如何响应2022年网络威胁形势
写在前面:2022年已经过半,再谈2022年的网络威胁形势是不是有点晚了。在这篇文章中,Gartner没有像往常那样,对这一年的网络威胁进行统计,给出很多图表。而是根据威胁的特点和未来发展趋势进行分类,并给出建议,是一种方法论和思路,很值得参考。
目前来看,最严重威胁是勒索软件、钓鱼攻击和账户滥用;高增长威胁是API攻击、供应链攻击、网络物理系统攻击;新出现威胁是混合工作、云中的错误配置。
在筹备未来工作并加速数字化转型的过程中,组织机构面临着新的威胁。Gartner的建议将帮助安全和风险管理领导者不断完善他们的战略,以应对最严重威胁、高势头威胁和新出现的威胁。
概述
关键发现
- 许多机构一直认为,网络安全威胁只会带来技术风险。而且,他们关注可能不会直接影响他们的威胁,如网络战,而忽略了可能影响任何组织的威胁发展,如勒索软件、网络钓鱼和账户滥用。
- 尽管对网络安全持续投资,但威胁形势仍然面临挑战,数字业务转型、混合员工和工作场所以及互联的数字供应链扩大了攻击面。
- 成熟的安全实践在面对新兴的、势头强劲的威胁时滞后,例如API或网络物理系统(cyber-physical system,CPS)的攻击,但组织仍然考虑“我们安全吗?”而不是“我们准备好了吗?”
- 组织无法预测下一个“大爆炸”袭击会是什么。安全和风险管理领导者在面对抓人眼球的攻击报道、刚刚发生的事件或炒作的概念时,太容易偏离自己的安全战略,仿佛这些就是他们接下来要面对情况的指示器。
建议
负责调整企业安全计划以适应威胁环境的安全和风险管理领导者,包括首席信息安全官(CISO)应该:
- 在应对最严重威胁时,应重新关注内部通信,并改进安全措施,以适应新的攻击趋势,例如多种手段钓鱼、攻击者要求第二笔赎金或公开数据,或攻击者针对服务凭证而不是用户。通过对已知威胁细微趋势的有效沟通,确保管理层支持对安全控制改进的持续投资。
- 在安全运营组织内部建立流程,评估新出现的、势头正猛威胁的影响。从API、供应链和CPS威胁开始,重点关注暴露管理、态势验证、良好的安全健康和风险意识。
- 对于新出现的和未来的威胁,关注网络弹性,并与组织领导人对安全的关注保持一致,以预测由于业务转型而导致的攻击面扩大。
介绍
当制定长期安全计划时,CISO和他们的团队使用行业报告、威胁情报源和高影响攻击的新闻来帮助规划业务场景。2019新冠疫情打乱了三年的路线图,预料之外的、使用附加项目管理变成了新常态。与此同时,网络安全从IT风险问题变成了业务风险问题。
安全团队推迟计划项目,为了扩展远程工作和适应加速的IT和业务转型,现在需要为未来的工作和业务设计安全策略。关注最近的攻击趋势会人为地夸大当前远程办公转型过程中,常见和成功的机会主义攻击。同样,从零开始或把“零信任”曲线解释成持续改进项目,会有错过目标和留下差距的风险。分析威胁形势需要多角度的方法,包括攻击者的视图和防御者的局限(参见下图)。
这项研究涵盖了最严重威胁、高势头威胁和新出现的威胁:
- 最严重威胁:组织高度注意,由于底层变化导致,需常年保持关注。
- 高势头威胁:正在增长的威胁,但比最严重威胁略低。
- 新出现的威胁:这些威胁更罕见、但足够引起安全和风险管理领导人的注意。
在威胁形势中,攻击者意图和技术方向是威胁变化的直接因素。安全实践的发展可能会改变投资优先级。本研究将帮助保持“快慢结合”持续性框架。
- 快速:当面对新出现的威胁和意想不到的(现在很频繁)大范围攻击时,能够快速适应,这些攻击需要立即且总是不同的响应(例如对SolarWinds的攻击和对Log4j漏洞的利用)。
- 缓慢:最严重威胁放在最后。勒索软件、账户接管和数据窃取多年来一直高居榜首。这就导致了“攻击疲劳”,造成了针对这些威胁形式的增量改进的新计划在获得资金方面的困难。成功地处理这些众所周知的威胁需要监测细微趋势,确定差距和多个团队之间的有效沟通。
Gartner收到客户的询问,要求我们预测未来的威胁。然而,不可能准确地预测威胁,因为未知的拐点,如战争或新的流行病,可以迅速改变威胁状况。
分析
当涉及到最严重威胁时,CISO和他们的团队经常无法与IT和业务主管进行有效沟通,有时也无法与他们自己的安全团队进行沟通。当他们在坚持大家听滥了的威胁倡议时,可能会遇到强烈的抵制,并面临这样的回应:
- “我们已经在防范勒索软件方面投入了大量资金!”
- “我们投资了三年的安全运营中心项目,仍然遭受攻击!”
- “采购部说,如果所有产品都从同一家厂商采购,我们可以节省20%的成本。我们多年来一直面临威胁,为什么要尝试一家未合作过的新公司呢?”
以下部分将解释如何适应最近最严重、高增长和新出现威胁的变化。
最严重威胁
同样的威胁往往会在数年里高居榜首。根据Verizon公司的《2021年数据泄露调查报告》,网络钓鱼、使用窃取的证书和勒索软件位于数据泄露的五大原因之中。他们在2018年的报告中已经名列前茅。Verizon在2013年的报告中首次报告了勒索软件。对于最严重的威胁,新的统计数据表明,即使在影响上有两位数的增长,也不足以保证在资金和管理上对安全措施的支持。
在应对重大威胁时,安全主管面临的主要挑战是投入足够的精力,把IT和业务主管在一个他们认为已经花钱解决过的问题上团结起来。
当向企业高管介绍顶级威胁时,CISO应该从以下几个主要趋势开始:
- 攻击者比企业更快地认识到,智能自动化比全面自动化更高效。他们使用人力驱动的自动化活动,例如,人类驱动的机器人(human-driven bots,“hu-bots”)、多手段网络钓鱼(multichannel phishing,“mc-phishing”)和勒索软件即服务攻击——来绕过自动化防御。
- 网络犯罪在疫情期间加速行动,推动网络犯罪组织采取更小、更短、更隐秘的行动。
- 成为主流新闻头条的高调袭击事件并不多见。组织更有可能被一些简单的“市场上可以买到”的攻击所入侵。
- 在过去的12个月里,本部分所涵盖的所有顶级威胁方式的数量都出现了两位数的强劲增长,其中大多数攻击方式的成功率都有所提高
勒索软件
预计攻击者:
- 更频繁地针对多样化的普通目标,利用较小的攻击来避开资金充足的民族国家的注意。
- 攻击关键网络物理系统(CPS),特别是由于地缘政治紧张局势推动和结盟的勒索软件团伙。
- 使用“大家认可”的云应用程序优化勒索软件的交付,例如企业生产力SaaS软件包,用加密技术隐藏活动。
- 以个别员工为目标,特别是那些使用有漏洞的远程访问服务(如远程桌面协议服务)进行远程工作的员工,或者贿赂员工以获取进入组织的权限,以发起更大规模的勒索软件活动。
- 窃取数据是为了勒索公司支付赎金,否则就会冒着数据泄露的风险,这可能会导致监管罚款,并限制常规“快速恢复”方法的好处。
- 将勒索软件与其他技术,如分布式拒绝服务(DDoS)攻击结合起来,迫使面向公众的服务下线,直到组织支付赎金。
- 利用窃取的凭证访问端点。
勒索软件已经超越了IT范畴。政府现在也参与进来,各机构和大型基础设施提供商之间的合作可以帮助更快地摧毁大规模的勒索软件基础设施。这将促使攻击者按照如下方式调整和优化勒索软件的投送和支付(参见下图):
- 投送:他们将进一步使用云存储和加密技术。根据Netskope的数据,在2021年,69%的恶意软件采用HTTP(S)传输通过云存储应用程序投送,这些应用程序越来越有可能被批准,特别是在家庭工作场景中。此外,91.5%的恶意软件是通过加密连接安装的。
- 支付:攻击者将瞄准较小的目标,并向其他群体提供“勒索软件即服务”。这将使攻击更具针对性和复杂性,因为针对某一组织的小团伙组将可以访问由专门小组开发的勒索软件。攻击者还会针对关键资产,如网络物理系统。
备份策略比以往任何时候都更重要,因为即使一个组织支付了赎金,也不能保证它会恢复所有的数据。
主要建议:
- 构建事件前策略,包括备份(包括恢复测试)、资产管理和用户权限限制。
- 通过培训员工和安排定期演习,建立事故后响应程序。
- 将勒索软件保护程序的范围扩大到网络物理系统。
- 增加针对勒索软件事件的非技术方面的跨团队培训。
- 请记住,支付赎金并不能保证删除被窃取的数据、完全恢复加密数据或立即恢复操作。
- 不要只依赖网络保险。高管们对网络安全保险政策的预期与实际保障范围之间往往存在脱节。
钓鱼攻击
预计攻击者:
- 非常成功。在过去的12个月内,只有不到五分之一的组织没有受到任何网络钓鱼攻击。
- 采用多手段网络钓鱼,一次行动中包括社交工程、语音、短信、电子邮件和网络攻击。
- 从个人转向专业。他们会利用个人信息冒充员工,将目标锁定在个人身上,例如,商业电子邮件入侵活动。
- 利用核实身份的有限方式,冒充个人或管理机构,例如,政府机构工作人员和首席财务官或首席执行官办公室的成员。
- 使用合法的云存储保存恶意软件。
网络钓鱼使用多种攻击方式。电子邮件仍然占主导地位,但攻击者也使用社交媒体、语音信息(“vishing”)、文本信息(“smishing”),甚至二维码来收集信息,或绕过专门针对电子邮件和网络流量的安全控制,或说服个人目标实施特定行动。这些多手段攻击更难以捕捉,用户也不太可能接受过如何防范它们的培训。
当提高对网络钓鱼威胁的意识时,一个好的起点是运行网络钓鱼测试并测量平均失败率。然而,要注意的是,一系列因素会影响失败率,从模板的复杂性、员工的角色和他们的网络/数字熟悉程度,以及在收件箱收到钓鱼模拟邮件时可能影响通常警惕的员工。因此,就其本身而言,网络钓鱼模拟的糟糕结果不应该是您的员工或多或少容易受到网络钓鱼的唯一信号。任何报告都应与其他指标(如其他培训活动中的员工参与率和总体网络钓鱼相关事件的数量)结合起来,以说明您的组织减轻与网络安全威胁相关的人为因素的方法是否有效。
在模拟钓鱼测试中,点击率是评估钓鱼意识的弱指标,可以通过降低测试难度来操控。把重点放在深度防御控制和财务处理过程的强认证上。通过训练用户使用良好的判断来加强,特别是检测要求提供工作相关活动的冒充者时,非常困难。
根据Proofpoint,失败率可能会有很大差异。例如,使用附件作为有效载荷的测试失败率为20%,而平均失败率为11%。数据还显示,规模较小、针对性较强的测试成功率可达70%以上。
主要建议:
- 避免使用全球平均网络钓鱼测试失败率作为衡量成功的单一关键指标。评估端到端安全态势,包括最有可能影响网络钓鱼措施的有效性,例如欺诈性资金转移、勒索病毒感染和横向移动、C2服务器通信和数据窃取。
- 根据员工的角色、年龄和在家工作的做法,混合进行小规模、有针对性的网络钓鱼测试。
- 把员工当成一个团队,而不是对手。避免“羞耻墙”和其他类似的做法。鼓励和奖励良好的行为,如电子邮件报告。
- 在组织的沟通实践中确保“速胜”:培训负责内部和客户沟通的人员,避免看起来太像钓鱼攻击的通知(例如,带有第三方网站链接的电子邮件)。
账户滥用
预计攻击者:
- 加大收集有效凭证的力度,因为许多凭证仍然没有得到多因子身份验证的充分保护。
- 针对所有类别的客户:员工账户、特权账户、承包商账户、客户账户和服务账户。
- 试图滥用远程注册程序获得访问权限。
- 利用现有的多因子认证弱点。
- 自动利用公开入侵泄露的账户。
- 走“低调而缓慢”的路,以避免容积和生物识别机器人的检测,减缓检测措施。
只要人们重复使用密码,账户接管(account take over,ATO)就会有一个巨大的“市场”。这代表了攻击的很大一部分。“凭证填充”(测试从公开入侵中收集的现有凭证)是账户接管最基本的类型,但它仍然是攻击者访问企业应用程序的一种成功方式。
随着许多组织大规模地接受远程工作,用户注册等业务流程变得更容易受到攻击。SolarWinds事件的教训之一是,让帮助台和安全运营部门关注不寻常的请求或批准流程的例外请求,可能比昂贵的网络安全事件检测工具更有效。
由于安全项目在定义访问策略时更多地依赖于身份,身份基础设施的健壮性成为安全策略的一个基本组成部分。身份和访问管理必须扩展到基本身份验证和机器人检测之外。认证前和认证后的行为监控和更严格的检测服务基本协议是关键。此外,这些项目也不能局限于员工的身份。攻击者还将目标锁定在第三方和服务账户上,因为这些账户可以通过API访问敏感数据。
主要建议:
- 在用户生命周期中加强身份验证和身份恢复。首先,在尚未实施的地方扩大多因子认证。
- 不允许基于单一信号跳过多因子认证,转向持续验证。
- 修改你对机器人缓解攻击的“足够好”的定义,因为有针对性的行动可能依赖于人-机器人方法,将人的行动(如验证码库)和隐秘的机器人结合起来。
- 通过使用特权访问管理和/或机器身份管理工具来保护服务身份。
- 假定账户会被入侵。加强监控,减少异常用户和服务行为的停留时间。
高势头威胁
高势头的威胁不再仅仅是出现或传闻。一个组织抵御这些威胁的能力很可能取决于该组织或来自同一行业的另一个组织以前是否受到过此类威胁的攻击。这类威胁的例子包括对供应链、网络物理系统和API的威胁。
高势头威胁包括在数量和影响上不断增长的攻击,但与顶级威胁相比,组织对这些攻击的认识较少。由于安全控制和流程成熟度方面的差距,可能会导致严重的损害。
为了适应高势头的威胁,安全主管必须增加他们对目标资产的了解,这可能属于相对较新的业务实践。从有关API和供应链的行业趋势的报告和统计中学习,将证明在支持相关安全计划所需的跨团队工作时是有用的。专业安全初创公司的安全报告也可参考。虽然这些报告可能有多种偏见,包括样本偏见,但它们可以作为定性而非定量的信息来源。
监测高管如何感知这些威胁也是一个很好的准备方法,CISO面临的主要挑战是增加他们和团队对这些威胁的演变和暴露的了解。
一次有新闻价值的大事件可以迅速将新出现的威胁转化为高势头的威胁。如果有成熟的安全控制措施,为这些威胁日益增长的重要性和影响做好准备,这就不是问题。
在面对高势头威胁时,改善组织的安全态势需要“快”和“慢”之间思维的平衡:
- 快速:对公开的攻击或漏洞利用情况做出快速响应。
- 缓慢:避免过快转移投资的过度行为。
API滥用
预计攻击者:
- 针对你访问应用程序功能和企业数据而使用的API。
- 针对你作为应用程序后门的API。
- 针对安全性差的API,这些API的客户端身份验证较弱,或无法正确授权访问请求,导致它们批准对数据未经授权的访问。
- 扫描并利用行业范围内CVE(如Log4j),这些漏洞和暴露可能不是只针对API的。
- 通过扫描和利用方法自动化攻击和数据泄露,比手动事件响应速度更快。
Gartner已经确定了四个API相关的因素,为了建立API有关的安全程序,安全和风险管理负责人必须考虑这些因素:
- 已经发布和公开可用的API只是“冰山一角”:它们只代表一个组织生产的少数API(有时只有15%)。大多数API攻击面包括web和移动应用程序使用的API、API到API的流量(如微服务流量)以及暴露给员工或合作伙伴的API。
- API流量的增长速度超过了安全控制的成熟度:API流量在过去两年增长了50%以上,一些行业,如金融业,已经经历了三位数的百分比增长。
- 新型API和应用程序架构带来了新的漏洞:如今的大多数API都是REST API,涉及到带有JSON载荷的请求/响应web流量,但安全主管应该期望API开发团队开发微服务,并使用更新的API技术和新兴的应用程序架构。例如,在Postman调查的组织中,几乎有三分之一的组织表示他们已经在使用GraphQL了。
- 更快的开发周期和缺乏有经验的员工给API会造成一场完美的风暴:每个月,有时是每周,API发布周期是最接近DevOps现实的。由于API架构是新的,团队缺乏经验并不奇怪。根据Postman的一项调查,76%的开发者拥有5年或更少的工作经验。大约三分之一的被调查者只有两年或更短的时间。
Gartner预测“到2025年,只有不到50%的企业API会被管理,因为API的爆炸性增长超过了API管理工具的能力”。对于使用第三方API的组织来说,情况会更糟。
根据Postman对API团队的一项调查,在部署组织构建的API之前,安全性是最重要的因素,但在组织调用的API(企业应用程序使用第三方API)中,安全性甚至排不到前10位。这导致“影子API”的使用,这将阻碍组织从API供应链跟踪安全问题的能力。对第三方API的依赖类似于对开源库的依赖。
CISO及其团队必须充分了解组织的API活动,以确定哪些API威胁与他们最相关:
- 从互联网上发现的已知和未知API数量激增。
- API团队越来越多地使用新的应用运行时架构,如平台即服务(PaaS)和服务网格。
- 采用如GraphQL这样的API技术。
- 更快的DevOps导致在生产环境中更频繁地出现漏洞风险。
专注于特定API威胁的安全举措比使用通用安全控制来解决相同的威胁会产生更好的效果。
主要建议:
- 首先使用自动化工具来分析web应用程序、移动应用程序、部署管道和容器环境,发现并分类面向公众的API,以便在运行时或部署时发现API。
- 在你的API保护计划中包括南北流量(从API客户端到API后端)和东西(微服务,服务网格)流量。
- 详细的API需求和路线图期望,与您的组织现有应用程序安全测试、web应用和API保护、bot缓解和在线欺诈检测供应商有关的趋势保持一致。
- 购买专业API检测和响应方法,API使用监测、API风险评估和修复策略建议。
- 建立详细的API事件响应手册,并完善API通信的隔离,以限制任何事件的爆炸半径。
供应链
预计攻击者:
- 继续关注软件供应链漏洞。
- 继续瞄准服务提供商,无论是托管服务提供商、云提供商,还是支持以资产为中心的企业的运营和维护公司。
- 将触角伸向广泛使用的开源嵌入式组件。
Gartner将数字供应链风险分为四大类:
- 与供应链合作伙伴共享的敏感数据的暴露(例如,每个政府顾问的国防承包商)。
- 破坏与供应链合作伙伴共享的基础设施,如网络、软件、云服务和托管服务(例如,针对Kaseya,远程 IT 服务管理软件供货商)。
- 通过业务和IT运营中使用的常见商业和开源软件进行的攻击(例如,针对Log4j漏洞的攻击)。
- 利用销售给客户的数字产品中的安全漏洞(工业系统中被披露的漏洞的列表正在迅速增长)。
从本质上讲,供应链是复杂的,通常是不透明的,它们会产生网络效应,这意味着,针对一条供应链,你可以影响更多的供应链。这些特征对威胁攻击者极具吸引力。
在SolarWinds事件中,一场精心策划的破坏软件更新过程的活动在数小时内影响了数千名客户。因为它们针对的是几乎每个行业都使用的普遍组件,利用Log4j漏洞的攻击可能会在未来几年造成严重破坏。
世界各地的政府都在发布强制性指令和框架,但高度敏感的国防信息继续被窃取,无论是为了间谍目的或获得经济优势。
供应链固有的复杂性意味着安全专业人员永远不能指望完全避免安全故障。因此,有效的领导者必须专注于关键任务系统的弹性,把从预料之内的和意外的攻击中快速恢复作为为目标。
主要建议:
- 优先努力满足新出现的监管要求,如NIST SP 800-171,以赢得美国国防部的一些合同,或英国“List X”承包商的安全要求。
- 采用基于风险的策略,了解最有价值的供应商。与采购团队合作,确保合同包含与安全控制、漏洞披露程序和防篡改/防伪证据控制相关的条款和条件。还应提供来源的证据,例如只从原始设备制造商或授权经销商购买,而不是从被禁止的供应商。
- 要求包含产品、服务、包含软件的组件、固件、硬件的物料清单。
网络-物理系统
预计攻击者:
- 针对操作或关键任务环境中创造价值的资产,有目的构建勒索软件活动。
- 在操作环境中钻得更深,停留的时间更长。
- 针对工业协议和安全关键系统,持续开发专用恶意软件。
有些系统是为了处理、转换或生成数据而设计的。一些系统被设计来影响物理世界,是否输送、冲压、打开、提取、注入或在没有直接人类干预的情况下移动。当它们相互连接和连接到企业系统时,它们就变成了网络物理系统(cyber-physical systems, CPS),而这些网络和物理世界的连接极大地扩展了攻击面。
此外,网络物理系统通常最接近于组织的价值创造,因为它们的存在是为了支持直接影响公司盈亏或政府机构任务结果的生产方法。
攻击者的目标已经转向了这些环境,因为勒索计划的目的是迫使受害者支付赎金,而停止公司业务运营会极大地增加支付的压力。
勒索软件团伙不仅研究出了如何通过网络攻击来锁定受害者,而且一些威胁行为者还在故意制造恶意软件,如用于工业控制的EKANS和用于安全关键系统的Triton/Trisis。
网络物理集成带来的攻击面增加也为新的威胁方式创造了机会,如GPS,干扰和欺骗移动网络物理系统,以及网络物理系统捕获生物特征数据的隐私问题。
主要建议:
- 优先发现环境中所有网络物理系统。确定特定的网络物理系统安全控制已经到位,并记录差距,以准备行动计划。
- 将安全策略、治理和战术与网络物理系统直接支持的业务价值和行业需求挂钩。这种以行业为中心的方法将是交付有益的结果最有帮助的方式,特别是在关键的基础设施部门。
- 最初专注于一个切实的治理挑战和一个实用的技术挑战,然后迭代。操作和关键任务环境中的安全变化要求谨慎,技术和文化变化都需要深思熟虑。
- 随着业务和连接需要的发展,对网络安全设计和细分/隔离策略进行现代化设计,而不是事后考虑。
新出现威胁
总会有新的威胁。防范这些风险所需的准备工作将有所不同,这取决于它们是模仿已知的过去行为,还是利用业务和技术上新的破坏手法。安全和风险管理领导必须保持警惕,准备混合战术变通方案和长期改进计划。除了监测新的攻击类别的演变和来自安全厂商的主要趋势,安全主管必须确保他们的程序足够灵活,以应对新的情况。
与未来的工作和云相关的威胁(下文将对此进行更详细的讨论)可能很快成为势头强劲的威胁,但也可能仍然是小众威胁。寻找更先进和新出现的威胁的安全领导人也应该监测以下领域:
- 对固件的攻击:尽管安全会议经常包含对固件攻击的POC,但这种类型的威胁仍处于萌芽状态。它可能成为针对网络物理系统的勒索软件使用的技术之一。
- 对AI应用程序的攻击:开发AI应用程序的组织将它们当作传统项目来保护。这些应用的攻击面是不同的,针对API控制的市场是碎片化的。
未来的工作
预计攻击者:
- 对远程工作员工使用社会工程技术。
- 在早期的过渡阶段,试图利用组织安全状况的漏洞来损害资产。
- 利用服务向云过渡期间的任何错误。
2020年6月,在首次大规模在家办公几周后,Gartner预计攻击者的技术将发生变化。自那以后,这些被广泛报道,针对在家工作的人的钓鱼活动和web应用程序的攻击数量急剧上升,而组织正在努力调整他们的安全操作中心以适应远程工作场景。
混合工作是未来的工作状态。业务、人力资源和财务主管正在制定工作场所转型的战略,以支持员工不断变化的期望。新的招聘和运营实践将产生对新工具和程序的需求,这将导致一系列新的攻击面。
安全和风险管理的领导者需要以初学者的心态迎接未来的工作趋势,避免为了控制局面而成为“不受欢迎的办公室”。
对于这些新的攻击面,还没有成熟和有效的安全控制。这是一场信息战争。CISO必须继续与业务利益相关者讨论工作实践中的变化,并接受方向上的不确定性和变化,当我们持续对最近全球混乱作出反应的时候,而这一切将不可避免。
建议:
- 监控你的组织在劳动力和工作场所现代化方面的计划。
- 在设计远程访问、终端和应用安全程序时,从“快速扩展”转变为“长期斗争”的思维模式。
- 审核你的组织以前从未考虑过的远程工作的边缘场景(例如,安全操作、对关键基础设施的特权访问和运营技术的云交付维护)。
发展云计算的风险
预计攻击者:
- 利用客户维护云平台时持续的错误配置。基础架构即服务(IaaS)和PaaS中的工作负载更容易受此影响,但通过身份和API集成,SaaS也是一个目标。
- 继续尝试利用供应商(特别是SaaS供应商),尽管实际成功的几率很低。
- 攻击废弃和不支持的资产,获得初始立足点。
“云”已经有20多年的历史了,但它仍在继续变得更加重要和复杂。使用云服务和云服务提供商是当今几乎所有业务的一个重要方面,这使得对云属性的攻击成为威胁形势的一个关键部分。这可能会增加未来的入侵率,但“真正的”云安全事件很少。
在2021年底,UKG(前Kronos)的许多客户都遭遇了持续一个多月的中断,这让SaaS依赖成为了焦点。包括Azurescape、NotLegit、和ChaosDB在内的漏洞突出了IaaS和PaaS风险,尽管这些Azure问题似乎都没有直接影响到客户。此外,在2021年12月,AWS发生了三次宕机(尽管每次宕机只局限于特定地区)。
尽管云服务提供商(SaaS、PaaS和IaaS)在2021年遭遇了问题,但在使用云服务时,最大的威胁仍然是客户错误配置或滥用这些日益复杂的服务。
这些中断和暴露中只有一个与恶意攻击者的攻击有关,但它们的业务影响和后果仍然存在。最大的风险仍然是客户对这些服务的错误配置——很大程度上是由于它们的极端复杂性。例如,AWS有超过170个服务和超过7000个身份管理者——所以管理好所有这些是一项艰巨的任务。有效的云安全需要使用自动化工具。因此,参与云安全的安全专业人员应该把调查和获取适当的工具作为优先项。
当您进入多云世界时,复杂性会成倍增加,特别是当一个云中的应用程序具有另一个云中的元素时。与其试图预测哪个提供商可能会失败,不如根据该提供商对您业务的关键程度制定适当的应急计划。
主要建议:
- 确保对你控制的所有云中区域负责,特别是身份、数据和配置。
- 购买工具来验证整个云资产的安全性。不要忽视日益支持关键业务流程的SaaS应用。
- 制定应急计划,以防关键的云服务不可用。
- 将所有服务的云身份与你的主要身份提供者联合,并对所有用户使用强大的身份验证技术(如多因子认证)。
- 不要试图通过使用多云策略,而不是在单个云中创建弹性来抵消云整合风险。这样引入了复杂且难以确定的依赖链,更有可能降低而不是增加可用性。
(完)
