大多数CISO都忽略的八个云安全问题

当企业的大多O都CISO试图在整个全球威胁环境中维持安全时，他们发现自己与各种云环境之间的忽略关系是既爱又恨 。对于许多人来说 ，云安这种关系更像是全问恨与厌恶的关系。 

云环境看似是大多O都现有运营的无缝延伸，但实际上它们由分散在企业各个部门的忽略不同云团队控制，这些团队的云安目标和需求可能与网络安全团队的指令相冲突。免费模板 

因此，全问企业使用云的大多O都本质可能会带来一系列难以检测的潜在网络安全问题。我们与多位云安全专家讨论了企业安全运营中心（SOC）最有可能遭遇的忽略低调云安全问题。 

临时资源的云安威胁比你想象的更大 

云中没有什么比临时资源更能带来持久的头痛问题了，这主要是全问因为它们的生命周期很短
，难以进行扫描，大多O都因而成为隐藏恶意软件的忽略理想场所。模板下载 

这些临时资源，云安如临时存储实例或动态分配的资源
，只存在于执行特定功能后便终止的时间段中 ，在云环境中越来越常见。 

软件供应商Zibtek的创始人Cache Merrill表示：“临时资源的短暂性可能会让安全团队低估其潜在的安全风险，认为这些资源由于寿命短而威胁较小
。” 

但是 ，一旦这些资源被攻破，它们可能会成为攻击者的最佳帮手
，香港云服务器充当“恶意活动的切入点或临时避难所 ，而几乎不留下任何可供取证分析的痕迹。”Merrill说道。“这可能尤其具有挑战性
，因为传统的安全工具和实践通常是为长期存在的基础设施配置的 ，可能不会自动扩展到这些短命的组件。” 

根据Merrill的说法，典型安全扫描错过临时攻击的高防服务器几率“非常高。最糟糕的情况是什么 ？你将读写权限向全世界开放。” 

在云环境中 ，IT资产清单借口不再有效 

安全专家通常会避免处理本地IT资产的清单管理，然而 ，Wiz公司的首席云安全研究员Scott Piper认为，许多人没有意识到
，在云中进行清点要容易得多 ，因此没有理由再回避这项工作 。 

“许多人在过去处理IT资产清单时都留下了‘伤痕’ 。传统上，在需要物理追踪电缆并亲自查看设备的源码库世界里，进行IT资产清单的工作非常困难。接下来，你还需要尝试了解这些设备运行的软件及其配置情况
，这需要在设备上安装代理程序 。”Piper说 。“这是一个复杂的问题 ，因为你需要一个适用于操作系统的代理程序 ，并为潜在的性能和可靠性风险进行测试和批准 ，还需要弄清楚如何进行设备身份验证以安装代理程序，云计算进行网络通信所需的额外配置更改，处理如果代理程序停止工作时的故障排除等等。” 

相比之下 ，在云环境中 ，一切都被视为API，这使得进行资产清单管理要简单得多。虽然远谈不上有趣 ，但安全团队必须克服多年积累的回避心理
。 

Piper表示：“识别所有资源只需要一组API 。通过API快照磁盘，可以扫描服务器上安装的所有应用程序和库，然后花尽可能多的时间评估这些数据
，而不必过多担心扫描的性能问题。” 

Piper还指出 ，那些认为“尽管清单有其价值 ，但获取清单的困难不值得”的网络安全专家，实际上是在损害公司在云环境中的安全态势，因为回避清单管理可能会带来严重的网络安全问题。 

“因为他们没有关注资产清单，他们无法发现配置错误。那些他们不知道的资产清单中可能存在关键的配置问题，而这些问题因此未能得到解决。”Piper说 。 

云账单有助于跟踪攻击——但需注意 

一些攻击者并不关注通过勒索软件窃取企业数据或通过DDoS攻击关闭运营 。相反 ，他们是想要惩罚企业的破坏者 
。此类攻击之一包括“钱包拒绝服务”（DoW）攻击 ，旨在迫使企业承担大量额外的云费用 。 

然而，不仅仅是云支出的增加可以作为恶意活动的早期指标。 

“消费量的急剧下降可以告诉你
，有人正在破坏你的云环境，而且比你的监控系统更早发现问题。”技术咨询公司ISG的合伙人Doug Saylors表示 。攻击者“可能正在删除过去90天的备份 。” 

尽管跟踪云支出可以提供网络安全情报 ，但由于云计费的性质——尤其是在不断添加新功能和服务的情况下——实时侦查变得具有挑战性。 

Saylors说 ：“超大规模云服务商正在向市场推出大量产品，有时网络和IT团队在产品开发的初期阶段之外才了解到这些产品
 。” 

至于DoW攻击，IT培训公司Pluralsight的首席云策略师Drew Firment表示，这些攻击通常通过“反复触发API端点来故意增加云计算费用”进行。 

“随着数据集的规模增长 ，利用脆弱端点并触发大规模且昂贵的数据传输的DoW攻击的潜在财务影响也在增加，”Firment说，“为了减少风险，组织应该实施API网关速率限制以防止端点被滥用，同时配置Web应用防火墙策略
，限制来自单个IP地址或IP范围的请求数量。” 

Ernst & Young的网络安全战略总监Brian Levine补充说 ，内部对云使用缺乏透明度可能是CISO面临的另一个问题 。 

Levine表示 ：“应该在多个团队之间共享的知识 ，以及缺乏高级管理人员确保这些知识得到有效和及时共享，是企业常见的痛点。随着云服务供应商推出更多的安全产品和套餐，这可能会让人感到困惑。我们真正需要的是什么，什么又只是附加销售？这是一项很难做的分析。” 

Levine举了一个例子，某些云平台会向企业额外收费来记录和保存日志——这对于进行事件后的分析和取证至关重要，特别是在攻击者故意删除或篡改他们可以访问的日志时 。 

你的IDP策略可能存在不足 

身份提供商（IDP）服务中断相对罕见
，持续时间也不长。而且 ，切换到备用服务可能会对终端用户造成更大的干扰——因为这可能需要行为上的改变——相比之下，等待几分钟看主要系统是否恢复可能更为简单
。 

但由于无法确定何时会恢复服务，企业仍然需要一个IDP备份策略 ，德国咨询公司KuppingerCole Analysts的首席分析师Martin Kuppinger说 。不幸的是，由于上述原因，许多公司放弃了这种策略。 

Kuppinger建议 ：“当所有认证都依赖于IDaaS/SaaS服务时，你能承受多长时间的服务中断 ？你需要有一些措施 ，以便在主要IDP不可用时能够认证这些服务 
。”他建议拥有一个在本地运行或独立于主要IDP使用的云环境之外的第二个IDP 。 

你未充分应对的SaaS安全问题 

SaaS安全漏洞是狡猾且隐秘的，它们悄悄地增加了巨大的风险 ，而许多安全运营中心（SOC）员工却没有注意到 。 

Gartner分析师Charlie Winckless表示：“SaaS供应商的风险差异巨大。SaaS应用程序在对组织构成的风险程度上存在根本性的差异。最大的一些供应商非常出色。接下来的几个层级的供应商也可以使用 ，但还有大量的SaaS应用程序很难评估
。” 

“这一问题因许多CISO过度关注三大超大规模云服务商而忽视了SaaS而变得更加复杂，”他补充道
，“代码库通常托管在SaaS上
，可能是开放的
，或者远比你预期的要不安全。” 

悬空的DNS指针可能带来大问题 

Gartner的Winckless表示
，DNS是另一个看似无害但在云环境中可能变得非常棘手的问题。 

“在云环境的动态性质中 ，DNS暴露的风险很高 。例如
，你的团队在Azure上设置了一个带有azurewebsites.net DNS的网站，并为自己创建了一个CNAME并指向该网站 ，”他解释道。“如果你删除了该网站（这是常见的操作），但没有删除CNAME ，那么攻击者可以利用你的悬空DNS进行伪装 ，这并不是云独有的问题，但云的动态性使得意外留下悬空DNS指针的可能性大大增加。” 

当某人在云中配置资源时，它会被赋予一个名称 ，“但没有人会记住那个名称 ，”Winckless说 ，所以它被扔进了DNS中。“攻击者可以注册那个底层域名 ，并在上面放置他们想要的任何内容 ，看起来非常像一个合法的企业文件。” 

API访问是潜在的安全事故 

API可能是云结构的精髓 
，但它们也为攻击者提供了许多切入点。 

“应用程序中的本地API密钥是一个令人惊讶的常见但被忽视的云安全漏洞。举个例子 ，一名员工被解雇了 ，你禁用了该用户的单点登录（SSO），”身份治理公司ConductorOne的CTO Paul Querna说。“在许多情况下 ，本地API密钥在SSO被禁用后仍然可以继续工作 
，这是因为本地API密钥独立于用户的SSO状态运行，当SSO关闭时不会自动撤销
，这意味着该用户可能仍然能够访问某些系统或数据 ，这构成了严重的安全风险 。” 

ISG的Saylors同意这一观点，强调了访问API的自定义代码的安全问题。他举了一个在所有主要云平台上都有业务存在的企业的例子 。 

“假设有人正在使用这些提供商，他们可能有一个通用的身份平台 ，比如SailPoint
。如果SailPoint将数据流传输到AWS 、Microsoft及其他平台，它可能允许在这些超大规模云环境中的所有客户信息的访问 ，它可能允许在云中有限的数据访问 。现在假设攻击者正在针对那个AWS API。如果该客户在这些云平台上使用相同的凭据 ，”这可能会提供广泛的访问权限，他说。 

IMDSv2：你不知道的可能会毁掉你的云 

2024年3月 ，Amazon悄悄地更新了AWS平台的一个关键部分：实例元数据服务（IMDS）。Pluralsight的Firment表示，一些安全运营中心（SOC）“可能甚至没有意识到他们在使用[IMDS]”，因此他们的操作面临与元数据暴露相关的严重“安全威胁”。 

“AWS使用IMDS存储其他应用程序和服务使用的安全凭据 ，并通过REST API提供这些信息。攻击者可以利用服务器端请求伪造（SSRF）从IMDS窃取凭据  ，从而以实例角色的身份进行横向移动或数据盗窃，”Firment解释道 ，“AWS推出了IMDS的新版本，即版本2，以提高对未授权元数据的安全性，尽管许多组织仍将原始的IMDSv1作为默认设置 。为了帮助CISO们堵住这一潜在的安全漏洞，AWS最近宣布，可以将所有新启动的Amazon EC2实例默认设置为更安全的IMDSv2 。” 

Firment指出，IMDSv2“于2019年11月由AWS推出，但直到2024年3月才引入将默认设置为新版本的功能。因此 ，许多组织仍继续使用原本存在漏洞的IMDSv1
。值得注意的是，默认设置只适用于新启动的实例，因此使用IMDSv1的现有实例仍需要重新配置 。” 

“对于大多数组织来说，这构成了相当大的威胁。可能没有足够的意识到需要将所有人切换到新版本
，”他说
 ，并补充道，风险在于攻击者“可能会窃取凭据，并在你的组织内横向移动。”