即使在那些经历过未经授权访问或数据泄露的企业中,对企业对免受网络攻击的高信心水平也会持续存在。
Permiso公司联合首席执行官Jason Martin说,“我们的发现既令人着迷又令人担忧。在感知到的安全保护和残酷的现实之间存在着明显的差距。虽然企业对自己的网络安全防御能力充满信心,但他们认可现有的风险做法,再加上对自己有效应对违规行为的能力的巨大担忧,不仅增加了被网络攻击可能性,而且意味着他们不太可能及时发现违规行为。”
云安全实践
该调查评估了受访者的云安全实践及其运营环境的规模,包括他们管理的身份和机密数量、对网络攻击的响应时间、访问环境的不同方法,以及他们用来帮助保护环境的解决方案类型。它还评估了他们对自己的工具和团队防御或检测环境中漏洞的能力的信心水平。
Permiso公司联合首席执行官Paul Nguyen补充说,“我们发现,大多数受访者(70%)认为他们对网络攻击的响应时间在12到24小时之间。来自实际生产环境和事件响应的数据表明,这个数字超过两周(16天)。我们收集的调查数据存在明显的脱节,当将其与云计算环境中的实际数据进行比较时,差距甚至更大。”
最终的报告提供了云安全当前状态的整体视图,并提供了有关最佳实践和潜在改进领域的宝贵见解。
- 50%的受访者报告了因未经授权访问其云计算环境而导致的数据泄露。
- 95%的受访者表示担心他们目前的工具和团队可能无法检测和响应云环境中的安全事件。
- 55%的受访者将他们的担忧程度描述为“极度担忧”和“非常担忧”。
尽管在云环境中存在高风险的做法和对漏洞的普遍担忧,但80%以上的受访者认为,他们现有的工具和配置足以保护他们的企业免受对其云计算环境精心策划的网络攻击。
需要管理的身份越来越多
Permiso公司发现,对许多企业来说,跨内部部署和云环境管理身份是一个越来越大的挑战。80%以上的受访者在他们的云环境中管理着至少1000个身份。大约44%的受访者在内部部署设施和云环境中管理着至少5000个身份。
许多企业在联合环境中跨云身份验证边界管理许多身份。这种管理使识别变更归属变得具有挑战性,特别是当操作涉及共享凭据和角色的时候。虽然25%的受访者使用Federation来访问他们的云计算环境,但只有50%以上的受访者能够完全了解这些Federated用户的访问活动。
这种无法有效管理不断增长的身份的情况带来了巨大的风险。46.4%的受访者允许通过本地身份管理与访问管理 (IAM)用户访问控制台,这带来了许多安全风险,并且违反了一些企业安全策略。在这些受访者中,25%以上的人并不完全了解这些用户的活动。
此外,38%的受访者还表示,他们利用长期时效的密钥来授予对其环境的访问权限。尽管如此,其中近三分之一的受访者并不知道如何使用这些密钥访问他们的环境。长期时效的访问密钥可能会给企业带来安全风险,并且它们的时效越长,就越容易受到威胁。
公开的秘密
随着API驱动的生态系统(例如CI/CD管道、数据湖和微服务)数量的增加,企业需要保护应用程序和服务之间连接的秘密(即密钥/令牌/证书)数量也在增加。60%以上的受访者在他们的云环境中管理着1000多个API秘密,30.9%的受访者管理着2000多个API秘密。API和秘密的爆炸性增长导致秘密以惊人的速度在开发和部署系统之间泄露。
云环境安全的新方法
许多企业意识到,许多保护其数据中心的安全工具和技术对于云计算是无效的。Permiso公司在调查中发现,云计算中采用的两类最重要的工具是云计算提供商提供的工具和云安全态势管理(CSPM)解决方案。
除了云安全态势管理(CSPM)和安全信息和事件管理(SIEM)之外,许多企业还利用这些云原生工具的组合作为一组解决方案来帮助确保他们部署的工作负载是安全和合规的,并通过查询日志来帮助检测其环境中的潜在威胁参与者。
提出的建议
除了采用和实施合理的安全实践(例如高度限制或禁止使用根访问或本地IAM用户)、对任何控制台访问实施多因素身份验证(MFA)和严格的密钥轮换以防止发生网络攻击之外,企业还可以采取许多步骤来更好地检测其环境中的威胁参与者。
Martin总结说,“第一步是对环境中的身份进行全面盘点,并对其潜在范围进行分类,以帮助确定其风险。还应该同样警惕地盘点和跟踪在这些环境中使用的密钥/令牌/凭证。最终,这些身份承担了一个角色以进行更改,这使得将行为追溯到单个身份变得非常困难。一旦真正掌握了环境中的身份和他们使用的凭证,就会想要基线活动来了解用户的‘正常’行为,这样就可以根据日志制定规则和警报,以检测环境中的非法访问和行为异常。”