信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

日前，以色列云數(shù)據(jù)安全公司Laminar發(fā)布了《2023年公有云數(shù)據(jù)安全態(tài)勢調(diào)查報告》，通過對近百位企業(yè)組織的安全管理和運維人員進行問卷調(diào)查和訪談，研究人員力求更深入了解當(dāng)前公有云數(shù)據(jù)安全的風(fēng)險態(tài)勢和挑戰(zhàn)。報告調(diào)研數(shù)據(jù)顯示，39%的受訪企業(yè)對現(xiàn)有的云上數(shù)據(jù)安全防護措施應(yīng)用信心不足，越來越多的企業(yè)開始尋求云原生的安全解決方案，以獲得跨多云環(huán)境的統(tǒng)一數(shù)據(jù)保護視圖與策略，并實施符合縱深防御策略的安全控制。

報告關(guān)鍵發(fā)現(xiàn)

●在過去12個月里，77%受訪企業(yè)的公有云上數(shù)據(jù)被未經(jīng)授權(quán)人員非法訪問過，而去年同期的數(shù)據(jù)為51%；

●與去年相比，影子數(shù)據(jù)正在成為保護公有云上數(shù)據(jù)安全的頭號挑戰(zhàn)（68%），其次是有效管理各種云存儲架構(gòu)（65%），以及監(jiān)控面向互聯(lián)網(wǎng)應(yīng)用的各類云資源（52%）；

●97%的受訪企業(yè)已經(jīng)設(shè)置了專門的數(shù)據(jù)安全人員或團隊來處理公有云上數(shù)據(jù)安全問題。這一比例同比2022年（58%）呈大幅上升趨勢；

●越來越多的受訪企業(yè)增加了對公有云數(shù)據(jù)存儲的可見性，但其對影子數(shù)據(jù)的擔(dān)憂也顯著增加，93%的受訪者擔(dān)心影子數(shù)據(jù)，高于去年的82%。32%的受訪企業(yè)表示，他們無法確定是否在公有云的存儲空間里違規(guī)存放了不應(yīng)公開的敏感數(shù)據(jù)；

●云應(yīng)用的快速發(fā)展和數(shù)據(jù)的民主化，已經(jīng)創(chuàng)造了一個新的數(shù)據(jù)資產(chǎn)攻擊面，或者說擴大了攻擊者訪問公司數(shù)據(jù)的入口點。39%的受訪企業(yè)對現(xiàn)有的云上數(shù)據(jù)安全防護措施應(yīng)用信心不足，越來越多的企業(yè)開始尋求云原生的安全解決方案，以獲得跨多云環(huán)境的統(tǒng)一數(shù)據(jù)保護視圖與策略，并實施符合縱深防御策略的安全控制；

●云上新的數(shù)據(jù)安全缺口正在快速出現(xiàn)，包括云應(yīng)用配置錯誤或被棄用的云數(shù)據(jù)存儲，攻擊者們正在利用這些問題訪問云服務(wù)并竊取數(shù)據(jù)。據(jù)OWASP研究人員測試，90%的云應(yīng)用程序都不同程度存在了安全配置錯誤的問題；

●調(diào)查數(shù)據(jù)顯示，“人為因素”仍然是導(dǎo)致企業(yè)公有云上數(shù)據(jù)泄露和安全攻擊的主要原因（占比82%），主要包括內(nèi)部惡意人員、應(yīng)用疏忽或操作錯誤等。每個人都會犯錯誤，因此企業(yè)需要借助完善的流程和先進的技術(shù)來加強防御。

公有云數(shù)據(jù)威脅Top 5

報告研究發(fā)現(xiàn)，目前公有云上最常見和最嚴重的數(shù)據(jù)安全風(fēng)險包括未打補丁的云應(yīng)用程序、為用戶過度授權(quán)、敏感信息違規(guī)存放等，這些風(fēng)險在各種規(guī)模的企業(yè)組織中都很普遍，即使一些在云安全建設(shè)方面做了大量投入的組織也會如此。

01

未打補丁的云應(yīng)用服務(wù)

帶有已知漏洞和錯誤的云應(yīng)用服務(wù)已經(jīng)成為云環(huán)境的主要攻擊路徑。研究發(fā)現(xiàn)，36%的組織在其云環(huán)境中有未打補丁的web服務(wù)，這些服務(wù)暴露在互聯(lián)網(wǎng)上，很容易被攻擊者訪問，進而導(dǎo)致服務(wù)停機、潛在的遠程代碼執(zhí)行，在某些情況下，還可能存在未經(jīng)授權(quán)的遠程訪問。

