新冠疫情難題：云安全的影響與機遇

 

　　在新冠疫情爆發早期，云服務的需求迅速上升。在短短幾個月內，遠程辦公的員工比例從20%躍升至71%[皮尤研究中心，2020年12月9日，《新冠疫情的爆發對美國人工作方式的影響》，https://www.pewresearch.org/social-trends/2020/12/09/how-the-coronavirus-outbreak-has-and-hasnt-changed-the-way-americans-work。]。此外，許多企業在2020年第三季度（7-9月）迅速增加了云支出，比2019年同期增長了28%[SynergyResearchGroup，2020年12月5日，《新冠疫情讓第三季度云服務支出增加了15億美元》，https://www.srgresearch.com/articles/covid-19-boosts-cloud-service-spending-15-billion-third-quarter。]。這個時間點很重要，因為世界衛生組織（WHO）在2020年3月宣布新冠疫情全球大流行。遠程辦公激增，企業加快了云遷移計劃，2020年第三季度出現了同比大幅增長。

 

圖1：云增長與安全事件

 

　　為了了解新冠疫情在全球范圍內對企業安全態勢的影響，Unit42云威脅情報團隊分析了2019年10月至2021年2月（疫情發生前后）全球數百個云賬戶的數據。我們的研究表明，云安全事件在2020年第二季度（4月至6月）增長了驚人的188%。我們發現，雖然企業迅速將更多的工作負載轉移到云端，以應對疫情，但他們在數月后仍難以實現云安全自動化并降低云風險。雖然基礎設施即代碼（IaC）為DevOps和安全團隊提供了一種可預測的方式來執行安全標準，但這種強大的功能仍然沒有得到充分利用。

 

　　本報告詳細介紹了新冠疫情對云威脅環境的影響范圍，并解釋了在特定地區和行業中最普遍的風險類型。它還確定了企業可以采取的行動步驟，以降低與云工作負載相關的安全風險。

 

 

圖2：按行業分類的安全事件增長幅度

 

　　疫情爆發后，眾多企業的云工作負載部署規模大幅擴張，但云安全事件也有所增加。值得注意的是，零售業、制造業和政府部門的云安全事件分別增長了402%、230%和205%。這種趨勢并不奇怪；這些行業是在疫情來臨時面臨調整和擴展規模最大壓力的行業之一，零售商提供基本生活必需品，而制造業和政府提供新冠疫情防治所需的各種物資和援助。

 

　　在抗擊疫情中發揮關鍵作用的行業正在努力保護其云工作負載，這凸顯了對云安全投資不足的危險。云安全事件的激增表明，雖然云可以讓企業快速擴展其遠程辦公能力，但圍繞DevOps和持續集成/連續交付（CI/CD）流程的自動化安全控制往往滯后于這種快速移動。

 

 

　　在疫情肆虐時，比特幣（BTC）、以太幣（ETH）和門羅幣（XMR）等加密貨幣的受歡迎程度和市場價值都在增長。盡管如此，挖礦劫持正在呈下降趨勢：從2020年12月到2021年2月，只有17%擁有云基礎設施的企業有這種活動的跡象，而從2020年7月到9月，這一比例為23%。這是自Unit42在2018年開始跟蹤挖礦劫持趨勢以來的首次下降記錄。企業似乎在通過工作負載運行時保護功能更主動、有效地阻止挖礦劫持，以減少攻擊者在企業云環境中運行惡意挖礦軟件而不被發現的現象。

 

 

　　我們的研究結果表明，30%的企業將一些敏感內容暴露在互聯網上，如個人身份信息（PII）、知識產權、醫療保健和財務數據。任何知道或能猜到URL的人都可以訪問這些數據。當這些數據直接暴露在互聯網上時，企業將面臨與未經授權的訪問和違反法規相關的重大風險。這種程度的暴露表明，企業仍在努力為可能在云中運行的數百個數據存儲桶實施適當的訪問控制，特別是當這些桶分布在多個云提供商和賬戶中時。

 

 

