江苏龙网

  1. 主页 > 生活百科 > >

导致数据泄露的常见云配置错误

数据泄露


导致数据泄露的常见云配置错误

文章插图
作者 | Raj Rajamani
【导致数据泄露的常见云配置错误】策划 | 言征
云已成为攻击者活动的新战场:CrowdStrike 观察到 , 从 2021 年到 2022 年 , 云利用增加了 95% , 涉及直接针对云的威胁行为者的案件增加了 288% 。保护你的云环境需要了解威胁行为者的运作方式——他们如何闯入和横向移动、他们瞄准哪些资源以及他们如何逃避检测 。
1、云配置错误带来地安全问题云配置错误(当安全设置选择不当或完全忽略时出现的漏洞、错误或漏洞)为攻击者提供了渗透云的简单途径 。多云环境很复杂 , 很难判断何时授予了过多的帐户权限、配置了不正确的公共访问或发生了其他错误 。也很难判断对手何时利用它们 。
云中配置错误的设置为攻击者快速行动扫清了道路 。云中的漏洞可能会暴露大量敏感信息 , 包括个人数据、财务记录、知识产权和商业秘密 。对手在不被发现的情况下通过云环境寻找和窃取这些数据的速度是一个主要问题 。恶意行为者将通过使用云环境中的本机工具来加快在云中搜索和查找有价值数据的过程 , 这与他们必须部署工具的本地环境不同 , 这使得他们更难避免检测 。需要适当的云安全来防止造成广泛后果的违规行为 。
2、常见的错误配置那么 , 我们看到威胁行为者最常见的错误配置是什么 , 以及对手如何利用它们来获取你的数据?
无效的网络控制:网络访问控制中的间隙和盲点为攻击者留下了许多大门 , 让他们可以直接通过 。
不受限制的出站访问:当你对互联网具有不受限制的出站访问权限时 , 不良行为者可以利用你缺乏出站限制和工作负载保护来从你的云平台窃取数据 。你的云实例应限制为特定的 IP 地址和服务 , 以防止对手访问和窃取你的数据 。
配置不当的公共访问:将存储桶或关键网络服务(例如 SSH(安全外壳协议)、SMB(服务器消息块)或 RDP(远程桌面协议))暴露到互联网 , 甚至是不打算公开的 Web 服务公开 , 可能会迅速导致服务器的云攻击以及敏感数据的泄露或删除 。
公共快照和映像:意外公开卷快照或计算机映像(模板)的情况很少见 。当这种情况发生时 , 机会主义的对手就可以从该公共图像中收集敏感数据 。在某些情况下 , 该数据可能包含密码、密钥和证书或 API 凭据 , 从而导致云平台遭受更大的损害 。
开放数据库、缓存和存储桶:开发人员有时会在没有足够的身份验证/授权控制的情况下公开数据库或对象缓存 , 从而将整个数据库或缓存暴露给机会主义对手 , 以进行数据盗窃、破坏或篡改 。
被忽视的云基础设施:你会惊讶地发现 , 有多少次云平台为了支持短期需求而启动 , 但在练习结束时仍保持运行 , 并在团队继续前进后被忽视 。开发或安全运营团队不维护被忽视的云基础设施 , 从而使不良行为者可以自由地获取访问权限以搜索可能遗留的敏感数据 。
网络分段不充分:网络安全组等现代云网络概念使 ACL (访问控制列表)等陈旧、繁琐的做法成为过去 。但是 , 安全组管理实践不足可能会创建一个环境 , 使攻击者可以根据“网络内部是安全的”和“只需要前端防火墙”这一隐含的架构假设 , 在主机之间、服务之间自由移动 。” 由于不利用安全组功能仅允许需要通信的主机组进行通信 , 并阻止不必要的出站流量 , 云防御者错过了阻止涉及基于云的端点的大多数违规行为的机会 。
监控和警报差距:集中查看所有服务的日志和警报 , 使搜索异常变得更加容易 。
禁用日志记录:云安全事件的有效数据记录对于检测恶意威胁行为者行为至关重要 。然而 , 在许多情况下 , 云平台上默认禁用日志记录 , 或者禁用日志记录以减少维护日志的开销 。如果禁用日志记录 , 则不会记录任何事件 , 因此无法检测潜在的恶意事件或操作 。应将启用和管理日志记录作为最佳实践 。
缺少警报:大多数云提供商和所有云安全态势管理提供商都会针对重要的错误配置提供警报 , 并且大多数会检测异常或可能的恶意活动 。不幸的是 , 防御者通常不会在他们的雷达上发现这些警报 , 这要么是由于太多的低相关性信息(警报疲劳) , 要么是因为这些警报源与他们寻找警报的位置(例如 SIEM)之间缺乏联系 。安全信息和事件管理)工具 。


推荐阅读


上一篇:探索数字孪生技术:工业领域数字化转型的未来之路

下一篇:警惕低代码隐藏的六大危险