企业仍在将安全风险引入云环境

admin 2023年3月20日00:11:58评论7 views字数 4434阅读14分46秒阅读模式

单位选择云的最大原因之一是其安全性,但是云安全同时引入新安全问题,同时一些旧安全也会因企业的安全认知局限性,引入云环境。

企业仍在将安全风险引入云环境

虽然云计算及其多种形式(私有云、公共云、混合云或多云环境)在过去十年中随着创新和增长变得无处不在,但网络犯罪分子密切关注迁移并引入他们自己的创新来利用这些平台。大多数这些攻击都是基于不良配置和人为错误。新的 IBM Security X-Force 数据显示,许多采用云的企业在基本安全最佳实践方面落后,给他们的组织带来了更多风险。

IBM 的2022 X-Force 云威胁态势报告揭示了网络犯罪分子用来破坏云环境的“破门”,揭示了漏洞利用这种久经考验的感染方法仍然是实现云破坏的最常见方式。从 2021 年 7 月至 2022 年 6 月期间的 X-Force 威胁情报数据、数百次 X-Force Red 渗透测试、X-Force 事件响应 (IR) 参与和报告贡献者Intezer提供的数据中收集见解,一些关键亮点源于该报告包括:

  • 云漏洞呈上升趋势——在过去六年中,新的云漏洞增加了六倍,X-Force 响应的 26% 的云妥协是由攻击者利用未修补的漏洞造成的,成为观察到的最常见的切入点。 

  • 更多的访问,更多的问题——在 99% 的渗透测试中,X-Force Red 能够通过用户的额外特权和许可来破坏客户端云环境。这种类型的访问可能允许攻击者在受害环境中横向移动和移动,从而增加攻击事件中的影响级别。

  • 云帐户销售在暗网市场取得进展——X-Force 观察到现在在暗网上做广告的云帐户增加了 200%,其中远程桌面协议和被盗凭据是非法市场上最受欢迎的云帐户销售。

    未打补丁的软件:云攻击的第一大原因

    随着物联网设备的兴起推动越来越多的连接到云环境,潜在的攻击面变得越来越大,从而引入了许多企业正在经历的关键挑战,例如适当的漏洞管理。一个典型的例子——报告发现,超过四分之一的研究云事件是由于已知的、未修补的漏洞被利用而引起的。虽然Log4j 漏洞和 VMware Cloud Director 中的漏洞是 X-Force 参与中观察到的两个更常利用的漏洞,但观察到的大多数被利用的漏洞主要影响应用程序的本地版本,而不会影响云实例。

    正如所怀疑的那样,与云相关的漏洞正在以稳定的速度增加,X-Force 观察到仅去年一年新的云漏洞就增加了 28%。迄今为止,总共披露了 3,200 多个与云相关的漏洞,企业在满足更新和修补越来越多的易受攻击软件的需求方面面临着一场艰苦的战斗。除了与云相关的漏洞数量不断增加之外,它们的严重性也在不断上升,这从能够为攻击者提供访问更敏感和关键数据以及进行更具破坏性的攻击的机会的漏洞的增加中显而易见。

    这些持续存在的挑战表明,企业需要对其环境进行压力测试,不仅要识别环境中的弱点,如未修补的、可利用的漏洞,还要根据其严重程度对它们进行优先级排序,以确保最有效地缓解风险。

    过多的云权限助长不良行为者的横向移动

    该报告还揭示了云环境中另一个令人担忧的趋势——访问控制不佳,X-Force Red 进行的 99% 的渗透测试都是由于用户的过多特权和许可而成功的。企业允许用户以不必要的级别访问其网络中的各种应用程序,无意中为攻击者创造了一个垫脚石,以便更深入地进入受害者的云环境。

    这一趋势强调企业需要转向零信任策略,进一步降低过度信任用户行为带来的风险。零信任策略使企业能够制定适当的政策和控制措施来审查与网络的连接,无论是应用程序还是用户,并反复验证其合法性。此外,随着组织发展其业务模型以快速创新并轻松适应,他们必须正确保护其混合、多云环境。其核心是实现架构现代化:并非所有数据都需要相同级别的控制和监督,因此确定正确的工作负载并出于正确的原因放在正确的位置非常重要。这不仅可以帮助企业有效地管理他们的数据,还可以让他们在适当的安全技术和资源的支持下围绕数据进行有效的安全控制。