　　從我們的數據中得到的結論顯而易見：很多企業忽視了對云治理和自動化安全控制的投資，而這些投資對確保他們的工作負載安全地遷移到云非常必要。反過來，他們又造成了嚴重的業務風險，例如將未加密的敏感數據暴露在互聯網上，并通過開放不安全的端口招致入侵。雖然我們在2020年的Unit42云威脅報告中也發現了類似問題，但新冠疫情引發的眾多危機讓情況變得更普遍并具有挑戰性。

 

　　面對這一威脅，企業必須制訂一個云安全計劃，持續關注軟件開發生命周期的各個階段。這樣做不僅可以讓企業在市場上勝出，而且可以建立可持續的云安全計劃，無論未來發生何種類型的不可預知事件，都能擴展和收縮。

 

 

　　Unit42的研究人員建議重點關注云安全中的幾個戰略領域。

 

 

　　簡化云安全和合規的第一步是了解您的開發人員和業務團隊目前如何使用云。這意味著獲取并維護對云環境動態的態勢感知，包括API和工作負載層。

 

 

　　捫心自問：在我們的環境中，哪些錯誤配置是絕對不應該存在的？數據庫直接接收來自互聯網的流量就是一個范例。盡管這是一種“最糟糕的做法”，但我們的威脅研究表明，這種錯誤配置存在于全球28%的云環境中。當發現這樣的錯誤配置時，您的安全護欄應該自動糾正它們。如果您的企業還沒有這樣做，您應該認真考慮使用IaC模板作為左移時加強安全護欄的另一種方式。請確保掃描這些模板，發現常見的安全錯誤配置。

 

 

　　為尚未標準化的流程實現自動化非常困難。許多團隊在談論自動化時，并沒有適當的安全標準。不要從零開始。互聯網安全中心（CIS）為所有主要的云平臺制定了基準，期望通過利用IaC來實現這些標準的自動化和編纂。

 

　　培養和雇用懂得編程的安全工程師

 

　　與大多數傳統數據中心不同，公有云環境由API驅動。成功的云風險管理需要安全團隊能夠利用這些API來大規模管理工作負載的安全。如果您的安全團隊中沒有懂得如何編程和實現安全流程自動化（作為CI/CD流程一部分）的工程師，API就很難使用。

 

 

　　努力規劃出您的企業如何將代碼推送到云中的人員、內容、時間和地點。完成這一步后，您的目標應該是為CI/CD流程中的安全進程和工具找到破壞性最小的插入點。在這方面，盡早得到DevOps團隊的支持至關重要。在此基礎上，隨著時間的推移，通過為盡可能多的操作實現自動化來減少人為交互。

 

 

　　PrismaCloud每月分析超過100億次安全事件。該分析表明，配置不當、放任的行為和缺乏策略會導致許多不良行為者和未識別的威脅被利用。通過主動檢測安全性和合規性錯誤配置以及觸發自動化工作流程響應，PrismaCloud能夠幫助用戶確保持續、安全地滿足動態云工作負載的需求。

 

　　閱讀完整報告，敬請下載《2021年上半年Unit42云威脅報告》。

 

-完-

 

 

　　作為全球網絡安全領導企業，PaloAltoNetworks（派拓網絡）正借助其先進技術重塑著以云為中心的未來社會，改變著人類和組織運作的方式。我們的使命是成為首選網絡安全伙伴，保護人們的數字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續性創新和突破，助力廣大客戶應對全球最為嚴重的安全挑戰。通過交付集成化平臺和推動合作伙伴生態系統的不斷成長，我們始終站在安全前沿，在云、網絡以及移動設備方面為數以萬計的組織保駕護航。我們的愿景是構建一個日益安全的世界。更多內容，敬請登錄PaloAltoNetworks（派拓網絡）官網www.paloaltonetworks.com或中文網站www.paloaltonetworks.cn。

 

 

　　Unit42是PaloAltoNetworks旗下的全球威脅情報團隊，是網絡威脅防御領域公認的權威，全球多家企業及政府機構經常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進行完全逆向工程解析惡意軟件的專家。憑借這些專業知識，我們提供優質、深入的研究，以深入了解威脅執行者用來入侵組織的各種工具、技術和程序。我們的目標是盡可能提供背景信息，解釋攻擊的具體細節、攻擊的執行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。