CobiNet(寧波)推薦文章:
日前(qian)推出的(de)(de)兩個新的(de)(de)調查(cha)報(bao)告表(biao)明企業在部署(�������shu)公共云、私有(you)云和混(hun)合云的(de)(de)風險(xian����)有(you)著(zhu)巨大差異。以下是(shi)關于企業成功實施云計算安全(quan)策略所需的(de)(de)工具、信息和組織結構的(de)(de)建議。
如今,將數據和(he)(he)服務遷移到云(yun)端已經讓很多公司反思他們的(de)安(an)全策(ce)略(lve)和(he)(he)措施。他們是(shi)否需要云(yun)計算安(an)全策(ce)略(lve)?他們的(de)云(yun)計算安(an)全策(ce)略(lve)有什么不同?最近的(de)兩項調查揭示了企業的(de)安(a����n)全策(ce)略(lve)如何(he)變化,更重要的(de)是(shi)它(ta)們應(ying)該如何(he)改變。
在云(yun)端部(bu)署更多的(de)IT基礎設施(shi)在某(mou)種程度上比內部(bu)部(bu)署的(de)數據中心更加(jia)安全(quan)。例如,企(qi)業可以清楚(chu)了解(jie)系統正在運行的(de)最新版本,并(bing)及時提供適當������的(de)補丁。云(yun)計算(suan)服務提供商也正在構建新的(de)功(gong)能,例如使(shi)用機(ji)器語言進行異常檢測(ce)。但是這也帶來(lai)了新的(de)風險,其中一些是企(qi)業誤(wu)解(jie)了如何管理(li)云(yun)計算(suan)安全(quan)的(de)結果。
企業(ye)需(xu)要(yao)了解云計(ji)算IT戰(zhan)略�����(lve)(無論是(shi)混(hun)合(he)云、私有托管還(huan)是(shi)公共云)如何影響(xiang)其網(wang)絡安(an)全策(ce)略(lve)以及該策(ce)略(lve)的(de)戰(zhan)術執行情況,這一點非常重要(yao)。
什(shen)么是云計算安全風險(xian)?
在云計算安全(quan)提供商Alert Logic公(gong)(gong)司的(de)調查報告中,分析(xi)了(le)與內部部署數據中心相比的(de)各種形式的(de)云環境的(de)風險性(xing)質和(he)數量。在18個(ge)月的(de)時間里,該公(gong)(gong)司分析(xi)了(�������le)來(lai)自3800多(duo)名客(ke)戶(hu)的(de)147 PB數據,并對安全(quan)事件(jian)進行了(le)量化和(he)分類。在此期(qi)間,該公(gong)(gong)司分析(xi)了(le)超過220萬個(ge)企(qi)業積極(ji)應對的(de)安全(quan)事件(jian)。其主(zhu)要發現包括:
混合云(yun)環境的安全事件(jian)數量(liang)最高,達������到977起,,其次(ci)是托管私有云(yun)(684),內部(bu)部(bu)署數據中心(612)和公共云(yun)(405)。
到目前為止,最(zui)常見的(de)事件類(lei)型是Web應(y�����ing�������)用程序(xu)的(de)攻擊(75%),其次是暴力攻擊(16%),偵測(5%)和服務器端勒索軟件(2%)。
Web應用程序攻擊(ji)最(zui)常見的因素是(shi)SQL(47.74%),Joomla(26.11%),Apache������� Struts(10.11%)和(he)Magento(6.98%)。
Wo�������rdpress是(s�������hi)最常見的(de)暴力攻擊的(de)目標(biao)(41%),其次是(shi)MS SQL(19%)。
無論(lun)是(shi)公共云(yun)、私有(you)(you)云(yun)還是(shi)混合云(yun)環(huan)境,Web應用程(cheng)序(xu)的(de)(de)(de)威脅是(shi)主要因素。他們之(zhi)間的(de)(de)(de)不(bu)同是(shi)企業所(suo)面臨的(de)(de)(de)風險水(shui)平。 Alert Logic公司從安全廠商的(de)(de)(de)角度(du)來看,公共云(yun)的(de)(de)(de)有(you)(you)效保護(hu)能(neng)力較高,因為有(you)(you)著更����好(hao)的(de)(de)(de)信噪比(bi)和較少(shao)嘈雜的(de)(de)(de)攻擊。 Alert Logic公司Misha Govshteyn聯合創始人(ren)說�����, 在公共云(yun)環(huan)境中(zhong)發生安全事(shi)件時(shi),企業應該會更多地關注,因為它們通(tong)常比(bi)較隱(yin)秘,不(bu)易被人(ren)發現。
