新冠疫情難題：云安全的影響與機(jī)遇

 

　　在新冠疫情爆發(fā)早期，云服務(wù)的需求迅速上升。在短短幾個(gè)月內(nèi)，遠(yuǎn)程辦公的員工比例從20%躍升至71%[皮尤研究中心，2020年12月9日，《新冠疫情的爆發(fā)對(duì)美國(guó)人工作方式的影響》，https://www.pewresearch.org/social-trends/2020/12/09/how-the-coronavirus-outbreak-has-and-hasnt-changed-the-way-americans-work。]。此外，許多企業(yè)在2020年第三季度（7-9月）迅速增加了云支出，比2019年同期增長(zhǎng)了28%[SynergyResearchGroup，2020年12月5日，《新冠疫情讓第三季度云服務(wù)支出增加了15億美元》，https://www.srgresearch.com/articles/covid-19-boosts-cloud-service-spending-15-billion-third-quarter。]。這個(gè)時(shí)間點(diǎn)很重要，因?yàn)槭澜缧l(wèi)生組織（WHO）在2020年3月宣布新冠疫情全球大流行。遠(yuǎn)程辦公激增，企業(yè)加快了云遷移計(jì)劃，2020年第三季度出現(xiàn)了同比大幅增長(zhǎng)。

 

圖1：云增長(zhǎng)與安全事件

 

　　為了了解新冠疫情在全球范圍內(nèi)對(duì)企業(yè)安全態(tài)勢(shì)的影響，Unit42云威脅情報(bào)團(tuán)隊(duì)分析了2019年10月至2021年2月（疫情發(fā)生前后）全球數(shù)百個(gè)云賬戶的數(shù)據(jù)。我們的研究表明，云安全事件在2020年第二季度（4月至6月）增長(zhǎng)了驚人的188%。我們發(fā)現(xiàn)，雖然企業(yè)迅速將更多的工作負(fù)載轉(zhuǎn)移到云端，以應(yīng)對(duì)疫情，但他們?cè)跀?shù)月后仍難以實(shí)現(xiàn)云安全自動(dòng)化并降低云風(fēng)險(xiǎn)。雖然基礎(chǔ)設(shè)施即代碼（IaC）為DevOps和安全團(tuán)隊(duì)提供了一種可預(yù)測(cè)的方式來執(zhí)行安全標(biāo)準(zhǔn)，但這種強(qiáng)大的功能仍然沒有得到充分利用。

 

　　本報(bào)告詳細(xì)介紹了新冠疫情對(duì)云威脅環(huán)境的影響范圍，并解釋了在特定地區(qū)和行業(yè)中最普遍的風(fēng)險(xiǎn)類型。它還確定了企業(yè)可以采取的行動(dòng)步驟，以降低與云工作負(fù)載相關(guān)的安全風(fēng)險(xiǎn)。

 

 

圖2：按行業(yè)分類的安全事件增長(zhǎng)幅度

 

　　疫情爆發(fā)后，眾多企業(yè)的云工作負(fù)載部署規(guī)模大幅擴(kuò)張，但云安全事件也有所增加。值得注意的是，零售業(yè)、制造業(yè)和政府部門的云安全事件分別增長(zhǎng)了402%、230%和205%。這種趨勢(shì)并不奇怪；這些行業(yè)是在疫情來臨時(shí)面臨調(diào)整和擴(kuò)展規(guī)模最大壓力的行業(yè)之一，零售商提供基本生活必需品，而制造業(yè)和政府提供新冠疫情防治所需的各種物資和援助。

 

　　在抗擊疫情中發(fā)揮關(guān)鍵作用的行業(yè)正在努力保護(hù)其云工作負(fù)載，這凸顯了對(duì)云安全投資不足的危險(xiǎn)。云安全事件的激增表明，雖然云可以讓企業(yè)快速擴(kuò)展其遠(yuǎn)程辦公能力，但圍繞DevOps和持續(xù)集成/連續(xù)交付（CI/CD）流程的自動(dòng)化安全控制往往滯后于這種快速移動(dòng)。

