信息化觀察網(wǎng)

是的，與本地系統(tǒng)相比，云端具有許多安全優(yōu)勢，尤其是對于小型機(jī)構(gòu)而言，但前提是要避免在云端的配置、監(jiān)控和安裝補(bǔ)丁程序方面犯錯(cuò)誤。

新聞中時(shí)常會充斥著這樣的內(nèi)容，即錯(cuò)誤配置的云服務(wù)器受到攻擊，以及犯罪分子從云服務(wù)器中獲取泄露數(shù)據(jù)。我們可能會在云服務(wù)器投入使用時(shí)設(shè)置了比較寬松的(或沒有)憑證，以及忘記設(shè)置嚴(yán)謹(jǐn)?shù)膽{證?；蛘咴诎l(fā)現(xiàn)漏洞時(shí)，我們沒有及時(shí)更新軟件，或者沒有讓IT人員參與審核最終的應(yīng)用程序以確保其盡可能安全。

這種情況太常見了。Accurics調(diào)研機(jī)構(gòu)和Orca Security云安全公司的研究發(fā)現(xiàn)，在各種云實(shí)踐中存在著一系列的基本配置錯(cuò)誤。例如，Accurics機(jī)構(gòu)研究發(fā)現(xiàn)，有高達(dá)93%的受訪者存在存儲服務(wù)配置錯(cuò)誤。

以下是十個(gè)最常見的錯(cuò)誤：

1.存儲容器不安全

在任何一周時(shí)間內(nèi)，安全研究人員都會在開放式云服務(wù)器上發(fā)現(xiàn)數(shù)據(jù)緩存。這些緩存可能包含有關(guān)客戶的各種機(jī)密信息。例如，今年夏初，在雅芳公司(Avon)和Ancestry.com公司都發(fā)現(xiàn)了開放的容器。情況變得如此糟糕，甚至安全服務(wù)經(jīng)銷商SSL247都將其文件放在了一個(gè)開放的AWS S3容器中。

UpGuard公司的克里斯·維克里(Chris Vickery)通過發(fā)現(xiàn)的這類問題而出名。UpGuard公司的博客中列出了一長串的這類問題。開放的存儲容器之所以出現(xiàn)，是因?yàn)殚_發(fā)人員在創(chuàng)建容器時(shí)往往會疏忽大意，并且有時(shí)會疏于對它們進(jìn)行管理。由于云端存儲是如此廉價(jià)且易于創(chuàng)建，因此在過去幾年里其數(shù)量已經(jīng)激增。

解決方法：使用Shodan.io或BinaryEdge.io等流行的發(fā)現(xiàn)工具來定期檢查自己的域。遵循計(jì)算機(jī)服務(wù)機(jī)構(gòu)(CSO)之前發(fā)布的有關(guān)提高容器安全性的一些建議，包括使用本地Docker工具，以及使用亞馬遜的云原生解決方法，例如Inspector、GuardDuty和CloudWatch。最后，使用諸如AWS Virtual Private Cloud或Azure Virtual Networks等工具對云服務(wù)器進(jìn)行分割。

2.缺乏對應(yīng)用程序的保護(hù)

網(wǎng)絡(luò)防火墻在監(jiān)視和保護(hù)Web服務(wù)器方面沒有幫助。根據(jù)Verizon公司發(fā)布的2020年數(shù)據(jù)泄露報(bào)告，對Web應(yīng)用程序的攻擊數(shù)量增加了一倍以上。普通的網(wǎng)站會運(yùn)行數(shù)十種軟件工具，您的應(yīng)用程序可以由一系列不同的產(chǎn)品集合而成，這些產(chǎn)品會使用數(shù)十個(gè)服務(wù)器和服務(wù)。WordPress尤其容易受到攻擊，因?yàn)槿藗儼l(fā)現(xiàn)該應(yīng)用程序使將近一百萬個(gè)網(wǎng)站處于危險(xiǎn)之中。

解決方法：如果您管理一個(gè)WordPress博客，請購買此處所說的一個(gè)工具。該篇文章還包含了可降低您信息泄露的一些技術(shù)，這些技術(shù)可以推廣到其他網(wǎng)站。對于常規(guī)應(yīng)用程序服務(wù)器，可考慮使用Web應(yīng)用程序防火墻。此外，如果您運(yùn)行的是Azure或Office 365，可考慮使用微軟Defender Application Guard程序的公開預(yù)覽功能，該程序有助于您發(fā)現(xiàn)威脅并防止惡意軟件在您的基礎(chǔ)架構(gòu)中擴(kuò)散。

3.信任短信息的多因素身份驗(yàn)證(MFA)功能可以保證賬戶的安全，或完全不使用多因素身份驗(yàn)證

我們大多數(shù)人都知道，使用短信息文本作為額外身份驗(yàn)證因素很容易被盜用。更常見的情況是，大多數(shù)云應(yīng)用程序都缺少任何多因素身份驗(yàn)證(MFA)。Orca公司發(fā)現(xiàn)，有四分之一的受訪者沒有使用多因素身份驗(yàn)證來保護(hù)其管理員帳戶。只需快速瀏覽一下帶有雙重因素身份驗(yàn)證功能的網(wǎng)站，就會發(fā)現(xiàn)其中一半或更多的常見應(yīng)用程序(例如Viber、Yammer、Disqus和Crashplan)不支持任何額外的身份驗(yàn)證方法。

