云計(jì)算已成為企業(yè)數(shù)字化轉(zhuǎn)型的主流工具，但企業(yè)的云安全能力卻往往并不入流。調(diào)查顯示，98%的企業(yè)將財(cái)務(wù)、業(yè)務(wù)、客戶、員工信息存儲(chǔ)在云端，但同時(shí)，95%的云安全專業(yè)人士對(duì)檢測(cè)和響應(yīng)云安全事件的能力缺乏信心。

八種常見的云安全錯(cuò)誤

以下是企業(yè)云環(huán)境中最常見的八種云安全錯(cuò)誤：

• 云配置錯(cuò)誤。可能會(huì)導(dǎo)致攻擊者獲得對(duì)系統(tǒng)功能和敏感數(shù)據(jù)進(jìn)行未授權(quán)訪問的權(quán)限，并有可能損害企業(yè)云的完整性和安全性。
• 可公開訪問的密鑰、憑證等。最常見的云安全錯(cuò)誤之一是以純文本存儲(chǔ)或在代碼中包含可公開訪問的密鑰、憑證和其他敏感信息。此類信息能讓未經(jīng)授權(quán)的攻擊者訪問云資源。
• 不使用多因素身份驗(yàn)證(MFA)。這是一個(gè)糟糕的習(xí)慣，攻擊者可以輕松竊取用戶密碼（通過網(wǎng)絡(luò)釣魚、惡意軟件、暴力破解等）并訪問存儲(chǔ)在云中的數(shù)據(jù)。
• 未定義訪問控制策略。云資源的有效管理需要清晰且定義良好的訪問控制策略。如果企業(yè)未定義此類策略，云資源可能容易受到未經(jīng)授權(quán)的訪問，從而可能導(dǎo)致數(shù)據(jù)泄露、未經(jīng)授權(quán)的訪問可用于進(jìn)一步破壞帳戶以及網(wǎng)絡(luò)和系統(tǒng)破壞。
• 沒有完善的數(shù)據(jù)備份策略，這會(huì)導(dǎo)致企業(yè)在網(wǎng)絡(luò)攻擊事件中面臨數(shù)據(jù)丟失和業(yè)務(wù)中斷的重大風(fēng)險(xiǎn)。
• 忽視修補(bǔ)和更新系統(tǒng)。網(wǎng)絡(luò)犯罪分子總是在積極尋找弱點(diǎn)（漏洞）并利用它們?cè)L問系統(tǒng)、投放惡意軟件和竊取數(shù)據(jù)。企業(yè)補(bǔ)丁管理流程的最佳實(shí)踐包括：采用基于風(fēng)險(xiǎn)的方法進(jìn)行補(bǔ)丁管理、建立基線清單以及按優(yōu)先級(jí)和風(fēng)險(xiǎn)對(duì)資產(chǎn)進(jìn)行分類。
• 缺乏持續(xù)監(jiān)控。會(huì)讓企業(yè)面臨重大云安全風(fēng)險(xiǎn)，因?yàn)檫@意味著攻擊者利用漏洞后可在系統(tǒng)中長(zhǎng)期駐留不被發(fā)現(xiàn)。常見的監(jiān)控措施包括：實(shí)施XDR、監(jiān)控日志和事件、設(shè)置警報(bào)、利用AI和機(jī)器學(xué)習(xí)分析數(shù)據(jù)、建立成熟的威脅檢測(cè)計(jì)劃等。
• 未加密數(shù)據(jù)。這可能對(duì)企業(yè)造成嚴(yán)重后果：如果攻擊者獲得了未加密數(shù)據(jù)的訪問權(quán)限，他們就可以輕松讀取、復(fù)制或修改數(shù)據(jù)，而不會(huì)留下任何痕跡。這可能會(huì)導(dǎo)致數(shù)據(jù)泄露，暴露敏感信息，例如客戶數(shù)據(jù)、財(cái)務(wù)記錄、知識(shí)產(chǎn)權(quán)或商業(yè)秘密。

ESET研究人員補(bǔ)充了另一個(gè)常見的云安全錯(cuò)誤：過分信任云服務(wù)商。

研究人員指出：“許多IT領(lǐng)導(dǎo)者認(rèn)為，投資云意味著將一切都外包給值得信賴的第三方。這并不完全正確。云計(jì)算的安全的責(zé)任是由云服務(wù)提供商(CSP)和客戶共同承擔(dān)的?！?/p>

云安全需要整體策略和方案

數(shù)據(jù)、用戶、應(yīng)用程序和基礎(chǔ)設(shè)施在云中需要不同的保護(hù)措施。用戶需要謹(jǐn)慎分配并經(jīng)常審查數(shù)據(jù)訪問權(quán)限，此外，創(chuàng)建企業(yè)內(nèi)部數(shù)據(jù)資產(chǎn)的全面清單和分類也至關(guān)重要。

企業(yè)應(yīng)實(shí)施數(shù)據(jù)泄露防護(hù)(DLP)、數(shù)據(jù)加密和通過MFA和單點(diǎn)登錄進(jìn)行授權(quán)的零信任模型。此外，企業(yè)還應(yīng)密切監(jiān)控用戶活動(dòng)并使用云訪問安全代理(CASB)加強(qiáng)威脅檢測(cè)并在云應(yīng)用程序中執(zhí)行安全策略。

為了更好地保護(hù)云端應(yīng)用，建議企業(yè)部署和使用：

• 具有主動(dòng)修復(fù)策略的漏洞掃描
• 用于問題分析的靜態(tài)應(yīng)用程序安全測(cè)試(SAST)
• 用于識(shí)別配置錯(cuò)誤的滲透測(cè)試
• 用于開源代碼安全分析的軟件成分分析(SCA)
• 監(jiān)控應(yīng)用程序訪問和權(quán)限更改的變更和配置審計(jì)

此外，完善的云基礎(chǔ)設(shè)施安全措施還包括定期的配置審計(jì)以確保遵守組織政策，對(duì)網(wǎng)絡(luò)組件和權(quán)限中的配置錯(cuò)誤進(jìn)行自動(dòng)監(jiān)控，以及實(shí)施事件預(yù)防、檢測(cè)和響應(yīng)措施，例如高級(jí)惡意軟件防護(hù)、入侵檢測(cè)系統(tǒng)和流量監(jiān)控等。