报告:云安全威胁形势未根本缓解,四大问题凸显
2024-10-13 02:6:0 Author: mp.weixin.qq.com(查看原文) 阅读量:20 收藏

本文6281字   阅读约需 16分钟

近日,云安全联盟(CSA)发布的《2024年顶级云计算威胁报告》(简称《报告》)显示,云安全问题严重性并未得到缓解,包括错误配置、IAM问题、不安全的接口和API,以及云安全策略缺失等仍然是威胁云安全的“四座大山”。
《报告》调查了500多位云安全专家,揭示了企业环境中最主要的云安全威胁,旨在提高组织对云威胁、漏洞和风险的认知。《报告》发现,尽管在云服务提供商相关的传统云安全问题排名持续下降,上述四大问题仍然是当前云安全的重大隐患。

一、云安全威胁的“四座大山”

《报告》发现,与2022年相比,云安全问题的严重性并未得到缓解,尤其是错误配置、IAM缺陷、薄弱的接口和API,以及云安全策略缺失仍然是威胁云安全的“四座大山”。
具体如下: 
  • 配置错误和变更控制不足:从2022年报告中的第三位上升至2024年的头号威胁。几十年来,配置管理一直是组织能力成熟度的基石。然而,向云计算的过渡加剧了挑战,使得团队采用更健壮的云特定配置变得至关重要。考虑到云的持久网络访问和无限容量等特性,错误配置可能会对整个组织产生广泛影响。
  • 身份和访问管理(IAM):从2022年的榜首移至现在的第二位。诸如重放攻击、模拟和过度权限等挑战持续存在。同时,向使用自签名证书和糟糕的加密管理的转变引发了更严重的安全问题。
  • 不安全的接口和API:从2022年的第二位移至今年的第三位。尽管它们在云服务(包括SaaS和PaaS产品)中发挥着关键作用,但由于编码效率低下和云的持久网络访问等特性,在保护这些元素方面仍然存在重大挑战。
  • 云安全策略不足:始终排在第四位,这就引出了一个问题:为什么在规划和构建安全解决方案方面仍然存在重大挑战?云计算已经超越了它的新奇状态,需要一个明确定义和可执行的架构策略。

2022年 VS 2024年云安全主要威胁排行对比

二、2024年11项主要云计算安全威胁

《报告》指出,与云服务提供商(CSP)相关的传统云安全问题的排名持续下降。先前报告中出现的拒绝服务攻击、共享技术漏洞和CSP数据丢失等问题现在被评为较低级别,并未出现在本次榜单中。