解決方法：盡管對于那些不支持更好的(或任何)多因素身份驗(yàn)證方法的商業(yè)應(yīng)用程序，您無能為力，但您可以使用谷歌或Authy公司的身份驗(yàn)證應(yīng)用程序來盡可能多地保護(hù)SaaS應(yīng)用程序，特別是對于那些擁有更多權(quán)限的管理員帳戶。還可以監(jiān)視Azure AD全局管理員角色是否發(fā)生變化。

4.不知道自己的訪問權(quán)限

說到訪問權(quán)限，在跟蹤哪些用戶可以訪問某一應(yīng)用程序方面存在兩個(gè)基本問題。首先，許多IT部門仍使用管理員權(quán)限來運(yùn)行所有Windows終端。盡管這不只是云端的問題，基于云端的虛擬機(jī)和容器也可能有過多的管理員(或共享相同的管理員密碼)，因此最好將虛擬機(jī)或容器進(jìn)行鎖定。其次，您的安全設(shè)備無法檢測到整個(gè)基礎(chǔ)架構(gòu)中發(fā)生的常見權(quán)限升級攻擊。

解決方法：使用BeyondTrust、Thycotic或Cyber??Ark等公司的權(quán)限身份管理工具。然后定期審核您帳戶權(quán)限的變更情況。

5.使端口處于開放狀態(tài)

您上次使用FTP訪問云服務(wù)器是什么時(shí)候?的確如此。這就是美國聯(lián)邦調(diào)查局(FBI)關(guān)于2017年使用FTP進(jìn)行網(wǎng)絡(luò)入侵的警告。

解決方法：立即關(guān)閉那些不需要的和舊的端口，減少受攻擊范圍。

6.不注意遠(yuǎn)程訪問

大多數(shù)云服務(wù)器都具有多種遠(yuǎn)程連接方式，例如RDP、SSH和Web控制臺。所有這些連接方式都可能因權(quán)限憑據(jù)、較弱的密碼設(shè)置或不受保護(hù)的端口而受到危害。

解決方法：監(jiān)視這些網(wǎng)絡(luò)流量，并適當(dāng)?shù)剡M(jìn)行鎖定。

7.沒有管理隱私信息

您在哪里保存加密密鑰、管理員密碼和API密鑰?如果您是在本地Word文件中或在便利貼上保存，則您需要獲得幫助。您需要更好地保護(hù)這些信息，并盡可能少地與授權(quán)開發(fā)人員共享這些信息。

解決方法：例如AWS Secrets Manager、AWS Parameter Store、Azure Key Vault和Hashicorp Vault等服務(wù)就是一些可靠且可擴(kuò)展的隱私信息管理工具。

8.GitHub平臺的詛咒——信任供應(yīng)鏈

隨著開發(fā)人員使用更多的開源工具，他們就延長了軟件供應(yīng)鏈，這意味著您必須了解這一信任關(guān)系，并保護(hù)軟件在整個(gè)開發(fā)過程和生命周期中所經(jīng)歷的完整路徑。今年早些時(shí)候，GitHub平臺的IT人員在NetBeans集成開發(fā)環(huán)境中發(fā)現(xiàn)了26個(gè)不同的開源項(xiàng)目(一個(gè)Java開發(fā)平臺)，這些項(xiàng)目內(nèi)置了后門程序，并在主動(dòng)地傳播惡意軟件。這些項(xiàng)目的負(fù)責(zé)人都沒有意識到他們的代碼已被盜用。該問題的一部分是，當(dāng)代碼中存在簡單的輸入錯(cuò)誤和實(shí)際已創(chuàng)建了后門程序時(shí)，這兩種情況很難區(qū)分。

解決方法：使用上面第一條所提到的容器安全工具，并了解最常用項(xiàng)目中的監(jiān)管鏈。

9.沒有正確地做日志

您上次查看日志是什么時(shí)候?如果您不記得，這可能就是個(gè)問題，尤其是對于云服務(wù)器而言，因?yàn)槿罩究赡軙ぴ?，并且不再是最為重要的事?xiàng)。這篇Dons Blog的博客文章敘述了由于存在不良的日志記錄操作而發(fā)生的攻擊。

解決方法：AWS CloudTrail服務(wù)將為您的云服務(wù)提供更好的實(shí)時(shí)可見性。另外，還可為賬戶配置、用戶創(chuàng)建、身份驗(yàn)證失敗方面發(fā)生變化而打開事件日志記錄，這只是其中幾個(gè)例子。

10.沒有為服務(wù)器安裝補(bǔ)丁程序

僅僅因?yàn)槟鷵碛谢谠频姆?wù)器，這并不意味著這些服務(wù)器會自動(dòng)安裝補(bǔ)丁程序或自動(dòng)將自身系統(tǒng)更新為最新版本。(盡管一些托管服務(wù)和云托管提供商確實(shí)提供這項(xiàng)服務(wù)。)上面所說的Orca公司研究發(fā)現(xiàn)，半數(shù)的受訪者至少正在運(yùn)行一臺版本過時(shí)的服務(wù)器。由于服務(wù)器未打補(bǔ)丁而遭到攻擊的數(shù)量太多了，無法在此處一一列出。

解決方法：更多注意您的補(bǔ)丁程序管理工作，并與那些可及時(shí)通知您有重要程序更新的供應(yīng)商合作。