02

Git存儲庫中的敏感信息

研究發(fā)現(xiàn)，50%的受訪企業(yè)至少存在一個包含敏感數(shù)據(jù)的Git存儲庫。數(shù)據(jù)庫密碼、API密鑰、加密密鑰、散列鹽和秘密等敏感信息越來越容易被開發(fā)人員錯誤地推送到Git存儲庫中。由于它們是應(yīng)用程序源代碼的一部分，攻擊者可以輕易地提取它們并危害組織系統(tǒng)。因此，企業(yè)必須全面檢測并立即從存儲庫和歷史記錄中刪除存放的敏感數(shù)據(jù)。

03

將密鑰通常存儲在文件系統(tǒng)上

49%的受訪企業(yè)會將敏感的公有云應(yīng)用密鑰存儲在虛擬機內(nèi)的文件系統(tǒng)上，而任何擁有組織密鑰的人都可以訪問組織的所有云上資源，并執(zhí)行組織可以執(zhí)行的任何操作，例如啟動EC2實例、刪除S3對象等。當(dāng)敏感的公有云應(yīng)用密鑰存儲在文件系統(tǒng)中時，如果這些密鑰被惡意行為者獲取，他們就可以利用這些密鑰訪問敏感數(shù)據(jù)并進行惡意操作。值得注意的是，敏感的公有云密鑰安全研究人員在云攻擊路徑中發(fā)現(xiàn)的“導(dǎo)致惡意橫向移動的主要安全漏洞之一”。

04

過度特權(quán)的云管理身份

研究發(fā)現(xiàn)，33%的組織為其公有云環(huán)境中超過10%的用戶身份授予了過度的管理權(quán)限。而向用戶授予特權(quán)要比限制權(quán)限容易得多，但這是一種危害云數(shù)據(jù)安全的錯誤做法。作為一條黃金法則，企業(yè)除非在極少數(shù)情況下，不應(yīng)該定義任何具有完全管理權(quán)限的用戶角色，因為這違反了最小特權(quán)原則（PoLP），會大大增加云上數(shù)據(jù)安全的攻擊面，并增加了賬戶被完全接管的風(fēng)險。

05

共享權(quán)限的云應(yīng)用

70%的受訪組織存在多個云應(yīng)用系統(tǒng)共享相同的IAM角色，而86%的云上應(yīng)用被發(fā)現(xiàn)共享了IAM角色。公有云服務(wù)商AWS建議企業(yè)，要為每個云應(yīng)用功能創(chuàng)建單獨的身份角色，以確保最小特權(quán)原則。通過為每個功能賦予一個專用IAM角色，組織可以讓云上應(yīng)用與IAM角色建議1：1的對應(yīng)關(guān)系。這可以保護數(shù)據(jù)免受未經(jīng)授權(quán)的訪問，并允許組織遵守各種安全性和遵從性標準。

云數(shù)據(jù)威脅的變化

公有云數(shù)據(jù)利用和創(chuàng)新的速度正在增加組織的安全攻擊面。以前，安全團隊會部署內(nèi)部安全系統(tǒng)實施邊界控制。現(xiàn)在，他們必須保護高度分布式的云數(shù)據(jù)，這些數(shù)據(jù)跨參與者、基礎(chǔ)設(shè)施和應(yīng)用程序，并且非常動態(tài)，經(jīng)常被創(chuàng)建、移動、修改、分析和刪除。雖然傳統(tǒng)的攻擊面是“由外向內(nèi)”的活動決定的，但新的云數(shù)據(jù)風(fēng)險環(huán)境是“由內(nèi)向外”創(chuàng)造的，一些看似合法的內(nèi)部人員正在創(chuàng)造新的數(shù)據(jù)風(fēng)險。

報告研究發(fā)現(xiàn)，由于云技術(shù)的變化速度和敏捷性刺激了數(shù)據(jù)的激增，影子數(shù)據(jù)及其創(chuàng)造的創(chuàng)新攻擊面也正在增加。而且，鑒于變化的速度極快，這些挑戰(zhàn)還會不斷增加，這意味著更多的數(shù)據(jù)工作負載將以更快的速度在云中擴散，使安全性難以跟上。研究人員將此情況稱為“安全執(zhí)行缺口”。

由于這種安全缺口將不斷擴大，甚至呈指數(shù)級增長。企業(yè)安全團隊將需要一個更加靈活的云原生數(shù)據(jù)安全解決方案，它可以隨著數(shù)據(jù)量的增加而擴展，并實時監(jiān)控和管理各種云上數(shù)據(jù)，包括跨多云存儲平臺、分析管道中的數(shù)據(jù)，甚至在云存儲回收站中的數(shù)據(jù)。

