本文来自微信公众号“安全牛”。
当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
云安全漏洞的主要类型
企业组织在开展云漏洞管理工作之前,需要首先了解云环境中主要的安全漏洞是什么,以下是目前最常见的云安全漏洞类型:
01
云环境的错误配置
云环境的错误配置是云环境中最常见的漏洞类型之一,包括云上的网络系统和容器系统等。这会导致云计算应用出现严重安全隐患。这些错误配置将严重损害云应用的防护能力,造成相关云访问控制措施的缺失或失效,从而导致非法用户对云应用及关键数据的直接访问。
02
不恰当的身份验证
云应用系统中糟糕的身份验证流程是另一个经常导致安全事件发生的常见漏洞类型。缺乏多因素身份验证和弱密码一直是云漏洞管理面临的两大挑战。如果没有可靠的访问控制策略,任何非法访问的恶意用户都可能会进入到云上系统并获取数据。
03
违规应用
为了快速上线新的云业务系统,一些组织没有严格遵守PCI-DSS、HIPAA、ISO 27001和SOC 2等行业标准的管理要求,这也是造成云漏洞产生的主要原因之一。如果云服务提供商和企业组织不能严格按照相关监管标准来管理云上的应用,就会导致安全缺陷,攻击者就会利用这些缺陷来非法访问云应用和数据。
04
敏感数据管理不善
云计算环境中含有大量的应用系统和程序,可以帮助企业员工更便捷地访问业务需要的敏感数据。但是,绝不要为所有应用程序创建可以特权访问的凭据或ID,最好为特定的应用程序创建特定的凭据,只有授权人员才能访问它们。营销或网络部门的用户不应该有权访问含有敏感财务数据的应用程序。
05
不安全的API
不安全的API是攻击者访问云平台并窃取所有重要数据的主要途径之一。并非每家云服务提供商都能够充分地保护API,而各种不安全的API为攻击者访问云平台提供了可乘之机。攻击者总是会寻找缺乏适当授权和身份验证的API漏洞,并利用它们从事违法活动。
06
DDoS攻击
分布式拒绝服务(DDoS)攻击是云环境中经常出现的另一种常见漏洞类型。在该漏洞中,攻击者向基础设施发送洪水般请求,导致服务器无力响应,从而无法处理授权的请求。当云提供商没有适当的DDoS保护措施,或者DDoS安全机制被非法关闭时,这种类型的安全漏洞就会产生。
云安全漏洞管理的原则
在云安全防护体系的构建中,漏洞管理可以充当一个治理框架,帮助企业更好地管理并控制云计算设施和应用程序。因此,我们可以将云安全漏洞管理定义为识别、分析、筛选和修复云应用安全问题的一种持续性方法或过程。它不仅需要通过修复常见漏洞来尽可能降低云应用安全风险,还需要提前识别那些可能被利用的安全漏洞并给出修补建议。当企业组织开展云安全漏洞管理工作时,需要遵循以下关键原则:
01
以充分的资产发现为基础
对云安全漏洞管理范围的任何限制都会增加可见性风险。因此,企业必须将资产发现作为云漏洞管理工作的核心任务。如果漏洞管理项目未能覆盖某些云上的资产或业务领域,那么它在降低风险方面的效用也会大打折扣,因为我们无法消除那些不可见安全风险。
02
合理设置漏洞扫描频率
如果云漏洞管理工作不是连续的或者高频的,就会存在过时或失真风险。但有一点需要明确,漏洞扫描频率不是越高越好,而应该是合理的。频率的设定需要与漏洞修复节奏和资产变更管理保持协同,理想的状态是漏洞扫描频率与修复节奏同步,而且在发生云资产变更时能够自动执行扫描。
03
与业务场景融合
云安全漏洞管理不是一项“极限运动”,企业不能把管理工作的重点放在一些绝对的安全风险上,而忽略了业务数字化发展的需求。在云安全漏洞管理的工作优先级中,需要充分考虑业务应用场景和环境因素,首先处理具有更高业务风险的安全漏洞。
04
指标化管理
高效的云安全漏洞管理计划应该基于指标来制定,只有把“好”的目标和要求指标化,企业才能准确评估当前漏洞管理工作的有效性,并找出目前工作中的不足之处。
05
流程整合
查找和评估漏洞风险的目的并不是为了生成报告,关键是要制定更好的漏洞修复策略,采取行动解决问题。因此,高效的云安全漏洞管理必须结合有效的补救措施。企业需要将有效的漏洞管理程序与补救工作流集成在一起,才能有效提升云安全漏洞的管理水平。
云安全漏洞管理最佳实践
要在高度动态的云环境中有效发现和管理漏洞风险并不容易。相比传统漏洞管理模式,云安全漏洞管理工作需要能够适应“云优先”和“云原生”的应用环境,根据云环境的需求发展不断优化漏洞管理策略和方法,从而持续监测云应用的安全风险并及时响应。研究人员总结梳理了云安全漏洞管理时的几个最佳实践:
系统性渗透测试
对云设施及应用系统进行系统性的安全性渗透测试是一个实现云安全漏洞管理的有效方法。它可以帮助组织执行深度扫描,利用已检测到漏洞的攻击路径,分析这类攻击可能造成的危害程度。定期进行渗透测试还有助于遵守相关安全标准,并确保云基础设施的安全性。
持续性地云漏洞扫描
组织应该持续性开展云漏洞扫描活动,在漏洞产生的早期阶段发现漏洞。组织应该为所选用的漏洞扫描器配套一份全面的漏洞列表,这样就能够提升对常见漏洞威胁的检测能力。为了获得更好的漏洞扫描效果,扫描器还应该能够检测云应用系统中的逻辑错误,降低漏洞误报。此外,利用SAST和IaC工具在应用开发管道中进行漏洞代码检查也是云安全漏洞扫描应该具备的功能。
漏洞优先级评估
为了实现最佳的云安全漏洞管理效果,企业组织应该遵循的另一个最佳实践是进行漏洞优先级评估。这种做法非常有效,因为它有助于提升对最危险漏洞的发现能力,并在修复其他漏洞之前迅速修复高危漏洞。
完整地云基础设施可见性
企业无法保护看不见的云上资产和应用。通过全面的云资产发现,企业可以全面了解组织云环境中的互联互通性、数据流动性和配置安全性。这将帮助安全团队尽早发现任何云上的安全风险,并帮助他们查明风险的起源。
通过AI技术实现自动化
云安全漏洞管理的最佳实践之一是通过人工智能和机器学习技术实现管理流程的自动化,这将有利于安全团队扫描云基础设施,专注于对扫描结果进行安全分析,而不是将精力消耗在寻找所有漏洞。此外,自动化技术还可以帮助企业通过自动执行补丁管理流程来缩短漏洞修复的时间。