日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
聊聊前五名云安全風(fēng)險

云安全專家 Qualys 從其自己的平臺和第三方汲取見解和數(shù)據(jù),提供了對前五名云安全風(fēng)險的看法。

五個關(guān)鍵風(fēng)險領(lǐng)域是錯誤配置、面向外部的漏洞、武器化漏洞、云環(huán)境內(nèi)的惡意軟件以及修復(fù)滯后(即修補(bǔ)延遲)。

2023 年 Qualys 云安全洞察報告,提供了有關(guān)這些風(fēng)險領(lǐng)域的更多詳細(xì)信息。毫無疑問,錯誤配置是第一個。早在 2020 年 1 月,美國國家安全局 (NSA) 就警告稱,配置錯誤是云資產(chǎn)的主要風(fēng)險領(lǐng)域,而且似乎沒有什么變化。Qualys 和 NSA 都指出,對云服務(wù)提供商 (CSP) 和云消費(fèi)者之間共同責(zé)任概念的誤解或回避是錯誤配置的主要原因。

Tigera 首席營銷官 Utpal Bhatt 解釋說:“在共擔(dān)責(zé)任模式下,CSP 負(fù)責(zé)監(jiān)控和響應(yīng)云和基礎(chǔ)設(shè)施(包括服務(wù)器和連接)的威脅。他們還有望為客戶提供保護(hù)其工作負(fù)載和數(shù)據(jù)所需的功能。使用云的組織負(fù)責(zé)保護(hù)云中運(yùn)行的工作負(fù)載。工作負(fù)載保護(hù)包括安全工作負(fù)載狀態(tài)、運(yùn)行時保護(hù)、威脅檢測、事件響應(yīng)和風(fēng)險緩解。”

雖然 CSP 提供安全設(shè)置,但將數(shù)據(jù)部署到云的速度和簡單性往往會導(dǎo)致這些控制措施被忽視,而補(bǔ)償消費(fèi)者控制措施則不夠充分。誤解或誤用共同責(zé)任的劃分會給辯護(hù)留下漏洞;Qualys 指出,“這些安全‘漏洞’可以快速打開云環(huán)境,并將敏感數(shù)據(jù)和資源暴露給攻擊者?!?/p>

Qualys 發(fā)現(xiàn) 60% 的 Google Cloud Platform (GCP) 使用情況、57% 的 Azure 和 34% 的 Amazon Web Services (AWS) 使用情況都存在配置錯誤(根據(jù) CIS 基準(zhǔn)衡量)。

圖片

Qualys 威脅研究部門副總裁 Travis Smith 表示:“AWS 配置比 Azure 和 GCP 的配置更安全的原因可能在于其更大的市場份額……與其他 CSP 相比,有更多關(guān)于保護(hù) AWS 的材料市場。”

該報告敦促更多地使用互聯(lián)網(wǎng)安全中心(CIS)基準(zhǔn)來強(qiáng)化云環(huán)境。“沒有組織會部署 100% 的覆蓋率,”Smith 補(bǔ)充道,“但如果組織希望降低在云中遇到安全事件的風(fēng)險,則應(yīng)強(qiáng)烈考慮將 [映射到 MITRE ATT&CK 策略和技術(shù)的 CIS 基準(zhǔn)] 作為基線部署”。

第二大風(fēng)險來自包含已知漏洞的外部資產(chǎn)。攻擊者可以掃描具有公共 IP 的云資產(chǎn)以查找漏洞。以Log4Shell(面向外部的漏洞)為例。“如今,Log4Shell 及其已知的次要漏洞已經(jīng)有了補(bǔ)丁,”Qualys 說?!暗恍业氖?,Log4Shell 仍然沒有得到修復(fù),在面向外部的云資產(chǎn)上有 68.44% 的檢測結(jié)果未打補(bǔ)丁?!?/p>

Log4Shell 還說明了第三種風(fēng)險:武器化漏洞。報告稱:“武器化漏洞的存在就像給任何人一把通往你的云的鑰匙?!?nbsp;Log4Shell 允許攻擊者在記錄字符串時通過操縱特定的字符串替換表達(dá)式來執(zhí)行任意 Java 代碼或泄露敏感信息。它很容易利用并且在云中無處不在。

