数据观澜数据库
快捷导航
您的位置:首页>电脑教程>>聊聊前五名云安全风险 >

聊聊前五名云安全风险

  发布时间:2025-12-07 14:58:00   作者:玩站小弟   我要评论
云安全专家 Qualys 从其自己的平台和第三方汲取见解和数据,提供了对前五名云安全风险的看法。五个关键风险领域是错误配置、面向外部的漏洞、武器化漏洞、云环境内的恶意软件以及修复滞后即修补延迟)。20 。

云安全专家 Qualys 从其自己的聊聊平台和第三方汲取见解和数据 ,提供了对前五名云安全风险的前名全风看法。

五个关键风险领域是云安错误配置 、面向外部的聊聊漏洞、武器化漏洞、前名全风云环境内的云安恶意软件以及修复滞后(即修补延迟) 。

2023 年 Qualys 云安全洞察报告 ,聊聊提供了有关这些风险领域的前名全风更多详细信息。毫无疑问,云安错误配置是聊聊第一个。亿华云早在 2020 年 1 月,前名全风美国国家安全局 (NSA) 就警告称 ,云安配置错误是聊聊云资产的主要风险领域,而且似乎没有什么变化。前名全风Qualys 和 NSA 都指出 ,云安对云服务提供商 (CSP) 和云消费者之间共同责任概念的误解或回避是错误配置的主要原因 。

Tigera 首席营销官 Utpal Bhatt 解释说:“在共担责任模式下,CSP 负责监控和响应云和基础设施(包括服务器和连接)的威胁 。他们还有望为客户提供保护其工作负载和数据所需的功能。香港云服务器使用云的组织负责保护云中运行的工作负载 。工作负载保护包括安全工作负载状态 、运行时保护 、威胁检测 、事件响应和风险缓解。”

虽然 CSP 提供安全设置 ,但将数据部署到云的速度和简单性往往会导致这些控制措施被忽视,而补偿消费者控制措施则不够充分。误解或误用共同责任的划分会给辩护留下漏洞;Qualys 指出,“这些安全‘漏洞’可以快速打开云环境,并将敏感数据和资源暴露给攻击者。”

Qualys 发现 60% 的云计算 Google Cloud Platform (GCP) 使用情况、57% 的 Azure 和 34% 的 Amazon Web Services (AWS) 使用情况都存在配置错误(根据 CIS 基准衡量)。

图片

Qualys 威胁研究部门副总裁 Travis Smith 表示 :“AWS 配置比 Azure 和 GCP 的配置更安全的原因可能在于其更大的市场份额……与其他 CSP 相比 ,有更多关于保护 AWS 的材料市场 。”

该报告敦促更多地使用互联网安全中心(CIS)基准来强化云环境 。“没有组织会部署 100% 的覆盖率 ,”Smith 补充道 ,“但如果组织希望降低在云中遇到安全事件的风险,源码下载则应强烈考虑将 [映射到 MITRE ATT&CK 策略和技术的 CIS 基准] 作为基线部署”。

第二大风险来自包含已知漏洞的外部资产 。攻击者可以扫描具有公共 IP 的云资产以查找漏洞  。以Log4Shell(面向外部的漏洞)为例。“如今,Log4Shell 及其已知的次要漏洞已经有了补丁,”Qualys 说 。“但不幸的是,Log4Shell 仍然没有得到修复,高防服务器在面向外部的云资产上有 68.44% 的检测结果未打补丁 。”

Log4Shell 还说明了第三种风险:武器化漏洞。报告称:“武器化漏洞的存在就像给任何人一把通往你的云的钥匙。” Log4Shell 允许攻击者在记录字符串时通过操纵特定的字符串替换表达式来执行任意 Java 代码或泄露敏感信息 。它很容易利用并且在云中无处不在 。

“Log4Shell 于 2021 年 12 月首次检测到,并继续困扰全球企业 。我们已检测到 100 万个 Log4Shell 漏洞 ,其中只有 30% 成功修复 。由于复杂性 ,免费模板修复 Log4Shell 漏洞平均需要 136.36 天(约四个半月) 。”