調查表明,一些平臺的安全性比其他(ta)平臺更脆弱(ruo)。 Govshteyn說(shuo): 盡管企業(ye)盡了最大的努力(li),����但(dan)還是(shi)會增加攻擊面。 他(ta)舉(ju)例說(shuo), 人們普遍(bian)認為,LAMP堆棧比基(ji)于(yu)微軟的應�������(ying)用堆棧更加脆弱(ruo)。 他(ta)還將PHP應(ying)用程序視為一個熱點(dian)。
Govshteyn說: 內容管理系統(尤其(qi)是Wordpress,Joomla和Django)作為(wei)Web應用(yong)程序的(de)平(ping)臺,其(qi)安全性的(de)脆弱性遠(yuan)遠(yuan)超過大(da)多(d��������uo)數(shu)人的(de)想象,并且具有(you)許多(duo)漏洞(dong)。只有(you)了解這些特性的(de)開發團隊傾(qing)向(xiang)于使用(yong)的(de)Web框架和平(ping)臺,才(cai)能(neng)保(bao)證(zheng)這些系統的(de)安全。大(da)多(duo)數(������shu)安全人員很少關注這些細節,而(er)是根據糟糕的(de)假設做出決(jue)定(ding)。
為了��������(le)最大限度地(di)減少(shao)云計算威脅的(de)影響,Alert Logic公����司有三個主要建議:
依靠應用程(cheng)序�����白名單來阻止對未知(zhi)程(cheng)序的訪問(wen)。這包(bao)括為(wei)組織中使(shi)用的每個應用程(cheng)序進行風(feng)險與價值評估。
了(le)解企(qi)業自己的修補過程并優先安裝補丁(ding)程序。
根據當前用戶的職(zhi)責(ze)限制�������管理和訪問(wen)權限。這(zhe)將需(xu)要企(qi)業保持最新(xin)的應用程序和操作系(xi)統的權限。
如何保護云平臺
網絡(luo)監控解決方案(an)提(ti)供商Gigamon公(gong)司(si)委托市(shi)場(chang)研究機(ji)構VansonBourne公(gong)����司(si)進(jin)行(xing)的(de)調查表明,73%的(de)受訪(fang)者表示他(ta)(ta)們(men)的(de)大部分(fen)應用工作負載運行(xing)在公(gong)共(gong)云或私有云中(zhong)。然(ran)而,這些受訪(fang)者中(zhong)有35%的(de)人(ren)(ren)希望以 完(wan)全(quan)(quan)相(xiang)同的(de)方式 處(chu)理網絡(luo)安全(quan)(quan),就像他(ta)(ta)們(men)在內(nei)部部署數據中(zhong)心操作一樣。其余的(de)人(ren)(ren)表示他(ta)(ta)們(men)別(bie)無選擇,只能改變(bian)他(ta)(ta)們(�������men)對云計算的(de)安全(quan)(quan)策略(lve)。
當然(ran),并(bing)不是(shi)每個(ge)公司都將敏感或(huo)(huo)重要的(de)(de)數據遷移(yi)到(dao)云中(zhong),所以對(dui)于他們而����(er)言,改變策略(lve)的(de)(de)理由(you)就更少了(le)。但是(shi),大(da)多數公司正在(zai)遷移(yi)關鍵和(he)專有公司信(xin)(xin)息(56%)或(huo)(huo)營銷資產(53%)。47%的(de)(de)人(ren)(ren)希望(wang)在(zai)云端擁(yong)有個(ge)人(ren)(ren)身份(fen)信(xin)(xin)息,這由(you)于將會受到(dao)新的(de)(de)隱私(si)法規(gui)即將實施(例如歐盟的(de)(de)GDPR)的(de)(de)影(ying)響。
Govshteyn表示,企業(ye)應該把重點�����(dian)放在(zai)云計算安全(quan)策略的三個主(zhu)要領域上:
