圖1：云增長(cháng)與安全事件

　　為了了解新冠疫情在全球范圍內對企業(yè)安全態(tài)勢的影響，Unit 42云威脅情報團隊分析了2019年10月至2021年2月（疫情發(fā)生前后）全球數百個(gè)云賬戶(hù)的數據。我們的研究表明，云安全事件在2020年第二季度（4月至6月）增長(cháng)了驚人的188%。我們發(fā)現，雖然企業(yè)迅速將更多的工作負載轉移到云端，以應對疫情，但他們在數月后仍難以實(shí)現云安全自動(dòng)化并降低云風(fēng)險。雖然基礎設施即代碼（IaC）為DevOps和安全團隊提供了一種可預測的方式來(lái)執行安全標準，但這種強大的功能仍然沒(méi)有得到充分利用。

　　本報告詳細介紹了新冠疫情對云威脅環(huán)境的影響范圍，并解釋了在特定地區和行業(yè)中最普遍的風(fēng)險類(lèi)型。它還確定了企業(yè)可以采取的行動(dòng)步驟，以降低與云工作負載相關(guān)的安全風(fēng)險。

　　圖2：按行業(yè)分類(lèi)的安全事件增長(cháng)幅度

　　疫情爆發(fā)后，眾多企業(yè)的云工作負載部署規模大幅擴張，但云安全事件也有所增加。值得注意的是，零售業(yè)、制造業(yè)和政府部門(mén)的云安全事件分別增長(cháng)了402%、230%和205%。這種趨勢并不奇怪；這些行業(yè)是在疫情來(lái)臨時(shí)面臨調整和擴展規模最大壓力的行業(yè)之一，零售商提供基本生活必需品，而制造業(yè)和政府提供新冠疫情防治所需的各種物資和援助。

　　在抗擊疫情中發(fā)揮關(guān)鍵作用的行業(yè)正在努力保護其云工作負載，這凸顯了對云安全投資不足的危險。云安全事件的激增表明，雖然云可以讓企業(yè)快速擴展其遠程辦公能力，但圍繞DevOps和持續集成/連續交付（CI/CD）流程的自動(dòng)化安全控制往往滯后于這種快速移動(dòng)。

　　在疫情肆虐時(shí)，比特幣（BTC）、以太幣（ETH）和門(mén)羅幣（XMR）等加密貨幣的受歡迎程度和市場(chǎng)價(jià)值都在增長(cháng)。盡管如此，挖礦劫持正在呈下降趨勢：從2020年12月到2021年2月，只有17%擁有云基礎設施的企業(yè)有這種活動(dòng)的跡象，而從2020年7月到9月，這一比例為23%。這是自Unit 42在2018年開(kāi)始跟蹤挖礦劫持趨勢以來(lái)的首次下降記錄。企業(yè)似乎在通過(guò)工作負載運行時(shí)保護功能更主動(dòng)、有效地阻止挖礦劫持，以減少攻擊者在企業(yè)云環(huán)境中運行惡意挖礦軟件而不被發(fā)現的現象。

　　我們的研究結果表明，30%的企業(yè)將一些敏感內容暴露在互聯(lián)網(wǎng)上，如個(gè)人身份信息（PII）、知識產(chǎn)權、醫療保健和財務(wù)數據。任何知道或能猜到URL的人都可以訪(fǎng)問(wèn)這些數據。當這些數據直接暴露在互聯(lián)網(wǎng)上時(shí)，企業(yè)將面臨與未經(jīng)授權的訪(fǎng)問(wèn)和違反法規相關(guān)的重大風(fēng)險。這種程度的暴露表明，企業(yè)仍在努力為可能在云中運行的數百個(gè)數據存儲桶實(shí)施適當的訪(fǎng)問(wèn)控制，特別是當這些桶分布在多個(gè)云提供商和賬戶(hù)中時(shí)。

　　從我們的數據中得到的結論顯而易見(jiàn)：很多企業(yè)忽視了對云治理和自動(dòng)化安全控制的投資，而這些投資對確保他們的工作負載安全地遷移到云非常必要。反過(guò)來(lái)，他們又造成了嚴重的業(yè)務(wù)風(fēng)險，例如將未加密的敏感數據暴露在互聯(lián)網(wǎng)上，并通過(guò)開(kāi)放不安全的端口招致入侵。雖然我們在2020年的Unit 42云威脅報告中也發(fā)現了類(lèi)似問(wèn)題，但新冠疫情引發(fā)的眾多危機讓情況變得更普遍并具有挑戰性。

