Permiso公司聯(lián)合首席執(zhí)行官Jason Martin說，“我們的發(fā)現(xiàn)既令人著迷又令人擔(dān)憂。在感知到的安全保護(hù)和殘酷的現(xiàn)實(shí)之間存在著明顯的差距。雖然企業(yè)對(duì)自己的網(wǎng)絡(luò)安全防御能力充滿信心，但他們認(rèn)可現(xiàn)有的風(fēng)險(xiǎn)做法，再加上對(duì)自己有效應(yīng)對(duì)違規(guī)行為的能力的巨大擔(dān)憂，不僅增加了被網(wǎng)絡(luò)攻擊可能性，而且意味著他們不太可能及時(shí)發(fā)現(xiàn)違規(guī)行為。”

 

 

該調(diào)查評(píng)估了受訪者的云安全實(shí)踐及其運(yùn)營環(huán)境的規(guī)模，包括他們管理的身份和機(jī)密數(shù)量、對(duì)網(wǎng)絡(luò)攻擊的響應(yīng)時(shí)間、訪問環(huán)境的不同方法，以及他們用來幫助保護(hù)環(huán)境的解決方案類型。它還評(píng)估了他們對(duì)自己的工具和團(tuán)隊(duì)防御或檢測(cè)環(huán)境中漏洞的能力的信心水平。

 

Permiso公司聯(lián)合首席執(zhí)行官Paul Nguyen補(bǔ)充說，“我們發(fā)現(xiàn)，大多數(shù)受訪者(70%)認(rèn)為他們對(duì)網(wǎng)絡(luò)攻擊的響應(yīng)時(shí)間在12到24小時(shí)之間。來自實(shí)際生產(chǎn)環(huán)境和事件響應(yīng)的數(shù)據(jù)表明，這個(gè)數(shù)字超過兩周(16天)。我們收集的調(diào)查數(shù)據(jù)存在明顯的脫節(jié)，當(dāng)將其與云計(jì)算環(huán)境中的實(shí)際數(shù)據(jù)進(jìn)行比較時(shí)，差距甚至更大。”

 

最終的報(bào)告提供了云安全當(dāng)前狀態(tài)的整體視圖，并提供了有關(guān)最佳實(shí)踐和潛在改進(jìn)領(lǐng)域的寶貴見解。

 

·50%的受訪者報(bào)告了因未經(jīng)授權(quán)訪問其云計(jì)算環(huán)境而導(dǎo)致的數(shù)據(jù)泄露。

 

·95%的受訪者表示擔(dān)心他們目前的工具和團(tuán)隊(duì)可能無法檢測(cè)和響應(yīng)云環(huán)境中的安全事件。

 

·55%的受訪者將他們的擔(dān)憂程度描述為“極度擔(dān)憂”和“非常擔(dān)憂”。

 

盡管在云環(huán)境中存在高風(fēng)險(xiǎn)的做法和對(duì)漏洞的普遍擔(dān)憂，但80%以上的受訪者認(rèn)為，他們現(xiàn)有的工具和配置足以保護(hù)他們的企業(yè)免受對(duì)其云計(jì)算環(huán)境精心策劃的網(wǎng)絡(luò)攻擊。

 

 

Permiso公司發(fā)現(xiàn)，對(duì)許多企業(yè)來說，跨內(nèi)部部署和云環(huán)境管理身份是一個(gè)越來越大的挑戰(zhàn)。80%以上的受訪者在他們的云環(huán)境中管理著至少1000個(gè)身份。大約44%的受訪者在內(nèi)部部署設(shè)施和云環(huán)境中管理著至少5000個(gè)身份。

 

許多企業(yè)在聯(lián)合環(huán)境中跨云身份驗(yàn)證邊界管理許多身份。這種管理使識(shí)別變更歸屬變得具有挑戰(zhàn)性，特別是當(dāng)操作涉及共享憑據(jù)和角色的時(shí)候。雖然25%的受訪者使用Federation來訪問他們的云計(jì)算環(huán)境，但只有50%以上的受訪者能夠完全了解這些Federated用戶的訪問活動(dòng)。