1.工(gong)(gong)具。企業在云(yun)環境中(zhong)部署(shu)的(de)(de)安全工(gong)(gong)具必須是(shi)原生的(de)(de),并且能(neng)夠保(bao)護(hu)Web應用程序和(he)云(yun)端(duan)工�������(gong)(gong)作(zuo)負載。 Govshteyn表(biao)示: 安全技術都集中(zhong)在端(duan)點保(bao)護(hu)制定一套攻(gong)擊向量。這在云(yun)端(duan)并不(bu)常(chang)見,并且沒有足(zu)夠的(de)(de)能(neng)力處理OWASP的(de)(de)十(shi)大威脅,�����這占到所有云(yun)計算攻(gong)擊的(de)(de)75%。 他指出,端(duan)點威脅針對(dui)的(de)(de)是(shi)Web瀏覽器和(he)客(ke)戶端(duan)軟件,而基礎設施(shi)威脅則針對(dui)服務器和(he)應用程序框架。
2.體(ti)系。體(ti)系結(jie)構的(de)定義(yi)圍繞(rao)云計算提供的(de)安全和管理優(you)勢,而不是企業(ye)(ye)(ye)在(zai)傳統數據中心中使(shi)用(yong)(yong)的(de)相同(tong)體(ti)系結(jie)構。 Govshteyn說(shuo): 現在(zai)有(you)數據顯示,純粹的(de)公共(gong)云環境可以讓企業(ye)(ye)(ye)降低事件率(lv),但只(zhi)有(you)使(sh����i)用(yong)(yong)云計算功(gong)能來設計更安全的(de)基(ji)礎(chu)架(jia)構才能實現。 他(ta)建議企業(ye)(ye)(ye)將每(mei)個應用(yong)(yong)程序或(huo)微服務(wu)隔離在(zai)自己(ji)的(de)虛擬私有(you)云中,這樣(yang)可以減少(shao)任何入(������ru)侵的(de)范圍。
像雅虎公司(si)數據泄露這樣(yang)的主要違規行為(wei)最(zui)初(chu)是(shi)以(yi)簡單的Web應(ying)用(yong)程(cheng)序作為(wei)初(chu)始輸入向(xiang)量,因此不太������重要的應(ying)用(yong)程(cheng)序往(wang)往(wang)成(cheng)為(wei)企業(ye)最(zui)大的問題(ti)。 另外(wai),企業(ye)不要在(zai)云(yun)部署(shu)中修補漏洞。相反,部署(shu)運行最(zui)新代碼(ma)的新的云(yun)計算基(ji)礎設施,并停用(yong)原有的基(ji)礎設施。
Govshteyn表示(shi): 只有在(zai)部署自動(dong)化的(de)(de)情(qing)況下才能(neng)做到這一點,但是企業將獲得(de)傳統(tong)數據中心永遠無法實現(xian)的(de)(de)基礎設施控制級別的(de)(de)能(neng)力(li)�������。
3.連接點。企(qi)業需要確定(ding)云部署與運行傳統代(dai)碼的(de)(de)傳統數(shu)據中心相互連接��������的(de)(de)點。他說: 這(zhe)些問題(ti)很(hen)可能是企(qi)業最大的(de)(de)問題(ti)來(lai)源,因(yin)為我們看到一������個明顯的(de)(de)趨(qu)勢(shi),即混合云部署往(wang)往(wang)會遭遇大部分安全事件。
并非企業現有安全策(ce)略的所有內容都(dou)必須為云計算而改變。 企業在(z������ai)某些方面可以(yi)使用相同的安全策(ce)略,例如,對于取證和威脅檢(jian)測(ce)的深度內容檢(jian)測(ce)。對于云端來說,其(qi)(qi)本身(shen)并不是一(yi)(yi)個壞主意。追求這一(yi)(yi)目標的企業一(yi)(yi)般都(dou)在(zai)尋求其(qi)(qi)安全架構之間(jian)的一(yi)(yi)致性,以(yi)減少其(qi)(qi)安全狀況(kuang)的差(cha)距。 Gigamon產(chan)品(pin)營(ying)銷高級經理Tom Clavel說。
Clavel補充說: 企業面臨的挑戰是如何獲得(de)網絡���流(liu)量來(lai)進行這種檢(jian)查(cha)。雖(sui)然(ran)這些數據可以通過多種方式在(zai)本(ben)地部署(shu)的數據中心獲得(de),但在(zai)云端無法使(shi)用。另外(wai),即使(shi)他們(men)能(neng)夠訪問(wen)流(liu)量,也不必將信息泄漏到內部工具進行檢(jian)查(cha),而(er)沒有人工智能(neng)的幫(bang)助則成本(ben)高,并(bing)且會(h������ui)適得(de)其反。
