如果您仍在运营数据中心基础设施,那么防止勒索软件攻击必须成为您公司整体网络安全战略的一部分。但云基础设施面临另一个威胁,而勒索软件并不是一个重要因素。乔什·斯特拉(JoshStella)探讨了原因。马里兰州弗雷德里克--(BUSINESSWIRE)--(美国商业资讯)--Snyk首席架构师兼云安全与合规SaaS公司Fugue的创始CTOJoshStella在一段简短的视频解释和评论中(JoshStella与业务和安全领导者进行了讨论为什么云通常不受勒索软件的影响,并分析了云环境面临的主要威胁。勒索软件本月早些时候成为全球头条新闻。这次攻击是在对丰田汽车公司零部件供应商的一次成功攻击之后发生的,该供应商迫使该公司关闭了日本的14家工厂停产一天,总产量约13000辆,此次攻击是勒索软件对各行各业威胁的最新例证,最新的SoCiWalk年度威胁报告指出,2021年勒索软件攻击量自2021年以来增长了231.7%2019年,网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和国家安全局(NSA)发布的一份咨询报告显示,最新趋势是勒索软件即服务——一群坏人攻击向缺乏组织或技能较低的黑客“包租”勒索软件工具和技术。显然,如果您仍在运营数据中心基础设施而不是云基础设施,那么防止勒索软件攻击必须成为您公司整体网络安全战略的一部分。强化数据中心和端点以防止勒索软件攻击是强制性的,但云基础设施面临另一个威胁。如果您的组织都在云端,那么勒索软件就不是什么大问题了。什么是勒索软件?不要将勒索软件攻击与涉及被盗数据的数据泄露相混淆。勒索软件的目的不是窃取您的数据(尽管这也可能发生在勒索软件攻击期间),而是控制存储或加密您的数据的系统并阻止您访问它-直到您支付赎金。这会有效地关闭操作,直到恢复对数据的访问,对组织造成破坏性影响。虽然勒索软件是一种主要的网络安全威胁,但我们还没有看到针对云环境的勒索软件攻击。原因涉及云基础设施和数据中心基础设施之间的根本区别。新的威胁格局您的云环境不仅仅是现场数据中心和IT系统的远程副本。云计算是100%由应用程序编程接口(API)驱动的软件,API是允许不同应用程序相互交互的软件“中间人”。控制平面是用于配置和操作云的API界面。例如,您可以使用控制平面来构建虚拟服务器、修改网络路由以及访问数据库中的数据或数据库快照(与实际生产数据库相比,这些实际上是云黑客更常见的目标)。API控制平面是您的组织用来配置和操作云的快速增长的API集合。亚马逊、谷歌、微软等所有云平台提供商的首要任务是确保数据的健壮性和弹性。在云中复制数据既简单又便宜,架构良好的云环境可确保数据的多重备份。这是阻止攻击者使用勒索软件的关键因素:拥有多个数据副本使攻击者无法将您拒之门外。如果攻击者能够加密您的数据并要求赎金,您只需恢复到加密前的最新版本数据即可。AWS、谷歌和微软为运行数百万台服务器和网络的数十万客户构建的冗余和弹性是您自己的数据中心基础设施无法复制的。而且,如果您对内部系统的访问权限被剥夺和加密,您可能很难(在某些情况下几乎不可能)在不支付赎金的情况下重新获得访问权限。云中的安全性是不同的,因为它是良好设计和架构的功能,而不是入侵检测和安全分析。黑客不会试图闯入您的网络以将您锁定在系统之外;他们试图利用云错误配置,使他们能够以您的云控制平面API为目标,并从底层窃取您的数据。什么是云错误配置?错误配置的范围很广,从看似简单的单个资源错误配置(例如保持端口打开)到攻击者用来将小的错误配置变成大爆炸半径的主要架构设计缺陷。我可以保证,如果您的组织在云中运行,您的环境将容易受到这两种情况的影响。好消息是,由于云基础设施是可以编程的软件,因此可以通过使用策略即代码的软件工程方法来防止此类攻击。使用策略即代码构建云安全当开发人员在云中构建应用程序时,他们也在构建应用程序的基础架构,而不是购买物理基础架构并在其上部署应用程序。设计和构建云基础架构的过程是在代码中完成的,这意味着开发人员拥有该过程,这从根本上改变了安全团队的角色。在一个完全由软件定义的世界中,安全的角色是领域专家,他将知识传授给开发人员以确保他们在安全的环境中工作。这些知识以自动化开发工具的形式提供,这些工具将政策视为代码,而不是用人类语言编写的清单和政策文件。策略代码使您的团队能够以应用程序可用于检查配置正确性的编程语言表达安全性和合规性规则。它旨在检查其他代码和运行时环境是否存在不必要的情况或不应出现的情况。它使所有云利益相关者能够安全地操作,而不会对规则是什么以及如何在软件开发生命周期(SDLC)的两端应用规则产生任何歧义或分歧。云安全必须自动化同时,作为代码的策略自动执行持续搜索和纠正错误配置的过程。从长远来看,没有其他方法可以成功,因为问题空间不断扩大。云服务的数量在增长,部署的数量在增长,资源的数量也在增长。因此,您必须实现自动化,这样安全专业人员就不必花费数小时手动监控错误配置,并使开发人员能够以灵活的方式编写代码,这种方式可以随时间变化并结合新知识,例如最新的大数据泄露事件,成为头条新闻.加强您的云安全态势实施有效云安全计划的组织具有一些共同特征,任何企业都可以效仿以加强其云安全态势:了解您的环境。每周或每季度进行云安全审计是不够的,因为云环境不断变化,黑客使用自动化来检测他们可以利用的错误配置。持续调查您的云环境,包括所有资源和配置,以始终保持态势感知。积极主动,而不是被动。将您的安全意识转向防止错误配置漏洞,远离入侵检测和阻止。云控制的飞机突破攻击发生得太快,任何团队或技术都无法阻止正在进行的攻击。为您的开发人员赋能。通过使用自动化安全工具将策略作为代码执行,让开发人员参与到流程中。毕竟,既然你现在专注于预防,那么谁能比构建这些环境和系统的工程师更能防止错误配置呢?衡量和实施。成功的组织衡量什么是重要的,以了解他们的立场、他们的去向,并量化他们在防止违规和由此产生的安全事件方面的进展。最终,他们全面实施云安全,以最大限度地降低风险并最大限度地加快云中的创新速度。我不想淡化勒索软件攻击对您的组织构成的威胁,我鼓励您访问www.StopRansomware.gov,这是美国联邦政府的资源,用于学习如何保护自己免受勒索软件的侵害。但我还想强调,虽然您的云环境不太容易受到勒索软件的攻击,但随着您采用更多基于云的平台和服务,由于配置错误导致数据泄露的风险很高,而且还在增加。最好的防御就是预防。在开发阶段、持续集成/持续交付(CI/CD)管道和运行时将策略作为代码使用,以快速识别和纠正错误配置。随着成熟度的提高,这些步骤可以在整个DevOps过程中进行操作,从而使整个过程自动化且高效。