 

 

　　在疫情肆虐時(shí)，比特幣（BTC）、以太幣（ETH）和門羅幣（XMR）等加密貨幣的受歡迎程度和市場(chǎng)價(jià)值都在增長(zhǎng)。盡管如此，挖礦劫持正在呈下降趨勢(shì)：從2020年12月到2021年2月，只有17%擁有云基礎(chǔ)設(shè)施的企業(yè)有這種活動(dòng)的跡象，而從2020年7月到9月，這一比例為23%。這是自Unit42在2018年開始跟蹤挖礦劫持趨勢(shì)以來的首次下降記錄。企業(yè)似乎在通過工作負(fù)載運(yùn)行時(shí)保護(hù)功能更主動(dòng)、有效地阻止挖礦劫持，以減少攻擊者在企業(yè)云環(huán)境中運(yùn)行惡意挖礦軟件而不被發(fā)現(xiàn)的現(xiàn)象。

 

 

　　我們的研究結(jié)果表明，30%的企業(yè)將一些敏感內(nèi)容暴露在互聯(lián)網(wǎng)上，如個(gè)人身份信息（PII）、知識(shí)產(chǎn)權(quán)、醫(yī)療保健和財(cái)務(wù)數(shù)據(jù)。任何知道或能猜到URL的人都可以訪問這些數(shù)據(jù)。當(dāng)這些數(shù)據(jù)直接暴露在互聯(lián)網(wǎng)上時(shí)，企業(yè)將面臨與未經(jīng)授權(quán)的訪問和違反法規(guī)相關(guān)的重大風(fēng)險(xiǎn)。這種程度的暴露表明，企業(yè)仍在努力為可能在云中運(yùn)行的數(shù)百個(gè)數(shù)據(jù)存儲(chǔ)桶實(shí)施適當(dāng)?shù)脑L問控制，特別是當(dāng)這些桶分布在多個(gè)云提供商和賬戶中時(shí)。

 

 

　　從我們的數(shù)據(jù)中得到的結(jié)論顯而易見：很多企業(yè)忽視了對(duì)云治理和自動(dòng)化安全控制的投資，而這些投資對(duì)確保他們的工作負(fù)載安全地遷移到云非常必要。反過來，他們又造成了嚴(yán)重的業(yè)務(wù)風(fēng)險(xiǎn)，例如將未加密的敏感數(shù)據(jù)暴露在互聯(lián)網(wǎng)上，并通過開放不安全的端口招致入侵。雖然我們?cè)?020年的Unit42云威脅報(bào)告中也發(fā)現(xiàn)了類似問題，但新冠疫情引發(fā)的眾多危機(jī)讓情況變得更普遍并具有挑戰(zhàn)性。

 

　　面對(duì)這一威脅，企業(yè)必須制訂一個(gè)云安全計(jì)劃，持續(xù)關(guān)注軟件開發(fā)生命周期的各個(gè)階段。這樣做不僅可以讓企業(yè)在市場(chǎng)上勝出，而且可以建立可持續(xù)的云安全計(jì)劃，無論未來發(fā)生何種類型的不可預(yù)知事件，都能擴(kuò)展和收縮。

 

 

　　Unit42的研究人員建議重點(diǎn)關(guān)注云安全中的幾個(gè)戰(zhàn)略領(lǐng)域。

 

 

　　簡(jiǎn)化云安全和合規(guī)的第一步是了解您的開發(fā)人員和業(yè)務(wù)團(tuán)隊(duì)目前如何使用云。這意味著獲取并維護(hù)對(duì)云環(huán)境動(dòng)態(tài)的態(tài)勢(shì)感知，包括API和工作負(fù)載層。

 

 