    暗网市场更倾向于云账户销售

    随着云的兴起,在暗网上出售的云帐户也随之增加,X-Force 证实,仅去年一年就增长了 200%。具体来说,X-Force 在暗网市场上发现了超过 100,000 个云帐户广告,其中一些帐户类型比其他帐户类型更受欢迎。确定的云帐户销售额中有 76% 是远程桌面协议 (RDP) 访问帐户,比前一年略有上升。受损的云凭证也被出售,占 X-Force 分析的市场广告中的云帐户的 19%。

    此类访问的现行价格非常低,这使得普通投标人可以轻松获得这些帐户。RDP 访问和泄露凭证的平均价格分别为 7.98 美元和 11.74 美元。受损凭据的售价高出 47% 可能是由于它们易于使用,以及发布的广告凭据通常包含多组登录数据,可能来自与云凭据一起被盗的其他服务,从而产生更高的价格网络罪犯的投资回报率。

    随着越来越多的受损云帐户在这些非法市场中弹出供恶意行为者利用,组织必须通过敦促用户定期更新密码以及实施多因素身份验证 (MFA) 来实施更严格的密码策略,这一点很重要企业还应该利用身份和访问管理工具来减少对用户名和密码组合的依赖,并打击威胁行为者凭证盗窃。

    思维导图下载:GB-T 39276-2020 网络产品和服务安全通用要求

    安全团队必须改进过时的工具

    网络安全等级保护:从第三级防雷击测评项引发的一点点思考

    网络安全等级保护:第三级与第四级安全物理环境差异化要求

    网络安全等级保护:移动互联安全扩展测评PPT

    300多页网络安全知识小册子2023版下载

    网络安全等级保护:网络安全等级保护安全设计技术要求PPT

    全国网络安全等级测评与检测评估机构目录

    分析显示:98% 的公司的供应链关系已被破

    2023年五个关键网络安全趋势

    15个网络安全等级保护和等级测评PPT课件打包下载


    网络安全的下一步是什么
    网络安全等级保护:第三级网络安全设计技术要求整理汇总
    网络安全等级保护:信息安全服务提供方管理要求
    网络安全对抗行为(十八):用于了解恶意操作的模型及攻击归因和结论
    网络安全对抗行为(十九):词汇表
    网络安全培训:如何建立网络意识的企业文化
    网络安全取证(九)操作系统分析之存储取证
    网络安全取证(十)操作系统分析之存储取证
    网络安全取证(十二)数据恢复和文件内容雕刻
    网络安全取证(十六)云取证
    网络安全取证(十七)伪影分析
    网络安全取证(十三)数据恢复和文件内容雕刻(下)
    网络安全取证(十一)操作系统分析之块设备分析
    网络安全运营和事件管理(二十):执行-缓解和对策之拒绝服务
    网络安全运营和事件管理(二十二):执行-缓解和对策之站点可靠性工程
    网络安全运营和事件管理(二十六):知识-智能和分析之态势感知
    网络安全运营和事件管理(二十七):人为因素:事件管理
    网络安全运营和事件管理(二十三):知识-智能和分析之网络安全知识管理
    网络安全运营和事件管理(二十四):知识-智能和分析之蜜罐和蜜网
    网络安全运营和事件管理(二十五):知识-智能和分析之网络威胁情报
    网络安全运营和事件管理(二十一):执行-缓解和对策之SIEM平台和对策
    网络安全运营和事件管理(十八):计划-警报关联
    网络安全运营和事件管理(十九):执行-缓解和对策之入侵防御系统
    网络安全运营和事件管理(十六):分析之基准利率谬误
    网络安全运营和事件管理(十七):计划-安全信息和事件管理及数据收集
    网络安全运营和事件管理(一):简介
    网络安全之事件管理
    网络安全之云计算的安全风险
    网络安全知识:什么是社会工程学
    网络安全知识体系1.1对抗行为(十七):用于了解恶意操作的模型之地下经济建模为资本流动
    网络安全知识体系1.1对抗行为(十三):恶意操作的要素之支付方式
    网络安全知识体系1.1恶意软件和攻击技术(六):恶意软件分析
    网络安全知识体系1.1恶意软件和攻击技术(十三):恶意软件响应及中断
    网络安全知识体系1.1法律法规(二十)信息系统犯罪的执法与处罚
    网络安全知识体系1.1法律法规(二十八)法律约束—合同
    网络安全知识体系1.1法律法规(二十九)侵权行为
