云的错误配置正成为企业面临的另一个风险。在RSA 2020大会上,McAfee的高级副总裁兼首席技术官Steve Grobman解释了利用云错误配置是多么容易,云错误配置对于企业来说是一个代价高昂的安全问题。他将网络安全比作传染病控制:一门不完善的科学。
他说:“我们知道应对流感的方法就是注射流感疫苗。”“如果事情真的那么简单,我们就给每个人都打预防针,然后就收工了。”
参见:如何预防云计算中的11大威胁(免费PDF)(TechRepublic)
Grobman说,早在冠状病毒成为国际问题之前,他就选择了11月的主题演讲。他当时的设想是,一组研究人员对一种病毒的基因组进行排序,以说明通过云共享数据会导致安全漏洞。
Grobman描述了一个假设的案例,研究人员希望共享只能通过虚拟私有云访问的数据,而不是通过互联网。
研究人员使用反向代理服务器来获取没有直接暴露的数据,这是一种快速但不安全的解决方案,Grobman说。
“他们是流行病学家,不是安全专家,”他说。
反向代理服务器代表客户机从一个或多个服务器检索资源。然后将这些资源返回给客户机,就好像它们来自代理服务器本身一样。
这个用于共享研究数据的反向代理服务器既可以访问研究人员想要共享的数据,也可以访问他们不想共享的数据。
然后,Grobman遍历了黑客寻找这个漏洞的过程。
第一步是查看是否有默认访问权限。下一步是检查到反向代理服务器的连接。
在他讲话时,检查这些漏洞的代码在他身后的屏幕上滚动显示。
“接下来,我们发现我们可以访问存储实例元数据的URL,”他说。
实例元数据是关于用于配置或管理实例的云实例的信息,包括主机名、事件和安全组。
最后一步是检查访问权限。在这种情况下,黑客拥有完全的简单存储服务(S3)访问权。
“这是攻击者正在寻找的圣杯,”格鲁曼说。
通过访问这些信息,攻击者可以更改数据桶的内容,以及访问和控制它们。在这个为rsa编写的故事中,数据文件包含了研究人员希望保密的重要信息。
他说:“我们现在用这么简单的一次攻击就窃取了最高机密数据,这只是Mitre攻击矩阵中43种特定于云的技术之一。”
Grobman说,除了确保云配置是安全的外,安全团队今天还必须应对未来的安全风险。
量子计算的进步将是一把双刃剑,其负面影响是对现有加密系统的威胁。
“国家将使用量子计算来破解我们的公钥加密系统,”他说。“我们的对手今天就能得到数据,指望明天quantum能解锁。”
格鲁曼说,公司需要考虑需要保护数据多长时间。
他说:“即使在2020年,由于今天的国家安全考虑,国家档案馆中与肯尼迪任务有关的文件仍然在修订信息。”
格鲁曼希望NIST能更快地找到后量子生态系统的解决方案。
他表示:“我们需要尽快推出抗量子算法。”“只要我们不忽视针对平台的威胁,我相信我们可以做这些事情。”
这是您获取AWS、Microsoft Azure、谷歌云平台、XaaS、云安全等最新信息的首选资源。星期一交付