云的錯誤配置正成為企業(yè)面臨的另一個風(fēng)險。在RSA 2020大會上，McAfee的高級副總裁兼首席技術(shù)官Steve Grobman解釋了利用云錯誤配置是多么容易，云錯誤配置對于企業(yè)來說是一個代價高昂的安全問題。他將網(wǎng)絡(luò)安全比作傳染病控制:一門不完善的科學(xué)。

他說:“我們知道應(yīng)對流感的方法就是注射流感疫苗。”“如果事情真的那么簡單，我們就給每個人都打預(yù)防針，然后就收工了?！?/p>

參見:如何預(yù)防云計算中的11大威脅(免費PDF)(TechRepublic)

Grobman說，早在冠狀病毒成為國際問題之前，他就選擇了11月的主題演講。他當(dāng)時的設(shè)想是，一組研究人員對一種病毒的基因組進行排序，以說明通過云共享數(shù)據(jù)會導(dǎo)致安全漏洞。

Grobman描述了一個假設(shè)的案例，研究人員希望共享只能通過虛擬私有云訪問的數(shù)據(jù)，而不是通過互聯(lián)網(wǎng)。

研究人員使用反向代理服務(wù)器來獲取沒有直接暴露的數(shù)據(jù)，這是一種快速但不安全的解決方案，Grobman說。

“他們是流行病學(xué)家，不是安全專家，”他說。

反向代理服務(wù)器代表客戶機從一個或多個服務(wù)器檢索資源。然后將這些資源返回給客戶機，就好像它們來自代理服務(wù)器本身一樣。

這個用于共享研究數(shù)據(jù)的反向代理服務(wù)器既可以訪問研究人員想要共享的數(shù)據(jù)，也可以訪問他們不想共享的數(shù)據(jù)。

然后，Grobman遍歷了黑客尋找這個漏洞的過程。

第一步是查看是否有默認訪問權(quán)限。下一步是檢查到反向代理服務(wù)器的連接。

在他講話時，檢查這些漏洞的代碼在他身后的屏幕上滾動顯示。

“接下來，我們發(fā)現(xiàn)我們可以訪問存儲實例元數(shù)據(jù)的URL，”他說。

實例元數(shù)據(jù)是關(guān)于用于配置或管理實例的云實例的信息，包括主機名、事件和安全組。

最后一步是檢查訪問權(quán)限。在這種情況下，黑客擁有完全的簡單存儲服務(wù)(S3)訪問權(quán)。

“這是攻擊者正在尋找的圣杯，”格魯曼說。

通過訪問這些信息，攻擊者可以更改數(shù)據(jù)桶的內(nèi)容，以及訪問和控制它們。在這個為rsa編寫的故事中，數(shù)據(jù)文件包含了研究人員希望保密的重要信息。

他說:“我們現(xiàn)在用這么簡單的一次攻擊就竊取了最高機密數(shù)據(jù)，這只是Mitre攻擊矩陣中43種特定于云的技術(shù)之一?！?/p>

Grobman說，除了確保云配置是安全的外，安全團隊今天還必須應(yīng)對未來的安全風(fēng)險。

量子計算的進步將是一把雙刃劍，其負面影響是對現(xiàn)有加密系統(tǒng)的威脅。

“國家將使用量子計算來破解我們的公鑰加密系統(tǒng)，”他說。“我們的對手今天就能得到數(shù)據(jù)，指望明天quantum能解鎖?！?/p>

格魯曼說，公司需要考慮需要保護數(shù)據(jù)多長時間。

他說:“即使在2020年，由于今天的國家安全考慮，國家檔案館中與肯尼迪任務(wù)有關(guān)的文件仍然在修訂信息?！?/p>

格魯曼希望NIST能更快地找到后量子生態(tài)系統(tǒng)的解決方案。

他表示:“我們需要盡快推出抗量子算法?！薄爸灰覀儾缓鲆曖槍ζ脚_的威脅，我相信我們可以做這些事情。”

這是您獲取AWS、Microsoft Azure、谷歌云平臺、XaaS、云安全等最新信息的首選資源。星期一交付