2024年云计算最主要的安全威胁
1. 配置错误与变更控制不足 
配置错误是云计算资产的不正确或次优设置,可能使它们易受意外损坏或外部/内部恶意活动的攻击。缺乏云系统知识或对云安全设置及恶意意图的理解都可能导致错误配置。常见的错误配置有:禁用监控和日志记录;ICMP未打开;不安全的自动备份;存储访问;缺乏验证;对非https /HTTP端口的无限制访问;对虚拟机、容器和主机的过度许可访问;启用过多的云访问权限;子域名劫持;特定于云提供商(如AWS S3 )的错误配置等。云环境中不充分的变更控制实践,可能导致无法及时发现错误配置,从而造成重大的安全风险。一方面,云环境与传统IT基础设施有很大不同,这使得变更控制更具挑战性。另一方面,云计算方法强调自动化、广泛访问和快速更改,通常将静态基础设施元素抽象为代码。此外,由于其独特的功能和频繁的更新,使用多个云提供商会带来进一步的复杂性。 
应对策略 
  • 云配置监控、审计和评估:通过利用机器学习,组织可以自动定期检测云系统安全错误配置,减少对人工检查/审计/评估的依赖,提高效率。 
  • 云系统变更管理方法:持续的业务转换和安全挑战的动态特性,要求确保使用实时自动化验证正确地进行变更管理。 
2. 身份和访问管理(IAM) 
用户身份验证、授权、单点登录(SSO)、多因素身份验证(MFA)和活动监控等关键组件是IAM有效性的组成部分。然而,这些特性的复杂性和动态性可能会引入漏洞,特别是在没有正确实现、配置、更新和监控的情况下。另一方面,在云环境中管理身份和访问可能既复杂又有风险。不同的云提供商有独特的系统,这可能导致错误和安全漏洞。每个供应商都集成了不同的IAM框架和细微的细粒度权限。如果没有对多个系统的深入理解和管理策略,将导致严重的错误配置和不一致的安全策略风险。此外,云资源的动态特性(如短期资源和自动扩展)进一步增加了管理的复杂性。而遵循各种法规也是另一个障碍。 
应对策略 
  • 统一IAM解决方案:使用提供强认证、集中管理和跨多个云提供商可见性的IAM解决方案。 
  • 遵循最小权限原则:确保用户只有执行其任务所需的访问权限,控制爆炸半径有助于减少潜在的破坏。 
  • 自动配置和取消配置:部署自动化工具来管理账户和权限的生命周期,确保及时更新和删除不必要的内容访问。 
  • 访问评估和监控:部署工具,通过持续的安全监控来检测、预警和防止未经授权的访问尝试。 
3. 不安全的接口和API 
API和UI通常是系统最为暴露的部分,可能是唯一具有公共IP地址的资产,可在受信任的组织边界之外使用。作为“前门”,它们很可能会被持续攻击,而致使API和UI变脆弱的原因有很多,包括认证机制不足;缺乏加密;会话管理不当;输入验证不足;记录和监控不良;过时或未打补丁的软件;过于宽松的访问控制;缺乏速率限制等。 
应对策略
  • API提供的攻击面应按照最佳实践进行监控和保护。 
  • 实施速率限制和节流,以防止拒绝服务(DoS)攻击之类的行为。 
  • 必须更新传统的安全控制方法和变更管理策略,以跟上基于云的API的增长和变化趋势。不使用不记名令牌或用户名/密码,而是使用自动基于时间的轮换凭据;具有MFA因素的人类可访问UI将提高安全性。所有与身份验证事件相关的令牌都应遵循能够检查其发布时间的标准。 
  • 部署自动化调查凭据生命周期和持续监控异常API流量的技术。通过合并情报馈送增强检测,这些工具可以近乎实时地纠正问题。
4. 云安全策略缺失 
云安全策略包括考虑外部因素、现有实现和云技术的选择、优先级以及创建高级计划或方法的趋势。这些见解可以帮助组织实现云安全目标并支持业务目标。然而,很多组织仍然只是简单地将现有的IT堆栈和安全控制措施“转移”到云环境中,安全建设往往落后于功能迁移,对共享安全责任模型理解不足。 
应对策略 
  • 制定云安全战略或具有明确目标的关键指导原则。 
  • 在设计和实施云服务和安全措施时,应考虑业务目标、风险、效率、安全威胁和法律合规性。 
  • 考虑可能的人为错误,持续的威胁行为者对云弹性的破坏,以及未能激活云战略和安全中的核心保护或基线控制(例如,纵深防御,精简配置云部署模型的优先级)等情况。 
  • 设计适当的云网络、账户、数据、身份管理和边界,专注于已定义的云战略和目标。
5. 不安全的第三方资源
云计算的采用率正在迅速增加,第三方资源可能意味着不同的东西——从通过开源库编写的外部代码到SaaS产品——进而引发诸如“不安全接口和API”中所述的问题。源自第三方资源的风险也被视为“供应链漏洞”,因为它们是向客户交付云服务或应用程序的一部分。对于黑客来说,要实现他们的目标,只需寻找“最薄弱的环节”作为切入点即可。而这个最薄弱的环节通常是大型企业的小型供应商。数据显示,三分之二的数据泄露都是由供应商或第三方漏洞造成的。 
应对策略 
  • 使用官方支持的第三方资源,审查其合规性认证、安全工作的透明度、漏洞赏金计划,以及解决安全问题和及时交付补丁的表现。 
  • 通过软件组成分析(SCA)识别第三方资源,并制定软件物料清单(SBOM)或SaaS物料清单(SaaSBOM)。 
  • 跟踪组织正在使用的SBOM或SaaSBOM和第三方,这包括开源、SaaS产品、云提供商和托管服务,以及计划添加到应用程序中的其他集成。 
  • 定期对第三方资源进行自动和手动审核。如果流程检测到不需要的产品或存在安全问题的过时版本,则应通过适当的机制对其进行修复。 
  • 与供应商合作,确保他们有培训流程和工具来执行自动化应用程序安全测试。 
6. 不安全的软件开发 
开发人员并非有意创建不安全的软件,但软件和云技术的复杂性可能会在不经意间引入漏洞。当部署了这样的安全软件时,威胁者便可利用这些缺陷来破坏云应用程序。通过专注于云优先的方法,组织可以促进DevOps管道的创建,从而实现持续集成/持续部署(CI/CD)管道。云服务提供商(CSP)也可能提供安全重建功能,例如护栏或自动应用程序安全测试。
应对策略 
  • 定义并实现安全开发生命周期(SDLC)过程,包括在设计、开发和操作期间扫描缺陷和漏洞。 
  • 没有软件应用程序是真正安全的。开发人员可以利用云技术来开发更安全的云应用程序,并部署机制来实现弹性。 
  • 了解共享责任模型,例如,如果在开发人员的软件中报告了零日漏洞,则开发人员有责任修复该问题。相反,如果CSP提供软件开发或操作环境,则CSP有责任开发补丁来修复问题。 
  • CSP应重视安全性,遵循“架构良好的框架”或安全设计模式,以安全地实现服务。
7. 意外数据泄露 
意外数据泄露(通常是由于配置错误)的风险每年都在增加。这些风险通常存在于Amazon(S3 bucket、Elastic Container Registry、Elastic Block Storage)、Azure Blob、GCP Storage、Docker Hub、Elasticsearch、Redis和GitHub中。虽然这些问题在过去两年中已经为人所知并被广泛讨论,但Elasticsearch和S3漏洞通常还是在暴露后24小时内发生。
应对策略 
  • 所有云平台都容易受到配置错误/用户错误的影响,技术解决方案能力有限,还需要强大的教育计划、IT审计计划、法律规划等。
  • 一些基本的配置步骤可以极大地减少“意外”发生的可能性,包括维护私有设置,加密内容,使用多因素身份验证(MFA)的强密码等。
  • 为数据库实施最小特权身份和访问管理(IAM)策略,并继续向零信任架构迈进。
  • 为确保合规性,数据所有者必须定期识别和审计数据桶及其权限。利用云安全态势管理(CSPM)等工具实现自动修复。
8. 系统漏洞 
系统漏洞是云服务平台中的缺陷,可被用于破坏数据的机密性、完整性和可用性,并可能破坏服务运营。云服务通常由定制软件、第三方库和服务以及操作系统构建而成。这些组件中的任何一个漏洞都会使云服务更易受到网络攻击。
系统漏洞主要分为四类:
  • 配置错误:当云服务使用默认或不正确的配置设置部署时,就会出现漏洞。据美国国家安全局称,云资源配置错误是最普遍的云漏洞。
  • 零日漏洞:这些漏洞是威胁行为者在云服务提供商/软件供应商不知情的情况下发现并利用的。
  • 未打补丁的软件:包含已知安全漏洞的软件,尽管有可用的补丁,但这些漏洞尚未修复。
  • 弱或默认凭据:缺乏强身份验证会增加威胁行为者未经授权访问敏感数据和系统的机会。
应对策略 
  • 持续监控系统和网络,提供安全漏洞和其他系统完整性问题的可见性。
  • 定期进行补丁管理,确保及时获取和部署最新的安全补丁,增强系统抵御网络攻击的能力。
  • 零信任架构可以通过限制对关键云资源的访问来限制零日漏洞的潜在损害。

