在新冠疫情爆发早期,云服务的需求迅速上升。在短短几个月内,远程办公的员工比例从20%跃升至71%[1]。 此外,许多企业在2020年第三季度(7-9月)迅速增加了云支出,比2019年同期增长了28%[2]。 这个时间点很重要,因为世界卫生组织(WHO)在2020年3月宣布新冠疫情全球大流行。远程办公激增,企业加快了云迁移计划,2020年第三季度出现了同比大幅增长。
图1:云增长与安全事件
为了了解新冠疫情在全球范围内对企业安全态势的影响,Unit 42云威胁情报团队分析了2019年10月至2021年2月(疫情发生前后)全球数百个云账户的数据。我们的研究表明,云安全事件在2020年第二季度(4月至6月)增长了惊人的188%。我们发现,虽然企业迅速将更多的工作负载转移到云端,以应对疫情,但他们在数月后仍难以实现云安全自动化并降低云风险。虽然基础设施即代码(IaC)为DevOps和安全团队提供了一种可预测的方式来执行安全标准,但这种强大的功能仍然没有得到充分利用。
本报告详细介绍了新冠疫情对云威胁环境的影响范围,并解释了在特定地区和行业中最普遍的风险类型。它还确定了企业可以采取的行动步骤,以降低与云工作负载相关的安全风险。
重点行业在新冠疫情中的安全事件激增
图2:按行业分类的安全事件增长幅度
疫情爆发后,众多企业的云工作负载部署规模大幅扩张,但云安全事件也有所增加。值得注意的是,零售业、制造业和政府部门的云安全事件分别增长了402%、230%和205%。这种趋势并不奇怪;这些行业是在疫情来临时面临调整和扩展规模最大压力的行业之一,零售商提供基本生活必需品,而制造业和政府提供新冠疫情防治所需的各种物资和援助。
在抗击疫情中发挥关键作用的行业正在努力保护其云工作负载,这凸显了对云安全投资不足的危险。云安全事件的激增表明,虽然云可以让企业快速扩展其远程办公能力,但围绕DevOps和持续集成/连续交付(CI/CD)流程的自动化安全控制往往滞后于这种快速移动。
云中的挖矿劫持正在减少
在疫情肆虐时,比特币(BTC)、以太币(ETH)和门罗币(XMR)等加密货币的受欢迎程度和市场价值都在增长。尽管如此,挖矿劫持正在呈下降趋势:从2020年12月到2021年2月,只有17%拥有云基础设施的企业有这种活动的迹象,而从2020年7月到9月,这一比例为23%。这是自Unit 42在2018年开始跟踪挖矿劫持趋势以来的首次下降记录。企业似乎在通过工作负载运行时保护功能更主动、有效地阻止挖矿劫持,以减少攻击者在企业云环境中运行恶意挖矿软件而不被发现的现象。
云中敏感数据仍存在公开暴露问题
我们的研究结果表明,30%的企业将一些敏感内容暴露在互联网上,如个人身份信息(PII)、知识产权、医疗保健和财务数据。任何知道或能猜到URL的人都可以访问这些数据。当这些数据直接暴露在互联网上时,企业将面临与未经授权的访问和违反法规相关的重大风险。这种程度的暴露表明,企业仍在努力为可能在云中运行的数百个数据存储桶实施适当的访问控制,特别是当这些桶分布在多个云提供商和账户中时。
建议
从我们的数据中得到的结论显而易见:很多企业忽视了对云治理和自动化安全控制的投资,而这些投资对确保他们的工作负载安全地迁移到云非常必要。反过来,他们又造成了严重的业务风险,例如将未加密的敏感数据暴露在互联网上,并通过开放不安全的端口招致入侵。虽然我们在2020年的Unit 42云威胁报告中也发现了类似问题,但新冠疫情引发的众多危机让情况变得更普遍并具有挑战性。
面对这一威胁,企业必须制订一个云安全计划,持续关注软件开发生命周期的各个阶段。这样做不仅可以让企业在市场上胜出,而且可以建立可持续的云安全计划,无论未来发生何种类型的不可预知事件,都能扩展和收缩。
云安全战略重点领域
Unit 42的研究人员建议重点关注云安全中的几个战略领域。
获得感知与深度云可视性
简化云安全和合规的第一步是了解您的开发人员和业务团队目前如何使用云。这意味着获取并维护对云环境动态的态势感知,包括API和工作负载层。
设置安全护栏
扪心自问:在我们的环境中,哪些错误配置是绝对不应该存在的?数据库直接接收来自互联网的流量就是一个范例。尽管这是一种“最糟糕的做法”,但我们的威胁研究表明,这种错误配置存在于全球28%的云环境中。当发现这样的错误配置时,您的安全护栏应该自动纠正它们。如果您的企业还没有这样做,您应该认真考虑使用IaC模板作为左移时加强安全护栏的另一种方式。请确保扫描这些模板,发现常见的安全错误配置。
采用和执行标准
为尚未标准化的流程实现自动化非常困难。许多团队在谈论自动化时,并没有适当的安全标准。不要从零开始。互联网安全中心(CIS)为所有主要的云平台制定了基准,期望通过利用IaC来实现这些标准的自动化和编纂。
培养和雇用懂得编程的安全工程师
与大多数传统数据中心不同,公有云环境由API驱动。成功的云风险管理需要安全团队能够利用这些API来大规模管理工作负载的安全。如果您的安全团队中没有懂得如何编程和实现安全流程自动化(作为CI/CD流程一部分)的工程师,API就很难使用。
在DevOps中嵌入安全性
努力规划出您的企业如何将代码推送到云中的人员、内容、时间和地点。完成这一步后,您的目标应该是为CI/CD流程中的安全进程和工具找到破坏性最小的插入点。在这方面,尽早得到DevOps团队的支持至关重要。在此基础上,随着时间的推移,通过为尽可能多的操作实现自动化来减少人为交互。
准备好识别云中威胁了吗?
Prisma Cloud 每月分析超过 100亿次安全事件。该分析表明,配置不当、放任的行为和缺乏策略会导致许多不良行为者和未识别的威胁被利用。通过主动检测安全性和合规性错误配置以及触发自动化工作流程响应,Prisma Cloud 能够帮助用户确保持续、安全地满足动态云工作负载的需求。