云安全漏洞管理的原则与实践
漏洞优先级评估为了实现最佳的云安全漏洞管理效果,企业组织应该遵循的另一个最佳实践是进行漏洞优先级评估。这种做法非常有效,因为它有助于提升对最危险漏洞的发现能力,并在修复其他漏洞之前迅速修复高危漏洞。
当企业组织将关键业务上云后,加强云安全防护就成为企业管理者们的重要优先事项。一旦云上的应用存在安全漏洞,那么数据泄露、业务中断、勒索威胁等灾难性事件随时都可能发生。研究数据显示,在78%的云上攻击活动中,攻击者会将已知漏洞作为初始路径。因此,定期评估云环境的风险态势并加强云安全漏洞管理,将是保障组织云应用安全的最有效途径之一。
云安全漏洞的主要类型
企业组织在开展云漏洞管理工作之前,需要首先了解云环境中主要的安全漏洞是什么,以下是目前最常见的云安全漏洞类型:
(资料图片仅供参考)
01云环境的错误配置
云环境的错误配置是云环境中最常见的漏洞类型之一,包括云上的网络系统和容器系统等。这会导致云计算应用出现严重安全隐患。这些错误配置将严重损害云应用的防护能力,造成相关云访问控制措施的缺失或失效,从而导致非法用户对云应用及关键数据的直接访问。
02不恰当的身份验证
云应用系统中糟糕的身份验证流程是另一个经常导致安全事件发生的常见漏洞类型。缺乏多因素身份验证和弱密码一直是云漏洞管理面临的两大挑战。如果没有可靠的访问控制策略,任何非法访问的恶意用户都可能会进入到云上系统并获取数据。
03违规应用
为了快速上线新的云业务系统,一些组织没有严格遵守PCI-DSS、HIPAA、ISO 27001和SOC 2等行业标准的管理要求,这也是造成云漏洞产生的主要原因之一。如果云服务提供商和企业组织不能严格按照相关监管标准来管理云上的应用,就会导致安全缺陷,攻击者就会利用这些缺陷来非法访问云应用和数据。
04敏感数据管理不善
云计算环境中含有大量的应用系统和程序,可以帮助企业员工更便捷地访问业务需要的敏感数据。但是,绝不要为所有应用程序创建可以特权访问的凭据或ID,最好为特定的应用程序创建特定的凭据,只有授权人员才能访问它们。营销或网络部门的用户不应该有权访问含有敏感财务数据的应用程序。
05不安全的API
不安全的API是攻击者访问云平台并窃取所有重要数据的主要途径之一。并非每家云服务提供商都能够充分地保护API,而各种不安全的API为攻击者访问云平台提供了可乘之机。攻击者总是会寻找缺乏适当授权和身份验证的API漏洞,并利用它们从事违法活动。
06DDoS攻击
分布式拒绝服务(DDoS)攻击是云环境中经常出现的另一种常见漏洞类型。在该漏洞中,攻击者向基础设施发送洪水般请求,导致服务器无力响应,从而无法处理授权的请求。当云提供商没有适当的DDoS保护措施,或者DDoS安全机制被非法关闭时,这种类型的安全漏洞就会产生。
云安全漏洞管理的原则
在云安全防护体系的构建中,漏洞管理可以充当一个治理框架,帮助企业更好地管理并控制云计算设施和应用程序。因此,我们可以将云安全漏洞管理定义为识别、分析、筛选和修复云应用安全问题的一种持续性方法或过程。它不仅需要通过修复常见漏洞来尽可能降低云应用安全风险,还需要提前识别那些可能被利用的安全漏洞并给出修补建议。当企业组织开展云安全漏洞管理工作时,需要遵循以下关键原则:
01以充分的资产发现为基础
对云安全漏洞管理范围的任何限制都会增加可见性风险。因此,企业必须将资产发现作为云漏洞管理工作的核心任务。如果漏洞管理项目未能覆盖某些云上的资产或业务领域,那么它在降低风险方面的效用也会大打折扣,因为我们无法消除那些不可见安全风险。
02合理设置漏洞扫描频率
