如果您仍在運營數據中心基礎設施，防范勒索軟件攻擊必須是您公司整體網絡安全戰略的一部分。但云基礎設施面臨著另一種威脅，勒索軟件并不是一個大因素。喬希·斯特拉探究了原因。

馬里蘭州弗雷德里克——(商業連線)——在一段簡短的視頻講解和評論中，Snyk首席架構師、云安全和合規SaaS公司Fugue的創始首席技術官喬什·斯特拉(Josh Stella)與商業和安全領導人討論了云為什么一般不受勒索軟件的影響，并分析了云環境面臨的最大威脅。

勒索軟件在本月早些時候成為全球新聞頭條。此前，豐田汽車公司(Toyota Motor Corp.)的一家零部件供應商遭到成功襲擊，迫使該公司在日本關閉了14家工廠一天，導致其約1.3萬輛汽車的總產量停產。

這次襲擊是勒索軟件對所有行業構成威脅的最新例子。最新一期的SoCiWalk年度威脅報告指出，2021的勒索攻擊量自2019以來上升了231.7%。由網絡安全和基礎設施安全局(CISA)、聯邦調查局(FBI)和美國國家安全局(NSA)聯合發布的一份咨詢報告顯示，最新的趨勢是勒索軟件即服務——一群壞人基本上是將勒索軟件工具和技術“特許”給組織較少或技能較低的黑客。

顯然，如果您仍在運營數據中心基礎設施而不是云基礎設施，那么防范勒索軟件攻擊必須是您公司整體網絡安全戰略的一部分。強化數據中心和端點以防止勒索軟件攻擊是強制性的，但云基礎設施面臨著另一種威脅。如果你的組織都在云端，勒索軟件就不那么令人擔心了。

什么是勒索軟件?

不要將勒索軟件攻擊與數據泄露混為一談，后者涉及被盜數據。勒索軟件的目的不是竊取您的數據(盡管在勒索軟件攻擊期間也可能發生這種情況)，而是控制存儲或加密您的數據的系統，并阻止您訪問數據——直到您支付了贖金。在恢復對數據的訪問之前，這會有效地關閉操作，從而對組織造成毀滅性的影響。

雖然勒索軟件是一個主要的網絡安全威脅，但我們并沒有看到針對云環境的勒索軟件攻擊。原因涉及云基礎設施和數據中心基礎設施之間的根本區別。

新的威脅形勢

您的云環境不僅僅是現場數據中心和IT系統的遠程副本。云計算是100%由應用程序編程接口(API)驅動的軟件，API是允許不同應用程序相互交互的軟件“中間商”。控制平面是配置和操作云的API表面。

例如，您可以使用控制平面來構建虛擬服務器、修改網絡路由，以及訪問數據庫中的數據或數據庫的快照(這些數據庫實際上是云黑客比實時生產數據庫更常見的目標)。API控制平面是您的組織用于配置和操作云的API的快速增長的集合。

亞馬遜、谷歌和微軟等所有云平臺提供商的首要任務是確保數據的健壯性和彈性。在云中復制數據既簡單又便宜，而且架構良好的云環境確保了數據的多個備份。這是阻止攻擊者使用勒索軟件的關鍵因素：數據的多個副本會使攻擊者無法將您鎖定。如果攻擊者能夠加密您的數據并要求您支付贖金，您只需在加密之前恢復到最新版本的數據即可。

AWS、谷歌和微軟為數十萬運行著數百萬臺服務器和網絡的客戶構建的冗余和恢復能力，對于您自己的數據中心基礎設施來說是不可能復制的。而且，如果您對內部系統的訪問被剝奪并加密，您在不支付贖金的情況下重新獲得訪問權限可能非常困難——在某些情況下實際上是不可能的。

云中的安全性是不同的，因為它是良好設計和架構的功能，而不是入侵檢測和安全分析。黑客并不是為了把你鎖在系統之外而試圖侵入你的網絡;他們試圖利用云的錯誤配置，使他們能夠針對您的云控制平面API進行操作，并從您的下方竊取您的數據。

什么是云的錯誤配置?

