云计算和SaaS(Software as a service)成为企业必备要素,但科技提高计算和存储效率的同时也引发了安全隐患。
近期美国金融公司Capital One数据遭到攻击和入侵,使1.06亿人的敏感信息受到危胁。出现了怎样的网络漏洞使黑客有机可乘?
这对于网络安全的初创企业不失为一个良机。但秉承其一贯以来的单一运作模式是不够的,那这些云安全初创公司又该如何顺应需求,从而充分发挥其作用?
原文来自A16Z,作者Joel de la Garza
最近美国金融公司Capital One数据遭到攻击和入侵,1.06亿人的敏感信息受到危害,其中包括14万个社会安全号码和8万个银行账号。
此次入侵是由一名黑客执行的,他利用了基于云计算的SaaS(Software as a service)应用程序中一个众所周知的漏洞——Web应用防火墙配置错误(web application firewalls,WAFs)。
根据美国联邦调查局(FBI)的刑事起诉书表明,该黑客“曾多次通过洋葱头软件(The Onion Router,TOR)出口节点连接或试图连接Capital One的服务器”。换句话说,他通过出口节点一扇扇地去推这些虚拟的门,直到找到一扇没有锁的。
一旦进入防火墙,整个攻击只需要三条命令。第一是获得访问Capital One文件夹的安全证书,第二是列出文件夹的内容,第三是提取数据。所以最关键的漏洞仍是最初那扇没有上锁的门。
不幸的是,随着企业转向云计算和SaaS技术管理,配置错误的云服务和应用程序留下了太多未上锁的门。
我在最近的播客中谈到从信任传递模式到零信任安全模式转变的重要性。(译注:指播客16Mins 2019年8月12日发布的节目,主题为健康索赔与公司危机。)
而在本文中,我想讨论网络安全初创公司将如何通过提供一个控制面板来管理云配置,帮助企业将管理模式转移到云端并适应SaaS技术。
一、新的安全威胁:配置错误
从内部软件来讲,安全漏洞通常是由于安全证书被盗或软件补丁丢失所造成的。
例如,在2017年信用评估机构Equifax的黑客入侵事件中,黑客之所以能成功入侵Equifax网络,就是因为软件补丁的缺失。
今天,基于云计算的软件的软件补丁自动化程度越来越高,已经不那么容易受到攻击。
Capital One的网络安全漏洞凸显了企业面临了新的安全担忧:基于云计算管理的软件配置错误或权限过于宽泛。
对于Capital One,网络访问结合了一个拥有特权的系统帐户启用服务端请求伪造(Server Side Request Forgery)攻击,诱骗存储服务将给黑客的所有内容存储在一个bucket中,这个bucket是一个文件夹,它是云服务中存储目标对象及其元数据最基本的容器。
在云计算和SaaS时代,企业安全性要从在异构软件环境中维护正确的权限和设置开始。(译注:异构软件环境指的是由不同制造商生产的软件所组成的软件环境。)
虽然云计算和SaaS供应商努力使单个云服务产品更加安全,但现代企业是一个多云环境,他们会拥有越来越多的SaaS工具和应用程序。
当下来看,很多企业同时管理一个工具或应用程序的云配置。对于初创企业来说,这是提供跨云服务商安全服务的好机会。
二、云安全初创企业要走出单一特性的困境
大多数云安全初创企业,尤其是云访问安全代理(cloud access security brokers,CASBs)往往遵循类似的工作模式。
他们通过与客户对话,找出单一云提供商尚未提供的某个安全特性或特性集合。他们深入Amazon云计算服务AWS或Microsoft云计算服务Azure,添加一些特性,比如特定的安全控制,并将这些特性卖给客户。
但是,如果一家初创企业只是持续为某个特定的云计算供应商或需要某种特性的客户提供特定的价值,那么他所提供的价值云供应商自己迟早也会完善。
云供应商被鼓励向他们的专有平台添加安全特性和控制。例如,AWS有一个功能,可以告诉人们Amazon简易存储服务bucket(Simple Storage Service,S3)是否对公众可用,但是它并不提供控制面板来管理Google Cloud或Azure的安全性。
因此,企业可以在云平台中管理安全性,但是它们没有一个特定的工具可以进行跨云服务商的安全管理,并发现配置问题——相关SaaS企业也没有动机去提供这样一个工具。
因此,对于云安全初创企业来说,更好的切入点不是深入单个云供应商,而是关注整个行业,为企业提供一个控制面板来检测漏洞,并持续地管理所有云基础设施的配置。
虽然持续监控和评估入侵对企业安全也很重要,但现在安全市场明显缺少覆盖面广泛的配置分析,来确定公司控制面板的哪个位置需要调整安全设置。而这可以帮助加强整个云服务的安全性。
一旦企业能够约束其云基础设施并能持续维护配置,那么公司就可以继续发展并关注其业务的合规性。
三、统一化控制面板的市场机会
因此,正确配置以云计算为基础的工具的重担落在了客户而不是供应商身上——事实上,信息技术研究和分析公司Gartner甚至预测,到2023年,99%的云安全故障的源头会是客户自己。这是市场普遍存在的问题,并且已经有了成熟的解决方案,因为:
1.随着企业越来越多地使用多云计算,并更多投资于SaaS应用程序,云配置越来越复杂,要管理的设置数量也越来越多。
2.应用程序接口(Application Programming Interface,API)的兴起使得与多个云平台和应用程序的连接变得更加容易。
3.采用自下而上的产品使初创企业更容易发展成企业。构建一个对任何用户都足够简单的产品,并提供一个钩子程序(Hook),例如带有配置建议报告的单点时间扫描,安全初创企业可以通过这样的产品证明它对于公司领导层的价值。
4.新一代的首席安全官(CSO)进入了大型企业的运营,这个人往往要承担提高公司“云端化”程度的重任。
他们有购买安全工具的预算。去年,仅仅信息安全市场的规模就超过了1,140亿美元。此外,企业很难为安全性定价,因为出错的代价是灾难性的。
2015年,Bank of America的首席执行官布莱恩·莫伊尼汉(Brian Moynihan)甚至表示,该行对安全预算没有上限。
5.云供应商正在以越来越快的速度添加新的安全特性。这些产品变得更加成熟,多云企业将需要一个平台来管理安全特性。
四、云配置错误及其对SaaS的影响
虽然好些企业都希望成为云计算的先行者,但像发生在Capital One上的这种黑客攻击事件会减缓公司向云端的转移。
云计算不仅给企业增加了可变的基础设施成本,同时也增加了安全漏洞的风险,而且我们已经看到金融服务和关键基础设施采用云计算的速度正在放缓的迹象。
五角大楼正在重新考虑与AWS签署价值100亿美元的联合企业防御基础设施云端合同JEDI的决定,而美联储(Federal Reserve)正在重新考虑在云端中存储金融数据的政策。
SaaS和云计算意味着企业可以在云端提供基础设施,满足客户服务和数字体验的新需求。
但只要这些技术造成了安全问题,我们采用这种新企业模式的能力就会局限于我们保持它安全的能力。现在是时候拿出方向正确的云安全企业商业策划书了。
https://a16z.com/2019/08/22/the-next-generation-of-cloud-security-startups/
声明:本文来自栈外,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。