對雲服務的4種常見安全威脅以及如何應對

如果您的雲服務安全策略基於防禦單個位置,那麼您將如何應對基於雲的系統不斷變化的邊界?您的員工可以通過任意數量的設備(台式機,筆記本電腦和智能手機)通過互聯網提供商到咖啡館或機場的3G或4G網絡訪問您的雲服務和敏感數據。實際上,雲服務使傳統的安全控制變得難以管理。威脅態勢的規模持續增長。根據SANS的調查,2017年,有19%的組織經歷了某種類型的對其云環境的未經授權的訪問,但在2019年,這一比例高達31%。在2019年,有28%的受訪者報告了與其云有關的事件(或實際違規)應用程序或數據。最常見的攻擊類型是帳戶或憑據劫持,在SANS的研究中,驚人的48.9%的受訪者表示。其他常見威脅包括雲服務配置錯誤,DoS攻擊以及敏感數據洩露。11.1%的受訪者還報告了攻擊者使用組織的雲服務作為訪問內部系統的手段的事件。


惡意軟件


一如既往,惡意軟件是一個重大威脅,尤其是在雲中,因為員工可以使用同一設備漫遊Internet,以實現與工作無關的目的,然後登錄與工作相關的雲服務。當您的一名員工訪問惡意網站時,他們的設備冒著被感染的風險,而用戶甚至沒有意識到這一點。當用戶以後使用同一設備訪問您的雲服務時,存在使用戶不了解的攻擊者有權訪問您的數據的風險。這種威脅不再局限於攻擊者只是誘騙員工使用網絡釣魚詐騙訪問受感染的網站。許多網絡犯罪分子都有殭屍網絡等待感染恰好碰到這些設備的任何設備,從而使黑客可以機會性地同時瞄准許多組織。儘管防病毒或端點保護軟件確實提供了保護,但新的惡意軟件仍在不斷開發中,而現有的惡意軟件也在不斷發展。僅依靠防病毒軟件就可以使您的組織接觸到最新版本的惡意軟件。



勒索軟件


使用勒索軟件的網絡罪犯的目標是最有可能支付勒索以恢復其數據的公司。試想一下,如果公司中所有人使用的所有云託管文件突然被鎖定並且完全無法訪問,您的公司內部會發生什麼?除非掃描威脅,否則嵌入到文檔和文件中並上傳到雲服務的勒索軟件會帶來嚴重的風險。傳統的防病毒解決方案通常不會訪問包含惡意代碼和/或非法內容的網站鏈接。雲服務提供商根據共享責任的概念依靠其客戶來保護其內容。



內部威脅


內部威脅也是一個問題。一個心懷不滿的員工可以訪問您在雲上的內容,可以出於個人利益濫用它,例如將其洩露和出售。雲提供商自己的人員可能具有特權用戶訪問權限,可以繞過您可能擁有的任何安全控制。實際上,在最近的SANS研究中,特權用戶的濫用是第三種最常見的攻擊類型。



用戶錯誤


簡單的錯誤也可能為雲原生漏洞打開大門。這種類型的破壞使用雲固有的功能來成功完成破壞,而無需使用惡意軟件。如果雲服務配置不正確,攻擊者可以使用它來訪問您的資源。一旦進入內部,攻擊者便可以搜索弱點,從而使他們能夠擴大訪問範圍,找到您的敏感數據並將其洩露。錯誤配置可能會帶來非常昂貴的後果,正如Capitol One在2019年夏季發現的那樣。Web應用程序防火牆或WAF配置錯誤,使攻擊者可以訪問80,000個銀行帳號和140,000個社會保險號。國會大廈一期的總成本預計將高達1.5億美元。


保護您的雲應用程序

考慮到威脅的範圍及其不斷擴大的威脅,您是否可以採取任何措施來保護您的雲環境?答案是肯定的。要考慮的四個最重要的事情包括管理對敏感數據的訪問,管理雲服務的配置,使用雲應用程序的本機安全工具以及掃描上載到雲環境的內容。


管理訪問權限:防範內部人員威脅的最佳方法就是確保沒有內部人員能夠成為威脅。你該怎麼做?通過基於角色,內容類型或訪問方法來管理員工的訪問權限,您可以創建一組可以有效管理的策略。如果員工只能訪問完成工作所需的內容,則可以大大降低內部攻擊的風險。確保您使用的是雲提供商提供的訪問控制工具,並儘可能嚴格地限制權限,這將進一步改善您的安全狀況。訪問管理包括多因素身份驗證過程。攻擊者欺騙身份的難度越大,攻擊滲透到您的系統中的可能性就越小。


管理配置:錯誤地配置您的雲服務可能使您面臨雲原生漏洞。因此,確保正確配置雲服務是可以採用的最重要的防禦措施之一。手動配置會增加此類錯誤發生的機會。使用現成的配置管理工具可以在需要時自動調整設置,從而為您提供幫助。始終確保使用雲服務提供商推薦的配置設置。


使用本機安全工具:雲服務提供商提供了日誌記錄工具,這些工具可以跟踪有關誰訪問了服務的詳細信息,如果發生攻擊,您可能會發現這些服務非常寶貴。這些詳細信息包括諸如每個API調用程序的IP地址及其調用時間之類的信息。不幸的是,某些組織沒有看到使用這些工具的好處,從而降低了自己的可見性,從而降低了自己以最有效的方式應對漏洞的能力。推薦的另一種密鑰保護機制是加密數據。如果未加密存儲在雲中的數據,則成功訪問該數據的任何人都可以不受限制地訪問該數據。但是,如果數據被加密,成功的攻擊者將無法使用任何東西。


檢查用戶上傳的內容監視上傳到您的雲環境的內容非常重要。如果您員工的一個帳戶被盜用並用於共享在整個組織中傳播的惡意文件,後果將是災難性的。您需要一種能夠分析上傳到雲環境和從雲環境下載的所有URL和文件,並檢測威脅或什至可疑的所有內容的技術。這在其他端點安全解決方案的基礎上增加了補充性的安全層。不幸的是,大多數雲軟件的基本版本通常不包含這種功能,或者有時根本不包含。


轉載來自F-Secure全球



若您希望得知更多資訊或有其他需求 

請至 線上服務 留言 

我們會盡快與您聯繫 

也可從 聯絡我們 取得聯絡方式


ATCnet Technology Ltd