    网络安全知识体系1.1法律法规(二十六)违约和补救措施
    网络安全知识体系1.1法律法规(二十七)合同对非缔约方的影响
    网络安全知识体系1.1法律法规(二十五)责任限制和责任排除
    网络安全知识体系1.1法律法规(二十一)不受欢迎的自助:软件锁定和黑客攻击
    网络安全知识体系1.1法律法规(九)数据主权问题
    网络安全知识体系1.1法律法规(三十)  对缺陷产品严格负责
    网络安全知识体系1.1法律法规(三十八)国际待遇和法律冲突
    网络安全知识体系1.1法律法规(三十二)赔偿责任的数额
    网络安全知识体系1.1法律法规(三十九)互联网中介机构-免于承担责任和撤销程序
    网络安全知识体系1.1法律法规(三十六)执行–补救措施
    网络安全知识体系1.1法律法规(三十七)逆向工程
    网络安全知识体系1.1法律法规(三十三)
    网络安全知识体系1.1法律法规(三十三)归因、分摊和减少侵权责任
    网络安全知识体系1.1法律法规(三十四)法律冲突–侵权行为
    网络安全知识体系1.1法律法规(三十五)知识产权
    网络安全知识体系1.1法律法规(三十一)  限制责任范围:法律因果关系
    网络安全知识体系1.1法律法规(十)国际人权法的基础
    网络安全知识体系1.1法律法规(十八)执行和处罚
    网络安全知识体系1.1法律法规(十二)国家以外的人的拦截
    网络安全知识体系1.1法律法规(十九)电脑犯罪
    网络安全知识体系1.1法律法规(十六)国际数据传输
    网络安全知识体系1.1法律法规(十七)  个人数据泄露通知
    网络安全知识体系1.1法律法规(十三)数据保护
    网络安全知识体系1.1法律法规(十四)核心监管原则
    网络安全知识体系1.1法律法规(十五)适当的安全措施
    网络安全知识体系1.1法律法规(十一)国家拦截
    网络安全知识体系1.1法律法规(四十)文件非物质化和电子信托服务
    网络安全知识体系1.1法律法规(四十二)国际公法
    网络安全知识体系1.1法律法规(四十三)其他监管事项
    网络安全知识体系1.1法律法规(四十四)结论:法律风险管理
    网络安全知识体系1.1法律法规(四十一)  伦理学
    网络安全知识体系1.1风险管理和治理(八)安全度量
    网络安全知识体系1.1风险管理和治理(九)业务连续性
    网络安全知识体系1.1风险管理和治理(六)脆弱性管理
    网络安全知识体系1.1风险管理和治理(七)风险评估和管理
    网络安全知识体系1.1风险管理和治理(十)结论
    网络安全知识体系1.1风险管理和治理(五)风险评估与管理方法(下)
    网络安全知识体系1.1人为因素(二):可用的安全性——基础
    网络安全知识体系1.1人为因素(一):了解安全中的人类行为
    网络安全知识体系1.1隐私和在线权利(八):隐私作为透明度及基于反馈的透明度
    网络安全知识体系1.1隐私和在线权利(九):隐私作为透明度及基于审计的透明度
    网络安全知识体系1.1隐私和在线权利(六):隐私作为控制之支持隐私设置配置
    网络安全知识体系1.1隐私和在线权利(七):隐私作为控制之支持隐私政策谈判和可解释性


    原文始发于微信公众号(河南等级保护测评):企业仍在将安全风险引入云环境

    特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
    • 我的微信
    • 微信扫一扫
    • weinxin
    • 我的微信公众号
    • 微信扫一扫
    • weinxin
    未分类
    admin
    • 本文由 发表于 2023年3月20日00:11:58
    • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                    企业仍在将安全风险引入云环境 https://cn-sec.com/archives/1614917.html

    发表评论

    匿名网友 填写信息

    :?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: