虹科分享 | 拒绝成为云安全领域的数据泄露的受害者

将敏感数据存储在云中的概念曾被视为荒谬可笑。现在，随着更大的存储空间、更低的成本和更高的性能，企业正在以指数级的速度进入云安全领域。然而，如此巨大的好处也伴随着严重的风险。

No.1数据泄露的财务风险

由于云中的机密数据数量巨大，攻击者的目标是从小型企业到大公司的各种云基础设施，包括CapitalOne等财富500强公司，该公司在2019年成为2.7亿美元数据泄露的受害者。最近，在2022年5月，一家名为Pegasus的航空公司拥有一个开放的S3存储桶(一种用于存储数据的亚马逊云存储服务)，其中包含6.5TB的敏感数据，包括明文密码、源代码和PII。

2021年，云漏洞的平均成本计算为七位数，其中公共云基础设施约为480万美元，私有云基础设施为455万美元，混合云基础设施(公共和私有混合)为361万美元。在这些数据中，发现94%的企业使用云，其中91%使用公共云服务，如AWS(Amazon Web Services)、Azure或GCP(Google Cloud Provider)。

由于新冠肺炎的存在，公司转向了远程工作方式，这也增加了员工的在线参与度。这导致数据泄露的严重性增加。平均而言，拥有81%-100%远程员工的公司估计会因数据泄露而损失554万美元(比远程工作不是数据泄露因素的公司高出100多万美元)。

云仍处于初级阶段，因此企业基础设施中存在的严重和高度严重的漏洞让人想起互联网早期阶段内部环境中存在的简单漏洞。

No.2公有云的复杂性

这些漏洞的存在不仅是因为云基础设施是一个新概念，还因为云本身的复杂性。公共云通常由两种不同的职责组成：

◎客户责任-云中的安全

◎公共云服务责任-云的安全

云服务提供商负责确保其数据中心不受数据泄露的影响。因此，这些数据中心无懈可击，并实施安全最佳实践。然而，尽管公有云服务具有安全性，但当客户使用公有云服务构建自己的基础设施时，可能会出现严重的漏洞。公共云服务为客户提供了许多不同的使用案例，了解他们希望如何定制其基础架构，而这种能力很容易导致配置不安全。

No.3资源匮乏

云的复杂性导致对云安全工程师的需求激增。新冠肺炎的流行加剧了这一需求，它增加了在线人气。然而，安全工程师的供应远远落后于需求，随着针对云基础设施的攻击不断增加，这种失衡正变得更加极端。

No.4如何保护云环境

仅靠安全工程师不能承担整个云基础设施的重量，因为它的安全性仅限于其最薄弱的环节。在云环境中找到这样一个薄弱环节类似于大海捞针，因为错误配置通常隐藏在数百甚至数千个策略、身份和实例。

因此，对公司的云基础设施执行渗透测试(模拟攻击)变得极其重要。这一领域训练有素的专业人员习惯于在此类环境中找到薄弱环节，进行验证，并直接向他们的联络点报告，以便在恶意行为者利用这些漏洞之前对其进行修补。

以下是安全工程师和开发人员在云环境中常犯的三个错误：

没有遵循最低特权原则：云环境的配置通常不正确，无法提供比必要的更多访问。

开发不安全的应用程序和功能：不安全的应用程序和功能可为攻击者提供一条利用漏洞进入云环境的途径。

如果更高权限的身份或角色受到损害(例如通过损害VM)，则可以在云环境中提升权限：安全组配置不正确，允许的流量超过必要的数量。

云基础设施很容易配置错误，这可能会导致极端的后果。因此，每次应用重大更改时，都应该测试云基础设施的安全态势。

No.5为什么选择SSC

在SecurityScorecard，您的安全状况可以从所有角度进行测试和加强，从云到外部、内部、移动、网络和Wi-Fi基础设施。SecurityScorecard的渗透测试服务确保您的环境安全，同时帮助您实现合规。在网络安全问题上，这句格言“最好的防御是最好的进攻”比以往任何时候都更加正确。

推荐阅读

虹科SecurityScorecard

虹科SecurityScorecard（SSC）是一个安全评级平台，使企业能够以非侵入性和由外而内的方式，对全球任何公司的安全风险进行即时评级、了解和持续监测。获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。

虹科SSC对企业的安全状况以及任何组织的安全系统中所有供应商和合作伙伴的网络健康状况提供即时可见性。该平台使用可信的商业和开源威胁源以及非侵入性的数据收集方法，对全球成千上万的组织的安全态势进行定量评估和持续监测。

虹科SSC为各行各业的大小型企业提供最准确、最透明、最全面的安全风险评级。

虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是：让网络安全更简单！凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括网络全流量监控，数据安全，终端安全（动态防御），网络安全评级，网络仿真，物联网设备漏洞扫描，安全网络时间同步等行业领先解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。

此外，我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。