云計(jì)算是一項(xiàng)驚人的技術(shù)突破。因?yàn)?*24小時(shí)按需可用性、隨時(shí)隨地的可訪問性、可擴(kuò)展性和在線存儲(chǔ)等特點(diǎn),它為那些在云上運(yùn)營(yíng)其業(yè)務(wù)的企業(yè)提供了許多成本優(yōu)勢(shì)。這些組織不需要產(chǎn)生資本支出,也不需要在計(jì)算基礎(chǔ)設(shè)施上進(jìn)行巨額投資。相反,他們只需要為他們需要的部分付費(fèi),并在需要時(shí)擴(kuò)大規(guī)模。此外,云計(jì)算還可以降低電力和員工成本,減少碳足跡。
因此,在全球范圍內(nèi),云的采用速度很快。根據(jù)Flexera 2024云狀態(tài)報(bào)告,“向混合和多云環(huán)境的轉(zhuǎn)變強(qiáng)調(diào)了全面成本管理的重要性,幾乎一半的所有工作負(fù)載和數(shù)據(jù)都在公有云中,組織對(duì)多云的使用從去年的87%上升到今年的89%?!?
然而,隨著云計(jì)算在過去幾年中的使用增加,安全威脅呈指數(shù)級(jí)增加。下面,我們將根據(jù)2023年和2024年發(fā)布的部分研究報(bào)告,回顧當(dāng)前的一些云攻擊類型和新出現(xiàn)的威脅,以及可能的對(duì)策。
云計(jì)算:當(dāng)前威脅和漏洞
根據(jù)Palo Alto Networks第42單位的最新攻擊面威脅研究報(bào)告,在所有部門的組織中觀察到的五分之四的安全漏洞來自云環(huán)境。該報(bào)告概述了最常見的安全缺陷,其中60%來自web框架接管(22.8%)、遠(yuǎn)程訪問服務(wù)(20.8%)和IT安全和網(wǎng)絡(luò)基礎(chǔ)架構(gòu)(17.1%)。
它還強(qiáng)調(diào)了云產(chǎn)品的持續(xù)變化如何顯著影響用戶的暴露。威脅研究小組的建議如下:
1.保持對(duì)所有互聯(lián)網(wǎng)可訪問資產(chǎn)的全面、實(shí)時(shí)了解
2. 定期檢查和更新云配置
3.促進(jìn)安全和DevOps團(tuán)隊(duì)之間的協(xié)作
4.專注于解決最關(guān)鍵的漏洞和暴露。
與此同時(shí),根據(jù)2024年谷歌云網(wǎng)絡(luò)安全預(yù)測(cè)報(bào)告,2024年將見證生成式人工智能和大語言模型(LLM)被攻擊者用于網(wǎng)絡(luò)釣魚、SMS和社會(huì)工程操作,以傳播假新聞。在2024年1月世界經(jīng)濟(jì)論壇(World Economic Forum)發(fā)布的《2024年全球網(wǎng)絡(luò)安全展望》(Global Cybersecurity Outlook 2024)的洞察力報(bào)告中,大多數(shù)人認(rèn)為,“在未來兩年,生成式人工智能將為攻擊者提供網(wǎng)絡(luò)優(yōu)勢(shì)(55.9%)?!?
因此,生成式AI將是云計(jì)算的主要發(fā)展威脅。
下面是其他五個(gè)主要云漏洞:
1.云配置錯(cuò)誤。任何涉及云組件(如存儲(chǔ)、網(wǎng)絡(luò)、訪問控制等)的云錯(cuò)誤配置都可能導(dǎo)致網(wǎng)絡(luò)威脅暴露。據(jù)去年報(bào)道,日本汽車制造商豐田(Toyota)表示,由于云環(huán)境配置不當(dāng),約有26萬名客戶的數(shù)據(jù)在網(wǎng)上曝光。一些補(bǔ)救措施包括:
? 加固服務(wù)器并關(guān)閉開放端口
? 確保日志記錄機(jī)制的運(yùn)作
? 加強(qiáng)訪問控制
? 定期配置審核
? 在云上安全存儲(chǔ)
2.多云漏洞。如上所述,今年89%的組織正在使用多云,這導(dǎo)致了共享的技術(shù)漏洞。常見軟件設(shè)計(jì)、web瀏覽器和常見數(shù)據(jù)庫系統(tǒng)中的漏洞可能會(huì)導(dǎo)致網(wǎng)絡(luò)釣魚和惡意軟件攻擊、數(shù)據(jù)泄露和其他安全問題。補(bǔ)救措施包括:
? 根據(jù)最佳實(shí)踐和標(biāo)準(zhǔn)加固服務(wù)器和防火墻
? 網(wǎng)絡(luò)分割和適當(dāng)?shù)娜ボ娛禄瘏^(qū)域(DMZ)管理
? 根據(jù)供應(yīng)商建議的補(bǔ)丁管理計(jì)劃表
? 安全的架構(gòu)實(shí)施,遵循設(shè)計(jì)方法論的安全性
3.缺乏安全的API。2022年11月,Twitter API安全漏洞暴露了540萬用戶的個(gè)人數(shù)據(jù)。部分?jǐn)?shù)據(jù)在暗網(wǎng)上出售,其余數(shù)據(jù)免費(fèi)發(fā)布。請(qǐng)參閱我之前關(guān)于API安全的想法。
4.缺乏透明度。由于監(jiān)控機(jī)制不足、缺乏對(duì)用戶活動(dòng)的洞察力,有時(shí)甚至是實(shí)時(shí)報(bào)告,導(dǎo)致缺乏透明度,從而減慢了異常行為檢測(cè),甚至減慢了檢測(cè)任何已知攻擊模式的機(jī)會(huì)。Illumio在2023年進(jìn)行的研究表明,幾乎一半的數(shù)據(jù)泄露都源于云,使組織平均損失410萬美元,95%的調(diào)查受訪者指出,缺乏可見性和延遲響應(yīng)攻擊是主要原因。強(qiáng)大的日志記錄和監(jiān)控機(jī)制可以是提高可見性和透明度的良好措施。
5.無服務(wù)器架構(gòu)漏洞。2020年,全球無服務(wù)器架構(gòu)市場(chǎng)規(guī)模超過76億美元,預(yù)計(jì)復(fù)合年增長(zhǎng)率為22.7%,到2026年底將達(dá)到211億美元。無服務(wù)器架構(gòu)意味著云提供商提供服務(wù)器,我們需要上傳代碼并進(jìn)行操作。這被稱為功能即服務(wù)(FaaS),其中計(jì)費(fèi)是基于網(wǎng)絡(luò)請(qǐng)求的數(shù)量和在部署的功能上發(fā)生的活動(dòng)來完成的。通過健壯的軟件開發(fā)實(shí)踐和對(duì)無服務(wù)器功能授予正確的訪問控制權(quán)限,可以有效地修復(fù)無服務(wù)器體系結(jié)構(gòu)漏洞。
根據(jù)2023年的行業(yè)研究報(bào)告,云計(jì)算中常見類型的網(wǎng)絡(luò)威脅和攻擊的發(fā)現(xiàn)如下所示:
如上圖所示,云計(jì)算環(huán)境中最常見的威脅和攻擊是:
1. 數(shù)據(jù)丟失或數(shù)據(jù)泄露
2. 拒絕服務(wù)或分布式拒絕服務(wù)攻擊
3. 中間人攻擊
4. 惡意軟件
5. 僵尸網(wǎng)絡(luò)
6. 社會(huì)工程
7. 賬戶劫持
研究報(bào)告中提到的最常用緩解技術(shù)如下:
1. 入侵防御系統(tǒng)
2. 雙因素認(rèn)證
3. 防火墻
4. 機(jī)器學(xué)習(xí)和人工智能
5. 數(shù)據(jù)加密
研究報(bào)告得出結(jié)論,云計(jì)算中最大的威脅是數(shù)據(jù)泄漏,最推薦的技術(shù)是IPS或IDS,以緩解云計(jì)算中的威脅。
保護(hù)您的云基礎(chǔ)架構(gòu)
云計(jì)算是一個(gè)驚人的發(fā)展,它提供了更多的靈活性、可用性、更高的性能和效率等優(yōu)勢(shì),同時(shí)有助于降低IT成本。重要的是,它通過輕松地與AI和機(jī)器學(xué)習(xí)用例協(xié)作來執(zhí)行其操作,從而加速創(chuàng)新。
然而,云也面臨來自人工智能和機(jī)器學(xué)習(xí)的嚴(yán)重威脅。此外,云操作及其部署方法也對(duì)保護(hù)數(shù)據(jù)和隱私提出了挑戰(zhàn)。因此,除了部署傳統(tǒng)的安全對(duì)策外,我們還應(yīng)該有一個(gè)強(qiáng)大的戰(zhàn)略來保護(hù)云基礎(chǔ)設(shè)施免受人工智能支持的網(wǎng)絡(luò)攻擊。