云错误配置绝非易事。DivvyCloud 在其“ 2020年云配置错误报告”中透露,在2018年1月1日至2019年12月31日期间,有196项涉及云配置错误的单独数据泄露给公司造成了总计约5万亿美元的损失。问题是这些成本可能更高; 根据ZDNet的报告,有99%的IaaS问题未报告。因此,组织可能会在不知情的情况下从其云环境中泄漏数据。
这一现实提出了几个问题。IT专业人员是否担心雇主的云环境针对配置错误事件的安全性?他们有什么安全控制措施来减轻这些风险?
为了回答这些问题,Tripwire与Dimensional Research合作调查了310名专业人员,这些专业人员在拥有100多名员工的组织中对公共云环境负有IT安全责任。这些人来自十几个不同领域,在美洲,欧洲,中东和非洲以及亚太地区担任过各种领导职务。他们的回应有助于阐明组织云环境的数字弹性,以及IT专业人员如何看待其雇主的云安全状况。
缺乏技术控制强调了云安全问题
Tripwire调查的受访者表示,他们特别担心雇主的云安全性。实际上,有37%的参与者表示云中的风险管理功能至少比组织基础架构的其他部分要差一些。因此,随之而来的是,许多IT专业人员担心某些数字威胁可能会对雇主的基于云的资产产生影响。恰当的例子是,大多数人(93%)表示担心人为错误可能导致其雇主意外暴露其托管在云中的数据。
调查:76%的IT专业人员表示难以在云中维护安全配置
这些发现恰逢许多组织缺乏适当的云安全控制措施。例如,只有21%的受访者告知Dimensional Research,他们的雇主实时或近乎实时地评估了其云安全状况。对于实施每周评估的人员来说,这是相同的比率,这仅比其组织实施每月测试的IT专业人员所占比例为22%。
76%的IT专业人员表示难以在云中维护安全配置(2)
企业需要实时了解其云安全状况。如果没有动态查看其环境的信息,他们可能无法在潜在问题演变成安全事件之前对其进行补救。这可能使数字攻击者可以针对其基于云的资产和数据。
同样,将近四分之一(22%)的调查参与者承认其组织因使用手动流程来评估其云安全状况而陷入困境。这些类型的评估的问题在于,安全专业人员很容易忘记在评估中包括一些内容。不仅如此,而且这些人员一天到一天都需要处理许多不同的任务,一天中只有24个小时,云安全性可能会受到检查。这也将为寻求从组织的云环境中获取数据并从中窃取数据的恶意参与者创造机会。
IT专业人员告诉Dimensional Research,其他安全挑战可能会进一步阻碍其雇主的云安全性。其中包括以下内容:
超过四分之三(76%)的安全专业人员表示,他们的组织很难在云中维护安全配置。
只有22%的调查参与者表示,他们的组织保持对云安全法规和标准的持续合规性。远远超过这一数字(58%)承认其雇主改为进行定期审查。
几乎所有受访者(92%)表示,他们的雇主将从安全实施自动化中的更多自动化中受益。尽管91%的IT专业人员透露他们的雇主已经在云中使用某种形式的自动执行,但这种信念仍然盛行。
IT专业人员说很难在云中维护安全配置(2)
适用于某些受访者雇主的安全框架
许多组织确实采取了一些云安全措施。大约一半的调查参与者告诉Dimensional Research,他们的组织使用NIST的安全框架来保护其云环境。稍低的调查参与者(46%)表示,他们使用了Internet安全中心云基准测试,而只有19%的受访者表示,他们的组织利用了国防信息系统局(DISA)开发的控件。
即使这样,这些安全框架也无法减轻维护云中安全性的负担。这是产品管理和策略副总裁Tim Erlin:
安全团队正在处理更为复杂的环境,如果没有正确的策略和资源,要保持在不断增长的云资源之上可能非常困难。幸运的是,有一些完善的框架,例如CIS的云基准测试,为保护云安全提供了优先的建议。但是,正在进行的维护适当的安全控制的工作常常被撤消,或者对资源施加了过多压力,并导致人为错误。
承认这一事实,组织明智的是自动化其云帐户安全性。他们可以专门使用Tripwire Configuration Manager之类的解决方案来自动执行配置策略,从而最大程度地减少人为错误。这些工具应可跨多个云环境工作,以为组织提供全面的可见性。
有关更详细的发现,请查看Tripwire的调查。
文章转自:tripwire / 免责声明:文章系本站编辑转载,转载目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请及时联系我们,我们将会在 24 小时内删除内容!