如果您仍在运行数据中心的基础设施,防止勒索软件攻击必须是您公司整体网络安全战略的一部分。但云基础设施面临着另一个威胁,勒索软件并不是一个大因素。·斯特拉探究了原因。
在一段简短的视频讲解和评论中,马里兰州弗雷德里克-(商业连线)-Snyk首席架构师、云安全与合规SaaS公司Fugue首席技术官乔什·斯特拉(Josh Stella)讨论了为什么云一般不受勒索软件的影响,并分析了云环境面临的最大威胁。
本月早些时候,勒索软件成为全球新闻头条。此前,丰田汽车公司(Toyota Motor Corp.)一家零部件供应商遭到成功袭击,迫使该公司在日本关闭14家工厂一天,导致约14家工厂关闭1.3停产万辆车的总产量。
这次袭击是勒索软件威胁所有行业的最新例子。最新一期SoCiWalk根据年度威胁报告,2021年勒索攻击量自2019年以来有所上升231.7%(CISA)、联邦调查局(FBI)和美国国家安全局(NSA)根据联合发布的咨询报告,最新趋势是勒索软件,即服务——一群坏人基本上特许勒索软件工具和技术给组织较少或技能较低的黑客。
显然,如果您仍在运行数据中心基础设施而不是云基础设施,那么预防勒索软件攻击必须是您公司整体网络安全战略的一部分。强化数据中心和端点以防止勒索软件攻击是强制性的,但云基础设施面临另一个威胁。如果你的组织在云中,勒索软件就不那么令人担忧了。
什么是勒索软件?
不要将勒索软件攻击与数据泄露混淆,后者涉及被盗数据。勒索软件的目的不是窃取您的数据(尽管在勒索软件攻击期间也可能发生),而是控制存储或加密您的数据系统,并阻止您访问数据——直到您支付赎金。在恢复数据访问之前,它将有效地关闭操作,从而对组织产生毁灭性的影响。
虽然勒索软件是网络安全的主要威胁,但我们没有看到对云环境的勒索软件攻击。原因涉及到云基础设施与数据中心基础设施的根本区别。
新的威胁形势
您的云环境不仅仅是现场数据中心和IT系统的远程副本。云计算由应用程序编程界面100%(API)驱动软件,API软件中间商允许不同的应用程序相互交互。控制平面是配置和操作云API表面。
例如,您可以使用控制平面构建虚拟服务器,修改网络路由,并访问数据库中的数据或数据库快照(这实际上是云黑客比实时数据库更常见的目标)。API控制平面是您的组织用于配置和操作云的API集合快速增长。
亚马逊、谷歌和微软等所有云平台提供商的首要任务是确保数据的强度和灵活性。在云中复制数据既简单又便宜,良好的云环境确保了数据的多个备份。这是防止攻击者使用勒索软件的关键因素:数据的多个副本使攻击者无法锁定您。如果攻击者能够加密你的数据并要求你支付赎金,你只需要在加密前恢复到最新版本的数据。
AWS、谷歌和微软为数十万服务器和网络客户构建的冗余和恢复能力是不可能复制自己的数据中心基础设施的。此外,如果您的内部系统访问被剥夺和加密,您可能很难在不支付赎金的情况下重新获得访问权限——在某些情况下实际上是不可能的。
云中的安全性是不同的,因为它具有良好的设计和架构功能,而不是入侵检测和安全分析。黑客试图入侵你的网络,而不是锁定你的系统;他们试图使用云的错误配置来控制你的云平面API操作,从下面窃取数据。
云的错误配置是什么?
错误配置可能会有所不同,从看似简单的单一资源错误配置(如保持端口开放)到攻击者将小错误配置转化为大爆炸半径的主要架构设计缺陷。我可以保证,如果您的组织在云中运行,您的环境将同时存在这两个漏洞。好消息是,由于云基础设施是一个可编程的软件,这种攻击可以通过使用策略作为代码来防止。
以战略为代码构建云安全
当开发人员在云中构建应用程序时,他们也在为应用程序构建基础设施,而不是购买物理基础设施并部署应用程序。云基础设施的设计和构建是用代码完成的,这意味着开发人员有这个过程,从根本上改变了安全团队的作用。
在一个完全由软件定义的世界里,安全的角色是领域专家,他向开发人员传授知识,以确保他们在安全的环境中工作。这些知识是以自动化开发工具的形式提供的,它以战略为代码,而不是用人类语言编写的清单和战略文档。
战略代码使您的团队能够用编程语言表达安全性和规则遵从性规则,应用程序能够用语言检查配置的正确性。它旨在检查其他代码和操作环境是否有不必要的条件或不应该发生的情况。它使所有参与者安全运行,而不是规则是什么,以及软件开发的生命周期(SDLC)如何应用这些规则在两端产生任何歧义或分歧。
云安全必须自动化
同时,该策略是代码自动化不断搜索和纠正错误配置的过程。从长远来看,由于问题空间的扩大,没有其他方法可以在这方面取得成功。云服务的数量在增加,部署的数量在增加,资源的数量也在增加。因此,您必须实现自动化,使安全专业人员不需要花大量时间手动监控错误配置,使开发人员能够灵活编写代码,可以随着时间的推移而改变,并结合最新的大数据泄露事件等新知识,成为新闻头条。
加强云安全姿态
实施有效云安全计划的组织具有一定的特点,任何企业都可以效仿这些特点加强其云安全形势:
- 了解你的环境。每周或每季度进行云安全审计是不够的,因为云环境正在发生变化,黑客使用自动化来检测他们可以使用的错误配置。继续调查您的云环境,包括所有资源和配置,以随时保持情况感知。
- 主动,不要被动。将安全意识转向防止错误配置漏洞,远离入侵检测和拦截。云控制飞机泄漏攻击发生得太快,任何团队或技术都无法阻止正在进行的攻击。
- 授权你的开发人员。让开发人员参与这个过程,使用自动安全工具作为代码。毕竟,既然你现在专注于预防,谁能比建立这些环境和系统的工程师更好地防止错误配置呢?
- 衡量和实施。成功的组织衡量什么是重要的,以了解他们的立场,他们想去哪里,并量化他们在预防漏洞和由此产生的安全事件方面的进展。最后,全面实施云安全,最大限度地降低风险,提高云创新速度。
我不想淡化勒索软件攻击对您组织的威胁,并鼓励您访问www.StopRansomware.gov,美国联邦政府学习如何保护自己不成为勒索软件受害者的资源。
但我也想强调的是,虽然您的云环境不容易受到勒索软件的攻击,但随着您使用更基于云的平台和服务,由于配置错误,数据泄露的风险非常高,而且仍在增加。
最好的防御是预防。在开发阶段,持续集成/交付(CI/CD)在管道和运行过程中,战略被用作快速识别和纠正错误配置的代码。这些步骤可以在整个过程中提高成熟度DevOps操作过程,使整个过程自动化、高效。