　　面對這一威脅，企業(yè)必須制訂一個(gè)云安全計劃，持續關(guān)注軟件開(kāi)發(fā)生命周期的各個(gè)階段。這樣做不僅可以讓企業(yè)在市場(chǎng)上勝出，而且可以建立可持續的云安全計劃，無(wú)論未來(lái)發(fā)生何種類(lèi)型的不可預知事件，都能擴展和收縮。

　　Unit 42的研究人員建議重點(diǎn)關(guān)注云安全中的幾個(gè)戰略領(lǐng)域。

　　簡(jiǎn)化云安全和合規的第一步是了解您的開(kāi)發(fā)人員和業(yè)務(wù)團隊目前如何使用云。這意味著(zhù)獲取并維護對云環(huán)境動(dòng)態(tài)的態(tài)勢感知，包括API和工作負載層。

　　捫心自問(wèn)：在我們的環(huán)境中，哪些錯誤配置是絕對不應該存在的？數據庫直接接收來(lái)自互聯(lián)網(wǎng)的流量就是一個(gè)范例。盡管這是一種“最糟糕的做法”，但我們的威脅研究表明，這種錯誤配置存在于 全球28%的云環(huán)境中。當發(fā)現這樣的錯誤配置時(shí)，您的安全護欄應該自動(dòng)糾正它們。如果您的企業(yè)還沒(méi)有這樣做，您應該認真考慮使用IaC模板作為左移時(shí)加強安全護欄的另一種方式。請確保掃描這些模板，發(fā)現常見(jiàn)的安全錯誤配置。

　　為尚未標準化的流程實(shí)現自動(dòng)化非常困難。許多團隊在談?wù)撟詣?dòng)化時(shí)，并沒(méi)有適當的安全標準。不要從零開(kāi)始。互聯(lián)網(wǎng)安全中心 （CIS）為所有主要的云平臺制定了基準，期望通過(guò)利用IaC來(lái)實(shí)現這些標準的自動(dòng)化和編纂。

　　與大多數傳統數據中心不同，公有云環(huán)境由API驅動(dòng)。成功的云風(fēng)險管理需要安全團隊能夠利用這些API來(lái)大規模管理工作負載的安全。如果您的安全團隊中沒(méi)有懂得如何編程和實(shí)現安全流程自動(dòng)化（作為CI/CD流程一部分）的工程師，API就很難使用。

　　努力規劃出您的企業(yè)如何將代碼推送到云中的人員、內容、時(shí)間和地點(diǎn)。完成這一步后，您的目標應該是為CI/CD流程中的安全進(jìn)程和工具找到破壞性最小的插入點(diǎn)。在這方面，盡早得到DevOps團隊的支持至關(guān)重要。在此基礎上，隨著(zhù)時(shí)間的推移，通過(guò)為盡可能多的操作實(shí)現自動(dòng)化來(lái)減少人為交互。

　　Prisma Cloud 每月分析超過(guò) 100億次安全事件。該分析表明，配置不當、放任的行為和缺乏策略會(huì )導致許多不良行為者和未識別的威脅被利用。通過(guò)主動(dòng)檢測安全性和合規性錯誤配置以及觸發(fā)自動(dòng)化工作流程響應，Prisma Cloud 能夠幫助用戶(hù)確保持續、安全地滿(mǎn)足動(dòng)態(tài)云工作負載的需求。

　　閱讀完整報告，敬請下載《2021年上半年Unit 42云威脅報告》

　　作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò )）正借助其先進(jìn)技術(shù)重塑著(zhù)以云為中心的未來(lái)社會(huì )，改變著(zhù)人類(lèi)和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò )安全伙伴，保護人們的數字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續性創(chuàng )新和突破，助力廣大客戶(hù)應對全球最為嚴重的安全挑戰。通過(guò)交付集成化平臺和推動(dòng)合作伙伴生態(tài)系統的不斷成長(cháng)，我們始終站在安全前沿，在云、網(wǎng)絡(luò )以及移動(dòng)設備方面為數以萬(wàn)計的組織保駕護航。我們的愿景是構建一個(gè)日益安全的世界。更多內容，敬請登錄Palo Alto Networks（派拓網(wǎng)絡(luò )）官網(wǎng)www.paloaltonetworks.com 。

　　Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊，是網(wǎng)絡(luò )威脅防御領(lǐng)域公認的權威，全球多家企業(yè)及政府機構經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專(zhuān)家。憑借這些專(zhuān)業(yè)知識，我們提供優(yōu)質(zhì)、深入的研究，以深入了解威脅執行者用來(lái)入侵組織的各種工具、技術(shù)和程序。我們的目標是盡可能提供背景信息，解釋攻擊的具體細節、攻擊的執行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。