云计算给企业数字化转型注入动力的同时,也带来了新的威胁。根据CrowdStrike威胁数据,2022年云工作负载攻击增长了288%。对手正变得更快(30%的攻击平均突破时间不到30分钟),攻击变得更加复杂(国家黑客正在使用独特的云攻击策略),并且越来越多地针对云环境。
根据Venafi的2022年云安全报告,81%的企业在过去12个月经历过云安全事件,其中近一半(45%)至少经历过四次事件,其根本原因是与云部署相关的安全性和操作复杂性正急剧增加。最常见的云安全事件是:
运行时的安全事件(34%)
未经授权的访问(33%)
配置错误(32%)
尚未修复的高危漏洞(24%)
失败的审计(19%)
2023年,企业可以借助CNAPP(云原生应用保护平台)和攻击面管理工具等新兴云安全技术提高云安全风险的可见性,并大大减少和缓解混合云/多云环境中的漏洞和错误配置等常见安全问题。
近日,CrowdStrike首席产品和工程官Amol Kulkarni接受Venturebeat的采访,就2023年企业面临的云安全挑战和云安全技术趋势进行了预测和研判,内容择要如下:
2023年企业面临三大云安全挑战
1. 缺乏可见性
混合和多云环境的动态特性使安全监控变得复杂,这为影子IT敞开了大门。由于许多企业在开发运维、安全和IT团队之间分担责任,因此当攻击从云环境横向移动到端点时,就会产生盲点。这就是为什么拥有一个可以提供对所有云资源的完整可见性的云原生应用程序保护平台(CNAPP)对于快速识别和阻止攻击行为至关重要的原因。
2.控制成本和运营开销
当使用多个云安全工具而不是CNAPP(将所有内容整合到一个统一的解决方案中)的做法,可能会增加企业云安全方案的总体成本和复杂性。
Gartner曾指出,99%的云故障事件都是由于云配置错误等客户错误导致的。当安全和DevOps团队必须在云安全工具之间转换时,他们通常使用多个仪表板而不是有统一仪表板的CNAPP解决方案,这增加了云配置错误的可能性。
3.云服务的责任共担模式
云服务的责任共担模型可能会产生“安全幻觉”,导致企业误以为自己的云工作负载以及与其相关的应用程序、数据或活动受到云服务提供商(CSP)的全面保护。
这可能导致企业在不知不觉中在云中运行未受到充分保护的工作负载,从而容易受到针对操作系统、数据或应用程序的攻击。即使是安全配置的工作负载也可能成为运行时攻击的目标,因为它们容易受到零日攻击。
威胁检测的云端演变趋势
随着企业迁移到混合云或多云环境,对威胁检测的思考方式也必须发生变化——尤其是在应对跨多个云环境的威胁时。
混合云和多云环境中的威胁格局不同,技术和IT环境也不同。云是高度动态的、可扩展的和动态的。企业在可能云中为多个任务创建数以千计的工作负载,它们基于API,通常使用身份和访问管理(IAM)角色来分离工作负载。
因此,云中的威胁检测必须涵盖身份、安全态势、合规性、错误配置、API、云基础设施和工作负载,包括Kubernetes和容器。
CISO管理云错误配置的三个关键举措
Kulkarni建议CISO采取三项关键措施来有效管理云错误配置:
使用CNAPP解决方案在云环境中建立可见性,该解决方案可以反映企业的整体安全态势,而不仅仅是局部。
实施运行时保护以阻止所有云环境中意外产生或被攻击者武器化的错误配置。这个功能只能通过CNAPP解决方案来实现,该解决方案包括无代理和基于代理的保护以实时检测和修复威胁。
通过左移将安全性纳入CI/CD生命周期,以减少代码中的错误,例如运行存在漏洞的关键应用程序。
通过这些步骤,CISO可以实施一套强大而敏捷的最佳实践和政策,可以满足devops团队的需求。
攻击面管理不是炒作
企业的云足迹正在以前所未有的速度扩张,攻击面也在同步扩大。CrowdStrike Falcon Surface数据显示,企业云环境中暴露的资产中有30%存在严重漏洞。
基于云安全责任共担模型,保护云数据的责任落在客户身上,而不是云服务提供商。常见的云安全风险,如不正确的IAM权限、云配置错误和在IT外部配置的云应用程序,可能使组织容易受到攻击。
外部攻击面管理(EASM)帮助企业安全地迁移到云,同时关注到整个生态系统(子公司、供应链和第三方供应商)的安全态势。
外部攻击面管理解决方案可以帮助企业发现错误配置的云环境(暂存、测试、开发等),并帮助安全团队了解相关风险。通过全面了解外部基础架构,企业可以快速解决云漏洞,同时跟上攻击面的动态变化。
CNAPP的三大关键技术
基于代理或无代理的CNAPP解决方案通常包含以下三大关键技术:
云工作负载保护(CWP)。包括容器和Kubernetes的运行时保护、镜像评估、CI/CD工具和框架,以及在整个应用程序生命周期中实时识别和修复威胁的能力。当通过代理传感器部署时,更丰富的上下文信息可大大提高操作的准确性和速度。
云安全态势管理(CSPM)。采用无代理方法,统一跨多云和混合环境的可见性,同时检测和修复错误配置、漏洞和合规性问题。
云基础设施授权管理(CIEM)。可检测和防止基于身份的威胁,实施特权凭证控制并提供一键式补救测试以加速响应。当与基于身份的身份资产保护策略相结合时,可以缓解近80%的违规行为。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。