9. 有限的云可见性/可观察性 
当组织无法有效地可视化和分析云服务的使用情况时,就会出现云可见性不足的情况。这个问题包含两个主要挑战:未经批准的应用使用和批准应用的滥用。“未经批准的应用使用”是指员工在没有公司IT和安全部门的特定许可和支持的情况下使用云应用程序和资源,从而导致“影子IT”。当涉及到敏感的企业数据时,这种情况尤其危险。当组织无法监控其批准的应用程序如何被内部人员使用或被外部威胁行为者作为目标时,就会发生“批准的应用程序滥用”。
应对策略 
  • 开发全面的云可见性:从自上而下的方法开始,让云安全架构师创建一个集成人员、流程和技术的解决方案。
  • 授权全公司范围的培训:确保所有员工都接受了云使用政策及其执行策略的培训。
  • 审核和批准未经批准的服务:让云安全架构师或第三方风险管理人员审核和批准所有未经批准的云服务。
  • 投资云访问安全代理(CASB)和零信任安全(ZTS)解决方案:使用这些工具来分析出站活动,发现云使用情况,并识别异常行为。
  • 部署Web应用程序防火墙(WAF):监控所有入站连接,防范可疑趋势、恶意软件、DDoS和僵尸网络风险。
  • 监控关键企业云应用:选择合适的解决方案来控制关键应用,减少可疑行为。实施零信任模型:在整个组织中采用零信任方法以确保强大的安全性。
10. 未验证的资源共享 
未经身份验证的云资源共享可能会给云服务带来重大安全风险。云资源可以包括虚拟机、存储桶和数据库,它们都包含对业务运营至关重要的敏感数据和应用程序。如果没有适当的用户身份验证或遵循最小特权原则,云资源就会被想要窃取公司和个人机密数据的威胁行为者所破坏。
应对策略 
  • 多因素身份验证(MFA):MFA要求用户通过二次认证来验证其身份,以提供额外的保护层。
  • 第三方认证平台:使用专门的用户身份验证服务,可以帮助组织可靠地管理用户认证,并提供一键式授权等用户友好的认证方案。
  • 管理用户访问:只允许用户访问他们需要的数据和应用程序。
  • 持续监控活动:持续监控用户并跟踪任何异常行为有助于揭示数据泄露迹象。

