualys 指出，“這些安全‘漏洞’可以快速打開云環(huán)境，并將敏感數(shù)據(jù)和資源暴露給攻擊者?！?/p>

Qualys 發(fā)現(xiàn) 60% 的 Google Cloud Platform (GCP) 使用情況、57% 的 Azure 和 34% 的 Amazon Web Services (AWS) 使用情況都存在配置錯(cuò)誤（根據(jù) CIS 基準(zhǔn)衡量）。

圖片

Qualys 威脅研究部門副總裁 Travis Smith 表示：“AWS 配置比 Azure 和 GCP 的配置更安全的原因可能在于其更大的市場(chǎng)份額……與其他 CSP 相比，有更多關(guān)于保護(hù) AWS 的材料市場(chǎng)。”

該報(bào)告敦促更多地使用互聯(lián)網(wǎng)安全中心（CIS）基準(zhǔn)來強(qiáng)化云環(huán)境。“沒有組織會(huì)部署 100% 的覆蓋率，”Smith 補(bǔ)充道，“但如果組織希望降低在云中遇到安全事件的風(fēng)險(xiǎn)，則應(yīng)強(qiáng)烈考慮將 [映射到 MITRE ATT&CK 策略和技術(shù)的 CIS 基準(zhǔn)] 作為基線部署”。

第二大風(fēng)險(xiǎn)來自包含已知漏洞的外部資產(chǎn)。攻擊者可以掃描具有公共 IP 的云資產(chǎn)以查找漏洞。以Log4Shell（面向外部的漏洞）為例。“如今，Log4Shell 及其已知的次要漏洞已經(jīng)有了補(bǔ)丁，”Qualys 說?！暗恍业氖?，Log4Shell 仍然沒有得到修復(fù)，在面向外部的云資產(chǎn)上有 68.44% 的檢測(cè)結(jié)果未打補(bǔ)丁。”

Log4Shell 還說明了第三種風(fēng)險(xiǎn)：武器化漏洞。報(bào)告稱：“武器化漏洞的存在就像給任何人一把通往你的云的鑰匙?！?nbsp;Log4Shell 允許攻擊者在記錄字符串時(shí)通過操縱特定的字符串替換表達(dá)式來執(zhí)行任意 Java 代碼或泄露敏感信息。它很容易利用并且在云中無處不在。

“Log4Shell 于 2021 年 12 月首次檢測(cè)到，并繼續(xù)困擾全球企業(yè)。我們已檢測(cè)到 100 萬個(gè) Log4Shell 漏洞，其中只有 30% 成功修復(fù)。由于復(fù)雜性，修復(fù) Log4Shell 漏洞平均需要 136.36 天（約四個(gè)半月）。”

第四個(gè)風(fēng)險(xiǎn)是您的云中已經(jīng)存在惡意軟件。雖然這并不自動(dòng)意味著“游戲結(jié)束”，但如果不采取任何行動(dòng)，游戲很快就會(huì)結(jié)束?！霸瀑Y產(chǎn)面臨的兩個(gè)最大威脅是加密貨幣挖礦和惡意軟件；兩者的設(shè)計(jì)目的都是為了在您的環(huán)境中提供立足點(diǎn)或促進(jìn)橫向移動(dòng)，”報(bào)告稱?！凹用茇泿磐诘V造成的關(guān)鍵損害是基于計(jì)算周期成本的浪費(fèi)?！?/p>

雖然這對(duì)礦工來說可能是正確的，但值得記住的是，礦工找到了進(jìn)入的方法。鑒于暗網(wǎng)中信息共享的效率，該路線很可能會(huì)被其他犯罪分子所知。2022 年 8 月，Sophos報(bào)告了“多方”攻擊，其中礦工往往是帶頭攻擊。Sophos當(dāng)時(shí) 告訴《安全周刊》，“加密貨幣礦工應(yīng)該被視為煤礦里的金絲雀——這是幾乎不可避免的進(jìn)一步攻擊的初步跡象?！?/p>

簡而言之，如果您在云中發(fā)現(xiàn)加密貨幣挖礦程序，請(qǐng)開始尋找其他惡意軟件，并找到并修復(fù)挖礦程序的進(jìn)入路徑。

第五個(gè)風(fēng)險(xiǎn)是漏洞修復(fù)緩慢，即補(bǔ)丁時(shí)間過長。我們已經(jīng)看到 Log4Shell 的修復(fù)時(shí)間超過 136 天（如果確實(shí)完成的話）。同樣的一般原則也適用于其他可修補(bǔ)的漏洞。

有效的修補(bǔ)可以快速減少系統(tǒng)中的漏洞數(shù)量并提高安全性。統(tǒng)計(jì)數(shù)據(jù)表明，通過某種自動(dòng)化方法可以更有效地執(zhí)行此操作。報(bào)告稱，“幾乎在所有情況下，自動(dòng)修補(bǔ)都被證明是比手動(dòng)工作更有效地部署關(guān)鍵補(bǔ)丁并讓您的業(yè)務(wù)更安全的補(bǔ)救途徑?！?/p>

對(duì)于非 Windows 系統(tǒng)，自動(dòng)修補(bǔ)的效果是修補(bǔ)率提高 8%，修復(fù)時(shí)間縮短兩天。

與補(bǔ)救風(fēng)險(xiǎn)相關(guān)的是技術(shù)債務(wù)的概念——繼續(xù)使用支持終止 (EOS) 或生命周期終止 (EOL) 產(chǎn)品。這些產(chǎn)品不再受到供應(yīng)商的支持 - 將沒有補(bǔ)丁可供實(shí)施，并且未來的漏洞將自動(dòng)成為零日威脅，除非您可以采取其他補(bǔ)救措施。 

報(bào)告指出：“我們的調(diào)查期間發(fā)現(xiàn)超過 6000 萬個(gè)應(yīng)用程序已終止支持 (EOS) 和終止生命周期 (EOL)?！?nbsp;此外，“在接下來的 12 個(gè)月內(nèi)，超過 35,000 個(gè)應(yīng)用程序?qū)⑼Ｖ怪С?。?/p>

防御團(tuán)隊(duì)需要優(yōu)先考慮這些風(fēng)險(xiǎn)中的每一個(gè)。消費(fèi)者使用云的速度和攻擊者濫用云的速度表明，防御者應(yīng)盡可能采用自動(dòng)化和人工智能來保護(hù)其云資產(chǎn)。“自動(dòng)化是云安全的核心，”Bhatt 評(píng)論道，“因?yàn)樵谠浦?，?jì)算資源數(shù)量眾多且不斷變化。”