云計(ji)算的可見性問題(ti)
在(zai)(zai)VansonBourne公司進行的(de)(de)調查(cha)中,很多受訪者(zhe)抱怨(yuan)說,云(yun)計算可能會(hui)在(zai)(zai)安(an)全領域造成盲(mang)����點(dian)。總體而(er)言,有一半(ban)的(de)(de)受訪者(zhe)表示(shi),云(yun)計算能夠 隱藏 識別威脅的(de)(de)信息(xi)(xi)。他們還表示(shi)在(zai)(zai)云(yun)端缺(que)少有關正在(zai)(zai)加(jia)密(48%的(de)(de)受訪者(zhe)表示(shi))、不安(an)全的(de)(de)應用(yong)程序或流量(47%)或SSL/TLS證書有效性(xing)的(de)(de)信息(xi)(xi)(35%的(de)(de)受訪者(zhe)表示(shi))。
49%的(de)受(shou)訪者表(biao)示,混�����合云環境可能(neng)會進一(yi)步阻礙可見性,因為它可以阻止(zhi)企(qi)業安(an)全(q������uan)團隊(dui)看到數(shu)據實際存儲(chu)的(de)位(wei)置。78%的(de)受(shou)訪者表(biao)示,孤立的(de)數(shu)據(一(yi)些由安(an)全(quan)操作部(bu)(bu)門掌控(kong),另一(yi)部(bu)(bu)分由網絡操作部(bu)(bu)門掌控(kong))可能(neng)會使查(cha)找數(shu)據更(geng)加惡(e)化。
不僅(jin)僅(jin)數據是(shi)這樣,企(qi)(qi)業(ye)安(an)(an)(an)全(quan)團隊的(de)(de)可(ke)視(shi)(shi)性(xing)也(ye)很(hen)有限(xian)。67%的(de)(de)調(diao)查(cha)受訪者表示,網(wang)(wang)絡盲點是(shi)他(ta)們保護(hu)組織數據安(an)(an)(an)全(quan)的(de)(de)障礙。為了獲得(de)更(geng)好的(de)(de)可(ke)視(shi)(shi)性(xing),Clavel建議企(qi)(qi)業(ye)首先確定如何組織和實施安(an)(an)(an)全(quan)狀態(tai)。 人們會(hui)問,這一切(qie)都在云端嗎?還是(shi)從內部部署擴展(zhan)到(dao)云端?在這兩種情況下,確保應用程序網(wang)(wang)絡流量(liang)的(de)(de)普遍可(ke)見(jian)性(xing)是(shi)安(an)(an)(an)全(quan)策略的(de)(de)核心。企(qi)(qi)業(ye)看到(dao)的(�������de)(de)越(yue)多,就(jiu)能(neng)獲得(de)更(geng)多的(de)(de)安(an)(an)(an)全(quan)保障。 他(ta)說。
為(wei)了解決(jue)可見性需求,企(qi)(qi)業(ye)需要確定一種方法來獲取(qu)、匯總和優(you)化網絡流量的安(an)(an)(an)全工具,無論(lun)它們(men)是入侵檢(jian)測(ce)系統(tong)(IDS)、安(an)�������(an)(an)全信(xin)息和事件(jian)管(guan)理(SIEM)、取(qu)證、數據丟失(shi)防護(hu)DLP、高(gao)級威(wei)脅(xie)檢(jian)測(ce)(ATD),或同時進(jin)行所有這些檢(jian)測(ce)。 Clavel補充(chong)說, 最后,添加SecOps程序,即使隨(sui)著企(qi)(qi)業(ye)的云計算足跡增長,也能自動檢(jian)測(ce)威(wei)脅(xie)的可見性和安(an)(an)(an)全性。
這些盲點(dian)和低信息(xi)可(ke)見性可(ke)能會導(dao)致GDPR合規(gui)性問題。66%的(de)(de)受訪者表(biao)示缺乏可(ke)見性會使GDPR�������合規(gui)困難。只有59%的(de)(de)受訪者認為他(ta)們的(de)(de)組織將在2018年5月的(de)(de)截止日期之前(qian)為GDPR的(de)(de)實施做好了準備。
機器學習(xi)會提(ti)供幫助嗎(ma)?