 

這種無法有效管理不斷增長(zhǎng)的身份的情況帶來了巨大的風(fēng)險(xiǎn)。46.4%的受訪者允許通過本地身份管理與訪問管理 (IAM)用戶訪問控制臺(tái)，這帶來了許多安全風(fēng)險(xiǎn)，并且違反了一些企業(yè)安全策略。在這些受訪者中，25%以上的人并不完全了解這些用戶的活動(dòng)。

 

此外，38%的受訪者還表示，他們利用長(zhǎng)期時(shí)效的密鑰來授予對(duì)其環(huán)境的訪問權(quán)限。盡管如此，其中近三分之一的受訪者并不知道如何使用這些密鑰訪問他們的環(huán)境。長(zhǎng)期時(shí)效的訪問密鑰可能會(huì)給企業(yè)帶來安全風(fēng)險(xiǎn)，并且它們的時(shí)效越長(zhǎng)，就越容易受到威脅。

 

 

隨著API驅(qū)動(dòng)的生態(tài)系統(tǒng)(例如CI/CD管道、數(shù)據(jù)湖和微服務(wù))數(shù)量的增加，企業(yè)需要保護(hù)應(yīng)用程序和服務(wù)之間連接的秘密(即密鑰/令牌/證書)數(shù)量也在增加。60%以上的受訪者在他們的云環(huán)境中管理著1000多個(gè)API秘密，30.9%的受訪者管理著2000多個(gè)API秘密。API和秘密的爆炸性增長(zhǎng)導(dǎo)致秘密以驚人的速度在開發(fā)和部署系統(tǒng)之間泄露。

 

 

許多企業(yè)意識(shí)到，許多保護(hù)其數(shù)據(jù)中心的安全工具和技術(shù)對(duì)于云計(jì)算是無效的。Permiso公司在調(diào)查中發(fā)現(xiàn)，云計(jì)算中采用的兩類最重要的工具是云計(jì)算提供商提供的工具和云安全態(tài)勢(shì)管理(CSPM)解決方案。

 

除了云安全態(tài)勢(shì)管理(CSPM)和安全信息和事件管理(SIEM)之外，許多企業(yè)還利用這些云原生工具的組合作為一組解決方案來幫助確保他們部署的工作負(fù)載是安全和合規(guī)的，并通過查詢?nèi)罩緛韼椭鷻z測(cè)其環(huán)境中的潛在威脅參與者。

 

 

除了采用和實(shí)施合理的安全實(shí)踐(例如高度限制或禁止使用根訪問或本地IAM用戶)、對(duì)任何控制臺(tái)訪問實(shí)施多因素身份驗(yàn)證(MFA)和嚴(yán)格的密鑰輪換以防止發(fā)生網(wǎng)絡(luò)攻擊之外，企業(yè)還可以采取許多步驟來更好地檢測(cè)其環(huán)境中的威脅參與者。

 

Martin總結(jié)說，“第一步是對(duì)環(huán)境中的身份進(jìn)行全面盤點(diǎn)，并對(duì)其潛在范圍進(jìn)行分類，以幫助確定其風(fēng)險(xiǎn)。還應(yīng)該同樣警惕地盤點(diǎn)和跟蹤在這些環(huán)境中使用的密鑰/令牌/憑證。最終，這些身份承擔(dān)了一個(gè)角色以進(jìn)行更改，這使得將行為追溯到單個(gè)身份變得非常困難。一旦真正掌握了環(huán)境中的身份和他們使用的憑證，就會(huì)想要基線活動(dòng)來了解用戶的‘正常’行為，這樣就可以根據(jù)日志制定規(guī)則和警報(bào)，以檢測(cè)環(huán)境中的非法訪問和行為異常。”

 

 

國內(nèi)主流的to B IT門戶，同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需在文章開頭注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。