報告數(shù)據(jù)還顯示，公有云上的影子數(shù)據(jù)風(fēng)險也出現(xiàn)了一些新的變化和挑戰(zhàn)：

●將復(fù)制數(shù)據(jù)違規(guī)存放于測試環(huán)境中：大多數(shù)組織會在開發(fā)或測試環(huán)境中維護業(yè)務(wù)數(shù)據(jù)庫的部分副本。開發(fā)人員可能會對數(shù)據(jù)進行快照，但未能正確地刪除或保護復(fù)制的數(shù)據(jù)，甚至在使用完忘記進行安全性處理；

●對備份的數(shù)據(jù)缺乏管理：在每個企業(yè)都至少會有一個備份的數(shù)據(jù)存儲，它提供了生產(chǎn)數(shù)據(jù)的精確副本，可以在發(fā)生異常情況時進行恢復(fù)。但是，與生產(chǎn)數(shù)據(jù)庫相比，這些備份數(shù)據(jù)存儲的監(jiān)控和維護情況往往較差；

●在應(yīng)用遷移后的遺留數(shù)據(jù)未被刪除：在將本地數(shù)據(jù)庫遷移到現(xiàn)代云數(shù)據(jù)存儲后，團隊可能會忘記刪除本地遺留的數(shù)據(jù)；

●數(shù)據(jù)維護日志可能被惡意利用：開發(fā)人員和日志框架會列出敏感數(shù)據(jù)，但這些文件很容易暴露，因為它們?nèi)狈m當(dāng)?shù)脑L問控制和加密；

●數(shù)據(jù)存儲在分析管道中：許多組織將數(shù)據(jù)存儲在Snowflake或云服務(wù)商創(chuàng)建的分析管道中，以便他們可以按需使用和分析。這些可能是應(yīng)用程序/業(yè)務(wù)所有者看不到的。

【影子數(shù)據(jù)正在成為保護云數(shù)據(jù)的頭號挑戰(zhàn)】

積極應(yīng)對云數(shù)據(jù)泄露

報告研究發(fā)現(xiàn)，目前很多企業(yè)還處于授權(quán)業(yè)務(wù)團隊創(chuàng)建自己的大數(shù)據(jù)分析和數(shù)據(jù)網(wǎng)格解決方案的早期階段。數(shù)據(jù)已經(jīng)無處不在，業(yè)務(wù)團隊需要使用不同的SaaS應(yīng)用程序訪問公有云中的業(yè)務(wù)數(shù)據(jù)，因此，企業(yè)DevOps團隊也需要創(chuàng)建多個版本的云數(shù)據(jù)訪問策略，而數(shù)據(jù)團隊需要創(chuàng)建統(tǒng)一的數(shù)據(jù)湖以支持基于多云環(huán)境的數(shù)據(jù)分析。

隨著數(shù)據(jù)泄漏率的上升，企業(yè)在改進網(wǎng)絡(luò)安全工具和應(yīng)用實踐方面的壓力將會越來越大。很多企業(yè)開始意識到，他們需要合適的工具來跨其多云環(huán)境創(chuàng)建完整的數(shù)據(jù)可觀察性、監(jiān)視和控制。云原生系統(tǒng)能夠在不斷增長的云基礎(chǔ)設(shè)施中實現(xiàn)敏捷的數(shù)據(jù)安全，而傳統(tǒng)的本地化安全方案并不適合在云上的擴展和遷移。

幾乎所有（92%）的受訪者表示，云上數(shù)據(jù)泄露事件的增加提高了企業(yè)管理層對先進網(wǎng)絡(luò)安全防護平臺的關(guān)注和購買支持，這一比例遠高于2022年的50%。而有39%的受訪企業(yè)表示，他們對現(xiàn)有的數(shù)據(jù)安全解決方案能夠應(yīng)對云數(shù)據(jù)挑戰(zhàn)只有“一定程度”的信心或“不太有信心”，這一比例高于2022年的24%。這一數(shù)據(jù)也表明，安全專業(yè)人員越來越意識到，需要云原生解決方案來應(yīng)對日益嚴重的數(shù)據(jù)安全問題。

除了云原生技術(shù)，很多受訪企業(yè)還表示，他們需要新一代DSPM（數(shù)據(jù)安全態(tài)勢管理）解決方案來加強云上的數(shù)據(jù)安全防護。DSPM的主要功能包含數(shù)據(jù)安全策略實施、數(shù)據(jù)風(fēng)險評估、數(shù)據(jù)分類、數(shù)據(jù)泄漏保護、數(shù)據(jù)訪問監(jiān)控、數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)風(fēng)險補救、數(shù)據(jù)風(fēng)險排序、數(shù)據(jù)所有者標識、數(shù)據(jù)合規(guī)性報告、數(shù)據(jù)流映射、數(shù)據(jù)沿襲識別。組織可以根據(jù)以上指標來選擇合適的解決方案，看看它們是否能夠全面處理目前的公有云數(shù)據(jù)安全需求。