11. 高级持续性威胁 
APT组织(包括国家背景攻击组织和有组织的犯罪团伙)拥有丰富的资源和专业知识,可以针对云中的敏感数据和资源开展长期攻击活动,对云安全构成了重大风险。2022至2023年间,APT活动通过勒索软件、零日漏洞、网络钓鱼和凭据盗窃、破坏性雨刷攻击和供应链破坏等各种策略严重威胁云环境。这些方法突出了APT的持久性,需要强大的安全措施来保护云基础设施免受此类高级威胁。
应对策略 
  • 业务影响分析:定期分析业务影响,以识别和了解组织的关键信息资产和潜在漏洞。这将有助于确定安全工作和资源分配的优先级,以保护最有价值的数据免受APT威胁。
  • 网络安全信息共享:参与网络安全信息共享组和论坛,了解相关APT组织及其战术、技术和程序(TTPs),以增强组织的准备和响应能力。
  • 进攻性安全演习:通过红队和威胁猎杀活动,定期模拟APT TTP。这些进攻性安全演习有助于测试和提高组织的检测和响应能力,确保安全措施能够有效应对复杂的威胁。

三、云计算安全四大趋势

许多趋势可能会影响云安全威胁的未来。组织必须及时了解并适应这些趋势,以维护安全的云环境。以下是云计算的四大关键趋势:
1. 攻击复杂性增加 
攻击者将继续发展更复杂的技术,包括利用人工智能(AI)来攻击云环境中的漏洞,这将需要企业采取更积极的安全姿态,并加强持续监控和威胁猎杀能力。
2. 供应链风险增加 
随着云生态系统的复杂性增加,供应链漏洞的攻击面也将扩大,企业需要将安全措施扩展到其供应商和合作伙伴。 
3. 监管环境演变 
预计监管机构将实施更严格的数据隐私和安全法规,这将要求企业调整其云安全实践。 
4. 勒索软件即服务(RaaS)兴起 
RaaS将使技术欠缺的攻击者更容易发起复杂的勒索软件攻击,这要求企业拥有强大的数据备份和恢复解决方案,并加强访问控制。
组织可以采取下述关键缓解策略,实现最佳防御能力: 
  • 在整个软件开发生命周期中集成AI:在开发早期利用AI进行代码审查和自动漏洞扫描等任务,将有助于在代码到达生产环境之前识别和解决安全问题。
  • 利用人工智能支持的攻击性安全工具:这些工具能够模拟攻击者的行为,以发现云配置、IAM协议和API中的漏洞。 
  • 云原生安全工具:组织将越来越多地采用专门为云环境设计的云原生安全工具,以实现更好的可见性和控制。 
  • 零信任安全模型:零信任模型强调持续验证和最小权限访问,已成为云安全的标准。 
  • 自动化和编排:自动化安全流程和工作流程对于大规模管理云安全的复杂性至关重要。 
  • 安全技能培训:组织必须投资于培训和发展计划,以发展必要的专业知识。

关于作者

云安全联盟(CSA )是全球中立的非营利行业组织,致力于国际云计算安全和下一代IT安全的全面发展,聚焦在网络安全领域的基础标准研究和产业最佳实践。

END


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNjYwMTMyNQ==&mid=2247492495&idx=1&sn=6504028f8f544ff98df07085fd5c6c81&chksm=971d8e8da06a079b6ab127071794360c09d3c48af6297bc82543d12c07adb1a3dcab5f92eaaf&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh