如何看待当今的云威胁 - 网安 - 专业的网络安全产业、社区、知识平台

企业继续盲目地采用云计算，但研究表明，IT领导者和决策者对他们的组织理解所有风险的能力感到不安——与此同时，网络犯罪分子也一直在密切地关注着他们。

安全团队面临的部分问题是，云威胁范式仍然没有被完全理解(尽管如果处理得当，云可以比大多数本地环境更安全)。

谈到云，这算是新的威胁，还是只是针对相对较新的资产的熟悉的旧威胁？您的对手未来的潜力是什么？您的安全运营团队要如何做才能领先于这个快速发展的局面？

对于许多组织来说，云仍然是一个“陌生的土地”，因为它是一个环境，也是一个攻击面，看起来与传统数据中心有很大不同，包括以下方面：

云是短暂的、可扩展的：短期资产在云中占主导地位，由于其短暂性，它们显然很容易管理和忽略。
云是 API 驱动的：随着越来越多的系统和资产的云迁移，企业正在使用应用程序编程接口调用作为他们的数字“店面”来连接客户和合作伙伴——但这已经引起了网络犯罪分子的兴趣。
云的身份层至关重要：在公共云、混合云和多云环境（存在大量身份和权利）中保护特权比控制传统数据中心边界的访问要复杂得多。
云中的日志记录规模要大得多：由于 SOC 团队已经被警报压得喘不过气来，云环境只会加剧这种负担。但是，在云世界中，并不能保证收集日志并确保正确的日志进入 SIEM，这主要是由于不常用的日志收集方法（与本地系统相比）。

虽然这些特征可能看起来很陌生，但目前影响云环境的威胁仍然存在——至少目前如此——与 SOC 团队通常遇到的威胁差不多。为了更好地理解“威胁猎人”在云端观察到什么，谷歌云安全播客最近邀请了谷歌云合作伙伴Lacework的安全研究主管詹姆斯·康登(James Condon)进行了一次有趣的对话。点击下方，即可收听完整播客（相关听译参考社群分享）：

根据 Lacework最近的一份研究报告（相关报告参考社群分享），他回答了几个关于云计算威胁状态的关键问题。以下是他回答的转述。

1. 对手在云中追求什么？

虽然在云中实现任务的高级策略是相同的(初始访问/横向移动/特权升级)，但所使用的技术和最终目标可能不同。例如，在分析对企业网络的传统攻击时，知识产权通常是目标，而网络钓鱼和社会工程通常是不法分子获得初始访问权限的手段。但是，当涉及到云时，攻击者通常针对易受攻击的面向 Web 的应用程序和配置错误的服务器、Web 应用程序或存储桶，而且只关注经济利益，这可以通过加密货币挖矿和加密劫持的持续激增来证明，加密挖掘和加密劫持是一种在云中特别可扩展的攻击类型。

2. 为什么云中的错误配置和漏洞会如此频繁地发生？

攻击者通常会选择阻力最小的路径来识别和伤害他们的受害者，并将相同的思维方式带入云端。这就是为什么错误配置和漏洞是攻击的首选发射台。错误配置的危险已被充分记录（例如，不小心将私有存储桶公开），并且通常被列为组织面临的最大云风险。由于许多企业依赖大量第三方代码来构建SaaS应用程序，漏洞也经常发生。这造成了漏洞管理的噩梦，因为漏洞通常难以解决和划分优先级，特别是当它们存在于捆绑到多个不同发行版的应用程序中。

3. 云中的勒索软件和其他恶意软件情况如何？

Condon 说，虽然由于配置错误导致的威胁不如数据泄漏那么多，但针对云的恶意软件攻击，例如容器逃逸攻击和加密蠕虫，“正在人们的雷达下冒泡”。

其中包括勒索软件，这可以说是安全团队面临的最紧迫的威胁，尽管云勒索软件攻击者的做法通常是通过访问云控制平面，下载敏感数据，并威胁如果不付款就公布信息(相对于用加密方式锁定系统或数据访问，直到支付赎金)。在云端执行备份和其他灾难恢复更容易，这使得传统的勒索软件攻击的利润更低。因此，大多数勒索软件供应商将继续以本地系统为目标，因为通过冻结受害者组织的业务来迫使其停止运作，可以赚到更多的钱。

另一个需要密切关注的犯罪动机是通过地下市场出售云账户访问权。价格将取决于诸如帐户中有多少存储桶以及它们包含什么类型的数据等。

4. 组织机构如何在云中保持弹性？

尽管云计算可能是一个新的前沿领域——至少与典型的企业边界相比——保护它是一个和信息安全时代一样古老的故事:预先计划安全，而不是事后才考虑。在云安全的背景下，这意味着投资于治理、风险和遵从性(GRC)团队，以帮助您的组织确定如何存储和处理敏感数数据，以及聘请熟练的分析师和工程师，他们将扩展云安全控制作为优先事项。

Condon警告说，“在你需要之前”做这一切。组织机构不应该对这一建议感到惊讶。从软件开发到员工文化，那些从一开始就考虑安全性的企业通常都更有能力应对攻击。

Google Cloud 如何提供帮助

您使用的公共云平台也很重要。云能否像本地环境一样安全？你打赌。谷歌Cloud的基线安全架构遵循零信任原则——即每个网络、设备、个人和服务在证明自己之前都是不可信的。它还依赖于深度防御，具有多层控制和功能，以防止配置错误和攻击的影响。此外，Chronicle SIEM和Siemplify SOAR等云原生技术可以以前所未有的速度和规模提供现代威胁检测、调查和响应。