第四个风险是您的云中已经存在恶意软件 。虽然这并不自动意味着“游戏结束”,但如果不采取任何行动,游戏很快就会结束 。“云资产面临的两个最大威胁是加密货币挖矿和恶意软件;两者的设计目的都是为了在您的环境中提供立足点或促进横向移动,”报告称。“加密货币挖矿造成的关键损害是基于计算周期成本的浪费。”

虽然这对矿工来说可能是正确的 ,但值得记住的是,矿工找到了进入的方法 。鉴于暗网中信息共享的效率 ,该路线很可能会被其他犯罪分子所知 。2022 年 8 月 ,Sophos报告了“多方”攻击 ,其中矿工往往是带头攻击 。Sophos当时 告诉《安全周刊》 ,“加密货币矿工应该被视为煤矿里的金丝雀——这是几乎不可避免的进一步攻击的初步迹象。”

简而言之,如果您在云中发现加密货币挖矿程序,请开始寻找其他恶意软件 ,并找到并修复挖矿程序的进入路径。

第五个风险是漏洞修复缓慢 ,即补丁时间过长。我们已经看到 Log4Shell 的修复时间超过 136 天(如果确实完成的话)。同样的一般原则也适用于其他可修补的漏洞 。

有效的修补可以快速减少系统中的漏洞数量并提高安全性。统计数据表明 ,通过某种自动化方法可以更有效地执行此操作。报告称,“几乎在所有情况下,自动修补都被证明是比手动工作更有效地部署关键补丁并让您的业务更安全的补救途径。”

对于非 Windows 系统,自动修补的效果是修补率提高 8%  ,修复时间缩短两天。

与补救风险相关的是技术债务的概念——继续使用支持终止 (EOS) 或生命周期终止 (EOL) 产品。这些产品不再受到供应商的支持 - 将没有补丁可供实施 ,并且未来的漏洞将自动成为零日威胁,除非您可以采取其他补救措施 。 

报告指出 :“我们的调查期间发现超过 6000 万个应用程序已终止支持 (EOS) 和终止生命周期 (EOL)。” 此外,“在接下来的 12 个月内 ,超过 35,000 个应用程序将停止支持 。”

防御团队需要优先考虑这些风险中的每一个。消费者使用云的速度和攻击者滥用云的速度表明 ,防御者应尽可能采用自动化和人工智能来保护其云资产。“自动化是云安全的核心 ,”Bhatt 评论道,“因为在云中,计算资源数量众多且不断变化。”

  • Tag:

相关文章

  • Google 再提高 Chrome 漏洞赏金数额,最高可达25万美元

    近日,谷歌公司宣布通过其漏洞奖励计划报告的Google Chrome单一漏洞的最高奖励金额已超过25万美元。从8月28日起,谷歌将根据研究人员报告的漏洞质量来对内存损坏漏洞加以区分。奖励金额将从展示C
    2025-12-07

  • 在 Linkerd 中使用 mTLS 保护应用程序通信

    安全性是云原生应用程序的重中之重,虽然安全性是一个非常广泛的话题,但 Linkerd 依然可以发挥重要作用:其双向 TLSmTLS)功能是为了在 Kubernetes 中实现零信任的安全方法。零信任安
    2025-12-07

  • Realtek爆出关键漏洞,影响多款网络设备

    Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片SoC)的网络设备。该漏洞被追踪为 CVE-2022-27
    2025-12-07

  • 主动安全策略有效应用的八个关键条件

    在数字化转型快速发展的背景下,企业传统的生产体系、业务环境逐渐由封闭转向开放,其业务呈现出泛在分布、移动应用、云化部署、弹性扩展等趋势。随着企业数字化发展需求不断升级、网络接入方式更加多元,以“被动防
    2025-12-07

  • 别让加密难倒你:Python爬虫攻克加密网站的实战教程

    今天有个朋友向我求助,希望我帮他爬取一个网站上的内容。网站内容如下:复制aHR0cHM6Ly93d3cuY2NwcmVjLmNvbS9uYXZDcXpyLyMvCg==1.
    2025-12-07

  • 恶意软件时如何伪装的,这份报告给出了答案

    恶意软件设计和部署的关键之处,在于将自己伪装成合法的APP,欺骗用户用户下载和运行恶意文件,以此感染目标设备和系统。为了更好地进行伪装,恶意软件制作者在设计之初就会使用各种技巧和方法。例如将恶意软件可
    2025-12-07

最新评论