云計算服(fu)務提供商正在(zai)努力提高客戶(hu)識別和解決潛在(zai)威脅的能力。例如,�������亞馬遜網絡服(fu)務(AWS)在(zai)2017年推(tui)出了了兩項依靠(kao)機(ji)器學習來保(bao)護客戶(hu)資產的服(fu)務。
在2017年8月,AWS推出了Macie服務,主要側重(zhong)于PCI、HIPAA和(he)GDPR合規。它會根據(ju)用(yong)戶(hu)在Amazon S3存儲桶中(zhong)的內容進行培(pei)訓,并(bing)在檢測到可(ke)疑活動(dong)時通知客戶(hu)。AWS GuardDuty于2017年11月份發布,它使(shi)用(yong)機器學習來分析AWS CloudTrail,VPC Flow Logs和(he)AWS DNS日志(zhi)。像Macie一樣,GuardDuty專注���于異常檢測,以提醒(xing)客戶(hu)的可(ke)疑活動(dong)。
機器學習������(xi)的(de)有(you)效性取決于由算法(fa)和(he)訓練(lian)數(shu)據組成的(de)模(mo)(mo)型。這個模(mo)(mo)型與其所訓練(lian)的(de)數(shu)據一(yi)樣��������(yang)好,任何超出模(mo)(mo)型數(shu)據的(de)事(shi)件(jian)都(dou)不會被(bei)Macie或GuardDuty等(deng)服務檢測到。
也(ye)就是說,像AWS這樣的(de)(de)云(yun)計算安全提供商(shang)將擁(yong)有(you)(you)比任何個人(ren)客戶都(dou)更(geng)加豐富的(de)(de)數(shu)據集。AWS在(zai)其(qi)整個網絡中都(dou)具(ju)有(you)(you)可視性,使得(de)在(zai)正常的(de)(de)和可能是惡意的(de)(de)情況下訓練其(qi)機器學習模型變(bian)得(de)更(geng)加容易。但是,客戶需要了(le)解機器學����習不會檢測到機器學習模型中的(de)(de)培訓數(shu)據之(zhi)外的(de)(de)威(wei)脅。他們不能只靠guardduty Macie和GuardDuty這樣的(de)(de)服務。
誰擁有云安全?
考慮到這一(yi)點,毫不奇怪(guai)的是,�����62%的受訪者表(biao)示(shi)希(xi)望他(ta)們(men)的安全運營中心(xin)(SOC)能(neng)夠控制網(wang)絡流(liu)量(liang)和數(shu)據,以確(que)保(bao)在云(yun)計算環(huan)境中提(ti)供充分的保(bao)護。他(ta)������們(men)中有一(yi)半人會意識到需要保(bao)護網(wang)絡流(liu)量(liang)和數(shu)據。
由于管(guan)理(li)云(yun)環境的(de)結構問(wen)題(ti)(ti),對(dui)于許多組織來說(shuo),獲得控(kong)制(zhi)權甚至獲得完全(quan)可見性可能是一個挑戰。雖(sui)然69%的(de)受訪(fang)者(zhe)組織負責安全(quan)操作(zuo),但云(yun)端操作(zuo)(54%)或(huo)網絡操作(zuo)也會(hui)涉(she)及(ji)云(yun)計算安全(quan),這導致(zhi)出現了企業與(yu)云(yun)計算安全(quan)廠(chang)商以及(ji)IT團(tuan)隊應(ying)該如何合作(zuo)的(de)問(wen)題(ti)(ti)。事實上(shang),有�������48%的(de)受訪(fang)者(zhe)表(biao)示,團(tuan)隊之(zhi)間缺乏合作(zuo)是識別和報告(gao)違(wei)規行為的(de)最大障(zhang)礙。
Clavel說: 企業(ye)通常將網絡、安全和云(yun)端的(de)(de)責任分開。每方面都有不同的(de)(de)預算(suan)、獨(du)特(te)的(de)(de)所有權,甚至是管理這些領(ling)域的(de)(de)獨(du)特(te)工具。要(yao)獲得云(yun)計(ji)(ji)算(suan)的(de)(de)可視性(xing),需要(yao)打破(po)這三個(ge)組(zu)織�������之間的(de)(de)溝(gou)通障礙。部署(shu)在本地部署(shu)數據中心(xin)的(de)(de)相同安全工具也將能夠保護云(yun)端,因此云(yun)計(ji)(ji)算(suan)提供商和安全團隊需要(yao)溝(gou)通。
