美國(guó)政府可能出臺(tái)的法規(guī)會(huì)影響AWS等云計(jì)算提供商及其客戶(hù)。Cado Security公司首席技術(shù)官兼聯(lián)合創(chuàng)始人克里斯?多曼討論了通過(guò)建立更強(qiáng)大的網(wǎng)絡(luò)安全防御來(lái)提高公共云安全性的策略。

通過(guò)KYC防止云托管提供商的濫用

新的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略中提出的一個(gè)想法是重新執(zhí)行一項(xiàng)行政命令，這是特朗普政府提出但沒(méi)有實(shí)施的新窗口。該行政命令旨在通過(guò)對(duì)國(guó)內(nèi)云提供商實(shí)施更嚴(yán)格的了解客戶(hù)(KYC)檢查，使攻擊者更難以在美國(guó)托管惡意軟件和攻擊。

雖然是出于好意，但這可能會(huì)產(chǎn)生負(fù)面影響。如今，云計(jì)算提供商善于發(fā)現(xiàn)并關(guān)閉被濫用的系統(tǒng)。此外，他們經(jīng)常通過(guò)與執(zhí)法部門(mén)或友好的研究人員分享潛在相關(guān)攻擊的信息來(lái)進(jìn)行合作。不太可能從海外“防彈”托管中獲得這種合作。

Politico表示，這迫使攻擊者了解他們?cè)诿绹?guó)以外的攻擊可能會(huì)更容易發(fā)現(xiàn)他們，從而更好地跟蹤威脅:

“外國(guó)黑客經(jīng)常租用美國(guó)的云基礎(chǔ)設(shè)施，因?yàn)檫@樣更容易從美國(guó)的IP地址混入看似正常的互聯(lián)網(wǎng)流量，”這位高級(jí)政府官員告訴MC。在美國(guó)境內(nèi)發(fā)動(dòng)攻擊還允許他們利用美國(guó)網(wǎng)絡(luò)司令部和國(guó)家安全局的盲點(diǎn)，這些盲點(diǎn)被禁止監(jiān)視美國(guó)網(wǎng)絡(luò)。”

第一種說(shuō)法是，更容易查明來(lái)自美國(guó)以外的攻擊，這充其量只是一種極端情況。1995年，一家國(guó)防承包商可能有能力阻止或?qū)彶槊绹?guó)境外的通信。但在2023年，沒(méi)有任何組織有能力阻止或?qū)彶樗辛飨蛎绹?guó)境外的流量。此外，服務(wù)器的地理位置在任何情況下都不是特別可靠。

第二種說(shuō)法，即美國(guó)國(guó)家安全局和美國(guó)網(wǎng)絡(luò)司令部將能夠擁有更大的可見(jiàn)度，似乎更可信。然而，美國(guó)已經(jīng)有了一個(gè)國(guó)內(nèi)情報(bào)機(jī)構(gòu)——聯(lián)邦調(diào)查局，它有權(quán)監(jiān)視美國(guó)的網(wǎng)絡(luò)，盡管附加了更多的條件。然而，如果從美國(guó)的服務(wù)器發(fā)起重大攻擊，聯(lián)邦調(diào)查局很可能能夠訪問(wèn)服務(wù)器本身。最初的行政命令特別提到，在服務(wù)器被捕獲和分析之前，攻擊者破壞證據(jù)的問(wèn)題打開(kāi)了一個(gè)新的窗口。

提高云提供商的彈性

另一份由Politico發(fā)布的報(bào)告提供了可能即將出臺(tái)的其他立法的背景。報(bào)告援引拜登政府網(wǎng)絡(luò)主管肯巴?瓦爾登的話說(shuō)，雖然云服務(wù)可以“減輕最終用戶(hù)的大量安全負(fù)擔(dān)……但當(dāng)這些云提供商沒(méi)有提供他們可以提供的安全級(jí)別時(shí)，問(wèn)題就出現(xiàn)了?！?

雖然云提供商應(yīng)盡其所能確保其服務(wù)的適當(dāng)安全性，但也應(yīng)認(rèn)識(shí)到云服務(wù)提供商和組織內(nèi)部安全職能之間的共同責(zé)任模型。無(wú)論如何，遷移到云可以改善組織的整體安全狀況，因此政府鼓勵(lì)云遷移是有道理的。例如，勒索軟件已經(jīng)摧毀了小型企業(yè)，在云中運(yùn)行重要文件和平臺(tái)可以降低此類(lèi)事件發(fā)生的可能性和影響。

然而，遷移到云并不能提供更高的安全性，而且可能會(huì)帶來(lái)額外的挑戰(zhàn)。例如，由于云資源的動(dòng)態(tài)性和短暫性，組織通常沒(méi)有必要的數(shù)據(jù)來(lái)執(zhí)行適當(dāng)?shù)恼{(diào)查，一旦這些資源之一受到損害。由于某些云資源(如容器)不斷地上下旋轉(zhuǎn)，如果組織在事件發(fā)生后不能快速捕獲數(shù)據(jù)，那么這些數(shù)據(jù)可能永遠(yuǎn)丟失。這有助于攻擊者掩蓋他們的蹤跡。

當(dāng)考慮到現(xiàn)行的或擬議的立法時(shí)，組織往往通過(guò)使自己的激勵(lì)與公眾的激勵(lì)保持一致而得到最好的服務(wù)。云計(jì)算提供商已經(jīng)有了維護(hù)客戶(hù)的彈性和安全性的巨大動(dòng)力，即使他們也從安全支出中獲得了巨額利潤(rùn)。

小心松鼠

在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，一個(gè)公認(rèn)的觀點(diǎn)是，松鼠對(duì)電網(wǎng)的威脅可能比網(wǎng)絡(luò)更大。

一個(gè)專(zhuān)門(mén)追蹤松鼠攻擊關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)站解釋了這一現(xiàn)象，并附帶了一個(gè)游戲，用戶(hù)可以扮演松鼠攻擊變電站。

同樣，由于網(wǎng)絡(luò)攻擊而影響關(guān)鍵基礎(chǔ)設(shè)施的災(zāi)難威脅與更多的物理威脅相比被夸大了，云計(jì)算提供商的災(zāi)難可能也是如此。就像在Cloudhopper操作中打開(kāi)了一個(gè)新窗口，許多二級(jí)云托管公司和網(wǎng)絡(luò)托管服務(wù)商受到了攻擊，云計(jì)算公司被黑客攻擊，這可能會(huì)通過(guò)供應(yīng)鏈攻擊導(dǎo)致更多的客戶(hù)妥協(xié)。

鑒于所有關(guān)于針對(duì)云提供商的網(wǎng)絡(luò)攻擊的討論，最具破壞性的云服務(wù)中斷實(shí)際上是AWS停電和OVH數(shù)據(jù)中心燒毀的結(jié)果。