生活中只有三件事是不可避免的:死亡、税收和云安全漏洞。现在世界已经开始迁移到云,但云安全(包括公共云和混合云)的安全漏洞仍然像银屑病广告一样顽固。
事实上,云安全问题之所以继续发生,是因为它难以言喻。在高度动态的云环境中管理风险和漏洞并不容易。企业加快向公共云迁移(尤其是疫情期间)的迫切需求,进一步放大了建立数字竞争优势的风险。
更糟糕的是,许多安全团队使用的实践方法、政策和工具,特别是漏洞管理,通常是当地计算主导时代的产物,无法适应“云优先”和“云原生”环境。
如何解决这个问题?首先,根据云应用安全的最佳实践,创建更好的漏洞管理系统,并根据云环境的需要重新调整和改变传统的漏洞管理系统。
传统漏洞管理的局限性
漏洞管理只是一个识别、分析、补救或缓解报告系统和软件安全威胁的过程。需要定期进行漏洞评估,以评估现有的安全状况,以及漏洞管理计划是否需要更改。
管理和处理威胁,最大限度地减少攻击面,全面、实施良好的漏洞管理系统至关重要。
组织除遵循漏洞管理的最佳实践外,还需要正确的工具和解决方案。
漏洞扫描可能是最著名的漏洞管理工具,因为它在云和混合云安全中起着重要作用。重要的是要经常分析安全环境,以减少威胁。自动扫描是一种流行的工具,因为它们工作效率高,可重复使用,使用方便。
但常规漏洞扫描存在一些重大缺陷:
- 它们通常会错过数据库以外的活跃威胁,或者超出其能力范围的更复杂威胁;
- 它们会产生误报,降低防御者雷达对关键威胁的敏感性;
- 如果扫描工具没有发现任何异常,我们可能会认为一切都是和平的。
即使漏洞扫描按预期工作,并识别分类的威胁,这项工作也只能完成一半。要了解威胁的范围,并根据特定场景评估业务运营的严重性和影响力,传统的扫描工具由于缺乏必要的深度和复杂性而无法解决。
扫描与渗透测试并无可比性,后者远远超出了识别表面威胁的范畴。渗透测试可以识别漏洞并加以利用,从而更加全面地了解安全环境的状态,详细说明攻击者在发生漏洞时可能造成的所有损害。
当然,最根本的问题是,云环境中传统漏洞管理方法的局限性是显而易见的。云环境通常是高度动态和短的,容器的平均寿命只有几个小时。有时甚至不可能通过传统的工具来保护容器,如漏洞扫描。扫描程序通常无法识别容器,因为存在周期太短。更复杂的是,即使扫描工具能够识别正在运行的容器,也通常无法提供任何评估方法。如果没有IP地址或SSG登录时,无法扫描凭证。
下一代漏洞管理工具:BAS
虽然传统的漏洞管理难以应对云安全的一些核心挑战,但组织可以做出一些简单的改变来解决这个问题。最基本、最有影响力的方法是部署更强大、更先进的工具来帮助保护系统和软件。例如,突破和攻击模拟(BAS)平台。
BAS解决方案通过对安全环境发起一系列不间断的模拟攻击来工作。这些模拟被复制APT与其他对手一起使用可能的攻击路径和技术。
像渗透测试一样,这些工具不仅可以识别威胁,还可以识别安全漏洞,显示漏洞可能造成的潜在损坏,从而更全面地了解漏洞管理的真实状态。
但与手动渗透测试不同,BAS工具以自动化和连续的方式工作。专为云环境和混合环境设计BAS该平台能很好地保护临时物体。与传统的漏洞管理工具不同,BAS平台可以轻松适应云的动态性。除了识别威胁并列出可能的损害外,BAS该平台还提供了基于优先级的缓解指南。
因此,计划现代升级漏洞管理流程的组织可能会发现部署BAS解决方案是提高云安全能力最快、最有效的措施之一。
总结
如果我们想减少重大云安全事件的数量和损失,我们必须创建一个漏洞管理过程,真正反映组织面临的实际安全挑战。选择合适的工具只是实现这一目标的重要步骤之一。
企业可以通过摒弃传统的无法应对动态环境的漏洞管理方法,快速提高公共云和混合云的安全性,远离严重数据泄露的新闻头条。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章