为什么您的云安全性没有减少它以及如何处理

SANS研究院的2019年云安全调查令人震惊（您需要注册成为免费会员才能阅读它）。 该报告由Dave Shackleford在2019年4月撰写，陈述了一些令人失望的事实和数据。 例如，人们会认为，在所有近期的漏洞报告之后，我们会更好地保护我们的云资源。 但是我们不仅在这方面还很糟糕，最大的问题甚至不是技术。 还是人。 报告的主要攻击类型列表清楚地表明了这一点，从帐户或凭据劫持开始，以及云服务和资源配置错误的第二个原因。

Insight Enterprises的安全咨询业务部门安全咨询业务部门高级经理Mike Sprunger表示：“凭据劫持是一种行之有效的访问方法，因为您正在攻击人员。 “人们永远是最薄弱的一环，因为在这里，您会遇到许多传统的社会工程问题，例如致电服务台，网络钓鱼和鱼叉式网络钓鱼。”

当然，可以采用多种方法来窃取凭据，网络钓鱼只是最新的，在某些情况下是最难处理的。 但是也可以从其他违规数据中获取凭据，这仅仅是因为人们在可能的地方重用了相同的凭据，因此他们没有必要记住更多信息了。 此外，在粘滞便笺上写入登录信息并将其粘贴到键盘旁边的历史悠久的做法仍然存在很多。

云服务配置错误是人才不足的另一个领域。 此处的区别在于，人们会在不知道自己在做什么的情况下外出并站起来使用云服务，然后他们将使用它来存储数据而不保护它。

Sprunger解释说：“首先，在采用云技术方面，建立云有多么容易，以至于存在不切实际的期望。” “人们会犯错误，而且还不清楚如何定义容器周围的安全性。”

安全性的模糊性不好

问题的部分原因是云提供商在解释其安全选项的工作方面做得不够好（正如我最近在查看“基础架构即服务”或IaaS解决方案时所发现的那样），因此您必须猜测或致电供应商寻求帮助。 例如，对于许多云服务，您可以选择打开防火墙。 但是，可能无法清楚地解释一旦运行后如何配置它。 完全没有

这个问题非常严重，以至于SANS报告的作者Shackleford在报告开始时先列出了一系列未受保护的Amazon Simple Storage Service（S3）存储桶，这些存储桶均导致数据泄露。 他写道：“如果可以相信这个数字，那么有7％的S3存储桶向世界敞开了大门，另外还有35％的用户没有使用加密（内置在服务中）。” 随着我们的测试工作日渐结束，Amazon S3是一个很好的存储平台。 诸如此类的问题仅源于用户错误配置服务或完全不知道某些功能的存在。

特权使用滥用排在第二位，这是另一个由人引起的问题。 Sprunger说，这不仅仅是不满的员工，尽管其中包括那些。 他解释说：“缺少的许多都是具有特权访问权限的第三方。” “进入服务帐户访问要容易得多。通常，这是一个具有单个密码的帐户，并且没有责任。”

服务帐户通常是提供给第三方的，通常是需要访问权限以提供支持或服务的供应商或承包商。 这种服务帐户属于供暖，通风，空调（HVAC）承包商，这是导致2014年违反目标的薄弱环节。“这些帐户通常具有上帝般的特权，” Sprunger说，并补充说攻击者的主要目标。

克服安全漏洞

那么，您如何处理这些漏洞？ 简短的答案是培训，但要比这复杂得多。 例如，需要对用户进行培训以查找网络钓鱼电子邮件，并且培训必须足够完整以识别网络钓鱼的细微迹象。 此外，它还必须包括员工甚至怀疑自己受到此类攻击时应采取的步骤。 这包括如何查看电子邮件中的链接的实际位置，但还需要包括报告此类电子邮件的过程。 培训需要包含一种信念，即他们不会因不按照可疑的电子邮件指示采取行动而遇到麻烦。

同样，需要有一定程度的公司治理，以使随机的员工不会外出并建立自己的云服务帐户。 这包括查看费用报告凭证以了解个人信用卡上的云服务费用。 但这也意味着您需要提供有关如何处理云服务可用性的培训。

处理特权用户滥用

处理特权用户的滥用也可能具有挑战性，因为一些供应商会坚持要求拥有广泛的权限。 您可以通过对网络进行分段来处理其中的一些问题，以便仅访问所管理的服务。 例如，对其进行分段，以使HVAC控制器位于其自己的分段上，负责维护该系统的供应商只能访问网络的该部分。 可以帮助实现此目标的另一项措施是部署强大的身份管理（IDM）系统，该系统不仅可以更好地跟踪帐户，还可以跟踪谁拥有帐户及其访问权限。 这些系统还可以使您更快地暂停访问，并提供帐户活动的审核跟踪。 尽管您可以花一大笔钱，但如果您是启用了Microsoft Active Directory（AD）树的Windows Server商店，则可能已经在运行。

• 2019年最佳安全套件2019年最佳安全套件
• 2019年最佳业务云存储和文件共享提供商2019年最佳业务云存储和文件共享提供商
• 2019年最佳企业云端备份服务2019年最佳企业云端备份服务

您可能还需要确保供应商具有最小特权访问权限，以便他们的帐户仅向他们授予他们所管理的软件或设备的权限，而没有其他任何权限-IDM系统的另一种用法。 您可以要求他们要求临时访问其他任何内容。

这些只是相当长的安全问题清单上的头几项，值得整体阅读SANS安全调查报告。 它的列表将为您提供解决安全漏洞的路线图，并且将帮助您实现可以采取的更多步骤。 但最重要的是，如果您对SANS报告的问题不采取任何措施，那么您的云安全性将会发臭，并且您可能会陷入失败的漩涡中，因为您的云将资金流向了成熟的市场。违反。