錯誤配置可能會有所不同，從看似簡單的單個資源錯誤配置(例如保持端口打開)到攻擊者用來將小錯誤配置轉化為大爆炸半徑的重大架構設計缺陷。我可以保證，如果您的組織在云中運行，您的環境將同時存在這兩種漏洞。好消息是，因為云基礎設施是可以編程的軟件，所以可以通過使用策略作為代碼的軟件工程方法來防止此類攻擊。

以策略作為代碼構建云安全

當開發者在云中構建應用程序時，他們也在為應用程序構建基礎設施，而不是購買物理基礎設施并在其中部署應用程序。設計和構建云基礎設施的過程是用代碼完成的，這意味著開發人員擁有這個過程，這從根本上改變了安全團隊的角色。

在一個完全由軟件定義的世界中，安全性的角色是領域專家，他將知識傳授給開發人員，以確保他們在安全的環境中工作。這些知識以自動化開發工具的形式提供，該工具將策略作為代碼，而不是用人類語言編寫的清單和策略文檔。

策略代碼使您的團隊能夠用編程語言表達安全性和法規遵從性規則，應用程序可以使用該語言檢查配置的正確性。它旨在檢查其他代碼和運行環境是否存在不必要的條件或不應該出現的情況。它使所有云涉眾能夠安全地運行，而不會對規則是什么以及在軟件開發生命周期(SDLC)的兩端應該如何應用這些規則產生任何歧義或分歧。

云安全必須自動化

同時，策略即代碼自動化了不斷搜索和糾正錯誤配置的過程。從長遠來看，沒有其他方法能在這方面取得成功，因為問題空間不斷擴大。云服務的數量在不斷增長，部署的數量在不斷增長，資源的數量也在不斷增長。因此，您必須實現自動化，以使安全專業人員無需花費大量時間手動監控錯誤配置，并使開發人員能夠以一種靈活的方式編寫代碼，這種方式可以隨著時間的推移而改變，并且可以結合新的知識，例如最新的大數據泄露事件，從而成為新聞頭條。

強化你的云安全姿態

實施了有效云安全計劃的組織都有一些特征，任何企業都可以效仿這些特征來強化其云安全態勢：

• 了解你的環境。每周或每季度進行云安全審計是不夠的，因為云環境在不斷變化，黑客使用自動化來檢測他們可以利用的錯誤配置。持續調查您的云環境，包括所有資源和配置，以隨時保持態勢感知。
• 積極主動，不要被動。將您的安全意識轉向防止錯誤配置漏洞，遠離入侵檢測和攔截。云控制飛機泄露攻擊發生得太快，任何團隊或技術都無法阻止正在進行的攻擊。
• 授權你的開發者。通過使用自動化的安全工具將策略作為代碼，讓開發人員參與到這個過程中來。畢竟，既然你現在把重點放在預防上，那么誰能比構建這些環境和系統的工程師更好地防止錯誤配置呢?
• 衡量并實施。成功的組織衡量什么是重要的，以了解他們的立場，他們要去哪里，并量化他們在預防漏洞和由此產生的安全事件方面的進展。最終，他們全面實施云安全，以最小化風險，最大限度地提高云中的創新速度。

我不想淡化勒索軟件攻擊對您的組織構成的威脅，并鼓勵您訪問www.StopRansomware.gov，美國聯邦政府學習如何保護自己不成為勒索軟件受害者的資源。

但我還想強調的是，盡管您的云環境不太容易受到勒索軟件的攻擊，但隨著您采用更多基于云的平臺和服務，由于錯誤配置而導致數據泄露的風險很高，而且還在不斷增加。

最好的防御是預防。在開發階段、持續集成/持續交付(CI/CD)管道和運行時將策略用作代碼，以快速識別和糾正錯誤配置。隨著成熟度的提高，這些步驟可以在整個DevOps流程中操作，從而使整個流程自動化且高效。