云配置錯(cuò)誤的四大原因
2021年11月06日
由于云配置錯(cuò)誤導(dǎo)致的數(shù)據(jù)泄露越來(lái)越多地成為新聞?lì)^條�。隨著云創(chuàng)新步伐的加快,開(kāi)發(fā)安全事件反復(fù)上演���。根據(jù)云基礎(chǔ)架構(gòu)廠商VMware和云安全聯(lián)盟的聯(lián)合調(diào)查發(fā)現(xiàn)�����,2020年17% 的企業(yè)組織報(bào)告了配置錯(cuò)誤導(dǎo)致的云安全漏洞��。該研究強(qiáng)調(diào)����,缺乏云安全知識(shí)��、團(tuán)隊(duì)協(xié)調(diào)�����、風(fēng)險(xiǎn)可見(jiàn)性和速度是阻礙企業(yè)安全團(tuán)隊(duì)實(shí)施云安全配置的四個(gè)主要挑戰(zhàn)。
當(dāng)被問(wèn)及為什么無(wú)法解決導(dǎo)致漏洞出現(xiàn)的云配置錯(cuò)誤時(shí)�,59%的受訪者表示,云知識(shí)欠缺是云安全面臨的挑戰(zhàn)�����。目前��,在大多數(shù)企業(yè)組織中�,對(duì)整個(gè)組織進(jìn)行安全培訓(xùn)的重?fù)?dān)落在了IT團(tuán)隊(duì)身上,有時(shí)還會(huì)看到一個(gè)安全架構(gòu)師為企業(yè)組織中數(shù)百名開(kāi)發(fā)人員和其他IT人員提供支持�����。云安全專家的稀缺可能會(huì)在整個(gè)企業(yè)組織內(nèi)導(dǎo)致一連串的安全問(wèn)題���,但是��,要找到熟悉云安全��、經(jīng)驗(yàn)豐富的員工也并不容易��。
02團(tuán)隊(duì)各自為戰(zhàn)
近一半(49%)的受訪者表示�,他們的信息安全�、IT 運(yùn)營(yíng)和DevOps團(tuán)隊(duì)在云安全策略上不一致。企業(yè)組織的云安全治理需要不同團(tuán)隊(duì)的參與����,但每個(gè)團(tuán)隊(duì)的安全或合規(guī)目標(biāo)略有不同,未能保持治理策略的一致是一種安全或合規(guī)風(fēng)險(xiǎn)���,對(duì)于試圖平衡開(kāi)發(fā)速度與安全治理的開(kāi)發(fā)人員來(lái)說(shuō)是一個(gè)棘手的問(wèn)題�。在此背景下����,企業(yè)組織應(yīng)考慮建立一個(gè)集中的云卓越中心或跨職能團(tuán)隊(duì),以支持和管理企業(yè)組織內(nèi)云戰(zhàn)略的執(zhí)行����。
03風(fēng)險(xiǎn)可見(jiàn)性差
63%的受訪者表示,其所在企業(yè)組織無(wú)法防止云安全漏洞的主要原因是缺乏對(duì)錯(cuò)誤配置的可見(jiàn)性�����,91%的受訪者表示���,其所在企業(yè)組織目前正在使用解決方案來(lái)檢測(cè)和修復(fù)錯(cuò)誤配置���。企業(yè)組織之所以無(wú)法有效識(shí)別錯(cuò)誤配置�����,是因?yàn)橐话阍铺峁┥烫峁┝瞬糠衷瓢踩?wù)����,在這種情況下��,企業(yè)安全團(tuán)隊(duì)經(jīng)常對(duì)需要擔(dān)負(fù)的云安全責(zé)任感到困惑����。
就自負(fù)責(zé)任而言,企業(yè)安全團(tuán)隊(duì)需要對(duì)云服務(wù)有更廣泛和深度的風(fēng)險(xiǎn)可見(jiàn)性�。這意味著企業(yè)安全團(tuán)隊(duì)需要使用適當(dāng)?shù)牟呗员O(jiān)控云提供商、帳戶和服務(wù)��,需要深入了解各種云資源��、配置依賴關(guān)系以及黑客訪問(wèn)數(shù)據(jù)或控制云環(huán)境的眾多路徑����。目前,行業(yè)內(nèi)缺乏有效的解決方案來(lái)進(jìn)行全面的安全支持�����,即使企業(yè)安全團(tuán)隊(duì)有監(jiān)控云的解決方案,也未必具有良好的風(fēng)險(xiǎn)可見(jiàn)性����。
眾所周知���,網(wǎng)絡(luò)犯罪分子可以在幾分鐘內(nèi)快速識(shí)別并探查在互聯(lián)網(wǎng)上暴露的云資產(chǎn)�。因此�����,企業(yè)安全團(tuán)隊(duì)識(shí)別和修復(fù)錯(cuò)誤配置的速度對(duì)于能否避免云安全漏洞被利用至關(guān)重要�。不幸的是,在調(diào)查中發(fā)現(xiàn)大多數(shù)企業(yè)組織的云安全流程應(yīng)對(duì)滯后�����。接近一半(44%)的受訪者表示需要一天多的時(shí)間來(lái)檢測(cè)配置錯(cuò)誤��,63%的人表示修復(fù)該風(fēng)險(xiǎn)需要一天以上的時(shí)間��。
在此背景下����,安全左移——倡導(dǎo)在軟件開(kāi)發(fā)早期階段引入安全����,使開(kāi)發(fā)人員能夠在代碼生產(chǎn)之前修復(fù)錯(cuò)誤配置就顯得尤為重要��,也應(yīng)該成為企業(yè)安全團(tuán)隊(duì)的關(guān)鍵優(yōu)先事項(xiàng)���。但是���,沒(méi)有哪種實(shí)現(xiàn)方法是萬(wàn)無(wú)一失的,開(kāi)發(fā)人員也不可能捕獲所有錯(cuò)誤����,因此,企業(yè)組織使用實(shí)時(shí)安全監(jiān)控解決方案來(lái)補(bǔ)充DevSecOps方法�����,對(duì)于有效管理云風(fēng)險(xiǎn)至關(guān)重要��。
由于人為因素導(dǎo)致的錯(cuò)誤配置是云安全漏洞的主要原因��。當(dāng)然�����,讓開(kāi)發(fā)人員能夠安全地使用云并降低錯(cuò)誤配置風(fēng)險(xiǎn)仍然具有挑戰(zhàn)性。企業(yè)安全團(tuán)隊(duì)提高云安全性的最快方法之一是從其他人所犯的錯(cuò)誤中學(xué)習(xí)經(jīng)驗(yàn)教訓(xùn)���。
江蘇國(guó)駿-打造安全可信的網(wǎng)絡(luò)世界
為IT提升價(jià)值
http://xufei-js.cn/
免費(fèi)咨詢熱線:400-6776-989
關(guān)注公眾號(hào)
獲取免費(fèi)咨詢和安全服務(wù)