　　捫心自問：在我們的環(huán)境中，哪些錯(cuò)誤配置是絕對(duì)不應(yīng)該存在的？數(shù)據(jù)庫(kù)直接接收來自互聯(lián)網(wǎng)的流量就是一個(gè)范例。盡管這是一種“最糟糕的做法”，但我們的威脅研究表明，這種錯(cuò)誤配置存在于全球28%的云環(huán)境中。當(dāng)發(fā)現(xiàn)這樣的錯(cuò)誤配置時(shí)，您的安全護(hù)欄應(yīng)該自動(dòng)糾正它們。如果您的企業(yè)還沒有這樣做，您應(yīng)該認(rèn)真考慮使用IaC模板作為左移時(shí)加強(qiáng)安全護(hù)欄的另一種方式。請(qǐng)確保掃描這些模板，發(fā)現(xiàn)常見的安全錯(cuò)誤配置。

 

 

　　為尚未標(biāo)準(zhǔn)化的流程實(shí)現(xiàn)自動(dòng)化非常困難。許多團(tuán)隊(duì)在談?wù)撟詣?dòng)化時(shí)，并沒有適當(dāng)?shù)陌踩珮?biāo)準(zhǔn)。不要從零開始。互聯(lián)網(wǎng)安全中心（CIS）為所有主要的云平臺(tái)制定了基準(zhǔn)，期望通過利用IaC來實(shí)現(xiàn)這些標(biāo)準(zhǔn)的自動(dòng)化和編纂。

 

　　培養(yǎng)和雇用懂得編程的安全工程師

 

　　與大多數(shù)傳統(tǒng)數(shù)據(jù)中心不同，公有云環(huán)境由API驅(qū)動(dòng)。成功的云風(fēng)險(xiǎn)管理需要安全團(tuán)隊(duì)能夠利用這些API來大規(guī)模管理工作負(fù)載的安全。如果您的安全團(tuán)隊(duì)中沒有懂得如何編程和實(shí)現(xiàn)安全流程自動(dòng)化（作為CI/CD流程一部分）的工程師，API就很難使用。

 

 

　　努力規(guī)劃出您的企業(yè)如何將代碼推送到云中的人員、內(nèi)容、時(shí)間和地點(diǎn)。完成這一步后，您的目標(biāo)應(yīng)該是為CI/CD流程中的安全進(jìn)程和工具找到破壞性最小的插入點(diǎn)。在這方面，盡早得到DevOps團(tuán)隊(duì)的支持至關(guān)重要。在此基礎(chǔ)上，隨著時(shí)間的推移，通過為盡可能多的操作實(shí)現(xiàn)自動(dòng)化來減少人為交互。

 

 

　　PrismaCloud每月分析超過100億次安全事件。該分析表明，配置不當(dāng)、放任的行為和缺乏策略會(huì)導(dǎo)致許多不良行為者和未識(shí)別的威脅被利用。通過主動(dòng)檢測(cè)安全性和合規(guī)性錯(cuò)誤配置以及觸發(fā)自動(dòng)化工作流程響應(yīng)，PrismaCloud能夠幫助用戶確保持續(xù)、安全地滿足動(dòng)態(tài)云工作負(fù)載的需求。

 

　　閱讀完整報(bào)告，敬請(qǐng)下載《2021年上半年Unit42云威脅報(bào)告》。

 

-完-

 

 

　　作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè)，PaloAltoNetworks（派拓網(wǎng)絡(luò)）正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會(huì)，改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴，保護(hù)人們的數(shù)字生活方式。借助我們?cè)谌斯ぶ悄堋⒎治觥⒆詣?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破，助力廣大客戶應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng)，我們始終站在安全前沿，在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。更多內(nèi)容，敬請(qǐng)登錄PaloAltoNetworks（派拓網(wǎng)絡(luò)）官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。

 

 

　　Unit42是PaloAltoNetworks旗下的全球威脅情報(bào)團(tuán)隊(duì)，是網(wǎng)絡(luò)威脅防御領(lǐng)域公認(rèn)的權(quán)威，全球多家企業(yè)及政府機(jī)構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識(shí)，我們提供優(yōu)質(zhì)、深入的研究，以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標(biāo)是盡可能提供背景信息，解釋攻擊的具體細(xì)節(jié)、攻擊的執(zhí)行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。