“Log4Shell 于 2021 年 12 月首次檢測到,并繼續(xù)困擾全球企業(yè)。我們已檢測到 100 萬個 Log4Shell 漏洞,其中只有 30% 成功修復(fù)。由于復(fù)雜性,修復(fù) Log4Shell 漏洞平均需要 136.36 天(約四個半月)?!?/p>

第四個風(fēng)險是您的云中已經(jīng)存在惡意軟件。雖然這并不自動意味著“游戲結(jié)束”,但如果不采取任何行動,游戲很快就會結(jié)束。“云資產(chǎn)面臨的兩個最大威脅是加密貨幣挖礦和惡意軟件;兩者的設(shè)計目的都是為了在您的環(huán)境中提供立足點(diǎn)或促進(jìn)橫向移動,”報告稱。“加密貨幣挖礦造成的關(guān)鍵損害是基于計算周期成本的浪費(fèi)?!?/p>

雖然這對礦工來說可能是正確的,但值得記住的是,礦工找到了進(jìn)入的方法。鑒于暗網(wǎng)中信息共享的效率,該路線很可能會被其他犯罪分子所知。2022 年 8 月,Sophos報告了“多方”攻擊,其中礦工往往是帶頭攻擊。Sophos當(dāng)時 告訴《安全周刊》,“加密貨幣礦工應(yīng)該被視為煤礦里的金絲雀——這是幾乎不可避免的進(jìn)一步攻擊的初步跡象?!?/p>

簡而言之,如果您在云中發(fā)現(xiàn)加密貨幣挖礦程序,請開始尋找其他惡意軟件,并找到并修復(fù)挖礦程序的進(jìn)入路徑。

第五個風(fēng)險是漏洞修復(fù)緩慢,即補(bǔ)丁時間過長。我們已經(jīng)看到 Log4Shell 的修復(fù)時間超過 136 天(如果確實完成的話)。同樣的一般原則也適用于其他可修補(bǔ)的漏洞。

有效的修補(bǔ)可以快速減少系統(tǒng)中的漏洞數(shù)量并提高安全性。統(tǒng)計數(shù)據(jù)表明,通過某種自動化方法可以更有效地執(zhí)行此操作。報告稱,“幾乎在所有情況下,自動修補(bǔ)都被證明是比手動工作更有效地部署關(guān)鍵補(bǔ)丁并讓您的業(yè)務(wù)更安全的補(bǔ)救途徑。”

對于非 Windows 系統(tǒng),自動修補(bǔ)的效果是修補(bǔ)率提高 8%,修復(fù)時間縮短兩天。

與補(bǔ)救風(fēng)險相關(guān)的是技術(shù)債務(wù)的概念——繼續(xù)使用支持終止 (EOS) 或生命周期終止 (EOL) 產(chǎn)品。這些產(chǎn)品不再受到供應(yīng)商的支持 - 將沒有補(bǔ)丁可供實施,并且未來的漏洞將自動成為零日威脅,除非您可以采取其他補(bǔ)救措施。 

報告指出:“我們的調(diào)查期間發(fā)現(xiàn)超過 6000 萬個應(yīng)用程序已終止支持 (EOS) 和終止生命周期 (EOL)?!?nbsp;此外,“在接下來的 12 個月內(nèi),超過 35,000 個應(yīng)用程序?qū)⑼V怪С帧!?/p>

防御團(tuán)隊需要優(yōu)先考慮這些風(fēng)險中的每一個。消費(fèi)者使用云的速度和攻擊者濫用云的速度表明,防御者應(yīng)盡可能采用自動化和人工智能來保護(hù)其云資產(chǎn)。“自動化是云安全的核心,”Bhatt 評論道,“因為在云中,計算資源數(shù)量眾多且不斷變化?!?/p>
名稱欄目:聊聊前五名云安全風(fēng)險
文章起源:http://www.dlmjj.cn/article/cdsgegd.html