生活中只有三件事是不可避免的:死亡、税收和云安全漏洞。现在全世界都开始向云迁移,云安全(包括公有云和混合云)的安全漏洞依然像牛皮癣广告一样顽固。其实,云安全问题之所以不断爆发,自有其难言之隐。在高度动态的云环境中管理风险和漏洞并不容易。企业迫切需要加速(尤其是疫情期间)向公有云迁移,建立数字化竞争优势,进一步放大了这种风险。更糟糕的是,许多安全团队使用的实践、策略和工具,尤其是漏洞管理,往往是本地计算时代的产物,无法适应“云优先”和“云原生”环境。如何解决这个问题呢?首先,基于云应用安全最佳实践打造更好的漏洞管理体系,根据云环境的需要,对传统的漏洞管理体系进行调整和变革。传统漏洞管理的局限性漏洞管理只是一个识别、分析、补救或缓解和报告系统和软件安全威胁的过程。需要定期进行漏洞评估,以评估现有的安全态势以及是否需要更改漏洞管理计划。一个全面且执行良好的漏洞管理系统对于管理和应对威胁以及最小化攻击面至关重要。除了遵循漏洞管理最佳实践外,组织还需要正确的工具和解决方案。漏洞扫描可能是最著名的漏洞管理工具,因为它在云和混合云安全中发挥着重要作用。如果您想减轻威胁,请务必经常分析您的安全环境。自动扫描是当今流行的工具,因为它们工作效率高、可重复且易于使用。然而,传统的漏洞扫描有一些明显的缺点:它们经常会错过数据库外部的活动威胁,或者超出其能力的更复杂的威胁;它们会产生误报,使防御者的雷达对严重威胁不敏感;它们还可以提供一种虚假的安全感,如果扫描工具没有发现任何异常,我们可能会认为一切正常。即使漏洞扫描按预期工作并识别分类威胁,工作也只完成了一半。了解威胁的范围并根据特定场景评估业务运营的严重性和影响是一项艰巨的任务,传统扫描工具由于缺乏必要的深度和复杂性而无法解决。扫描无法与渗透测试相提并论,渗透测试远远超出了识别表面威胁的范围。渗透测试识别漏洞并利用它们来更全面地了解安全环境的状态,详细说明如果发生漏洞攻击者可能造成的所有损害。当然,根本问题是传统漏洞管理方法在云环境中的局限性是显而易见的。云环境通常是高度动态和短暂的,容器的平均寿命只有几个小时。使用漏洞扫描等传统工具保护容器很困难,有时甚至是不可能的。由于存在时间短,扫描仪通常无法识别容器。更复杂的是,即使扫描工具能够识别正在运行的容器,它们通常也不提供任何评估手段。如果没有IP地址或SSG登录,则无法运行凭据扫描。下一代漏洞管理工具:BAS虽然云安全的一些核心挑战与传统的漏洞管理斗争,但组织可以通过一些简单的改变来解决这个问题。最基本和最有影响力的方法是部署和实施更强大和更先进的工具来帮助保护系统和软件。示例包括破坏和攻击模拟(BAS)平台。BAS解决方案通过对安全环境发起一系列不间断的模拟攻击来发挥作用。这些模拟复制了APT和其他对手可能使用的攻击路径和技术。与渗透测试一样,这些工具不仅可以识别威胁,还可以识别安全漏洞并显示漏洞可能造成的潜在损害,从而更全面地了解漏洞管理的真实状态。但是,与手动渗透测试不同,BAS工具以自动化和连续的方式工作。专为云和混合环境设计的BAS平台可针对临时对象提供出色的保护。与传统的漏洞管理工具不同,BAS平台可以轻松适应云的动态特性。除了识别威胁和列出可能的损害之外,BAS平台还提供基于优先级的缓解指南。因此,计划对其漏洞管理流程进行现代化改造的组织可能会发现,部署BAS解决方案是提高云安全能力最快、最有效的方法之一。结论如果我们想要减少重大云安全事件的数量和成本,我们必须创建一个真正反映组织面临的真实安全挑战的漏洞管理流程。选择正确的工具只是实现这一目标的重要步骤之一。通过摆脱无法处理动态环境的传统漏洞管理方法,组织可以快速提高公共云、混合云安全性,并远离严重数据泄露的头条新闻。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