哪些人應該(gai)關注組織(zhi)的云安(an)全(quan)?企(qi)業(ye)需要具有(you)專業(ye)技能和(he)長期能力的工(gong)作人員(yuan)或團(tuan)隊(dui)。 Govshteyn說: 企(qi)業(ye)需要找到能夠最快地轉向(x������iang)新的云計算安(an)全(quan)模(mo)式的人員(yuan)或團(tuan)隊(dui),并讓他們在未來三(san)到五年(nian)內建立企(qi)業(ye)安(an)全(quan)策略。
在(zai)過去的(de)幾年中,這些往往是IT運營團隊或(huo)企業(ye)安(an)(an)全(quan)團隊在(zai)實(shi)施(shi),但總是有(you)(you)一個架構師級別(bie)的(de)個人������貢(gong)獻者或(huo)專門的(de)云計算安(an)(an)全(quan)團隊。這個新的(de)安(an)(an)全(quan)專業(ye)人員可(ke)以編寫(xie)代碼,花費超過80%的(de)時間自動完成工作(zuo),并將開發團隊視為(wei)同行而不是對手(shou)。 Govshteyn說。他補充(chong)說,在(zai)科技公司,安(an)(an)全(quan)有(you)(you)時是工程團隊所(suo)做的(de)工作(�����zuo)。
盡(jin)管(guan)目前(qian)很(hen)(hen)多企業的(de)高層對安全問題非常感(gan)興趣,但他們(men)不(bu)會提供具體的(de)幫助(zhu)。他說: 事(shi)實上,一(yi)半以上(53%)的(de)受(shou)訪者表示(shi)云(yun)(y������un)計算(suan)(suan)安全的(de)任務進一(yi)步復雜化,這(zhe)是(shi)因為他們(men)的(de)組(zu)織(zhi)沒有實施云(yun)(yun)計算(suan)(suan)安全策略或框架。雖然幾(ji)乎(hu)所有這(zhe)些組(zu)織(zhi)都打算(suan)(suan)在(zai)未來這(zhe)樣做��������,但誰在(zai)領導實施很(hen)(hen)多人卻不(bu)清楚(chu)。
Clavel說: 安(an)(an)全(quan)和(he)監控工具也將能(neng)夠利用同一(yi)個安(an)(an)全(quan)交(jiao)(jiao)付(fu)平(ping)(ping)臺(tai)提供更(geng)大(da)的(de)(de)靈(ling)活(huo)性,因(yin)此網絡(luo)、安(an)(an)全(quan)和(he)云計(ji)算方面(mian)的(de)(de)團隊也需要(yao)同意分擔安(an)(an)全(quan)交(jiao)(jiao)付(fu)平(ping)(pin��g)臺(tai)的(de)(de)責任。作(zuo)為SOC的(de)(de)一(yi)部分 或(huo)至少要(yao)建立共(gong)同預算和(he)共(gong)享(xiang)所(suo)有權的(de)(de)安(an)(an)全(quan)交(jiao)(jiao)付(fu)平(ping)(ping)臺(tai),鞏固其安(an)(an)全(quan)和(he)監控活(huo)動(dong)的(de)(de)企(qi)業,將獲得更(geng)好的(de)(de)靈(ling)活(huo)性、更(geng)快的(de)(de)決策(ce),以(yi)及跨平(ping)(ping)臺(tai)和(he)云端部署的(de)(de)一(yi)致(zhi)安(an)(an)全(quan)性。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類,六類,七類線,屏蔽模塊,配線架及相關模塊(kuai)配件的研發和生(sheng)產。
歡迎來電咨詢0574 88168918,郵箱sales@aliance.cn,網址aliance.cn