如果云漏洞管理工作不是连续的或者高频的,就会存在过时或失真风险。但有一点需要明确,漏洞扫描频率不是越高越好,而应该是合理的。频率的设定需要与漏洞修复节奏和资产变更管理保持协同,理想的状态是漏洞扫描频率与修复节奏同步,而且在发生云资产变更时能够自动执行扫描。
03与业务场景融合
云安全漏洞管理不是一项“极限运动”,企业不能把管理工作的重点放在一些绝对的安全风险上,而忽略了业务数字化发展的需求。在云安全漏洞管理的工作优先级中,需要充分考虑业务应用场景和环境因素,首先处理具有更高业务风险的安全漏洞。
04指标化管理
高效的云安全漏洞管理计划应该基于指标来制定,只有把 “好”的目标和要求指标化,企业才能准确评估当前漏洞管理工作的有效性,并找出目前工作中的不足之处。
05流程整合
查找和评估漏洞风险的目的并不是为了生成报告,关键是要制定更好的漏洞修复策略,采取行动解决问题。因此,高效的云安全漏洞管理必须结合有效的补救措施。企业需要将有效的漏洞管理程序与补救工作流集成在一起,才能有效提升云安全漏洞的管理水平。
云安全漏洞管理最佳实践
要在高度动态的云环境中有效发现和管理漏洞风险并不容易。相比传统漏洞管理模式,云安全漏洞管理工作需要能够适应“云优先”和“云原生”的应用环境,根据云环境的需求发展不断优化漏洞管理策略和方法,从而持续监测云应用的安全风险并及时响应。研究人员总结梳理了云安全漏洞管理时的几个最佳实践:
系统性渗透测试对云设施及应用系统进行系统性的安全性渗透测试是一个实现云安全漏洞管理的有效方法。它可以帮助组织执行深度扫描,利用已检测到漏洞的攻击路径,分析这类攻击可能造成的危害程度。定期进行渗透测试还有助于遵守相关安全标准,并确保云基础设施的安全性。持续性地云漏洞扫描组织应该持续性开展云漏洞扫描活动,在漏洞产生的早期阶段发现漏洞。组织应该为所选用的漏洞扫描器配套一份全面的漏洞列表,这样就能够提升对常见漏洞威胁的检测能力。为了获得更好的漏洞扫描效果,扫描器还应该能够检测云应用系统中的逻辑错误,降低漏洞误报。此外,利用SAST和IaC工具在应用开发管道中进行漏洞代码检查也是云安全漏洞扫描应该具备的功能。漏洞优先级评估为了实现最佳的云安全漏洞管理效果,企业组织应该遵循的另一个最佳实践是进行漏洞优先级评估。这种做法非常有效,因为它有助于提升对最危险漏洞的发现能力,并在修复其他漏洞之前迅速修复高危漏洞。完整地云基础设施可见性企业无法保护看不见的云上资产和应用。通过全面的云资产发现,企业可以全面了解组织云环境中的互联互通性、数据流动性和配置安全性。这将帮助安全团队尽早发现任何云上的安全风险,并帮助他们查明风险的起源。通过AI技术实现自动化云安全漏洞管理的最佳实践之一是通过人工智能和机器学习技术实现管理流程的自动化,这将有利于安全团队扫描云基础设施,专注于对扫描结果进行安全分析,而不是将精力消耗在寻找所有漏洞。此外,自动化技术还可以帮助企业通过自动执行补丁管理流程来缩短漏洞修复的时间。参考链接:
https://www.clouddefense.ai/blog/guide-to-cloud-vulnerability-management
标签:
-
2022-09-15 14:23:06
杨莉娜租借加盟巴黎圣日耳曼 与姆巴佩梅西拉莫斯一起共事<
北京时间9月13日下午,法甲女足俱乐部巴黎圣日耳曼正式官宣中国女足国脚杨莉娜完成租借加盟,合同期至2023年6月。杨莉娜成为目前国家队中第
-
2022-02-07 14:57:45
奇迹!绝杀!女足亚洲杯逆转夺冠!<
刚刚,中国女足上演逆转绝杀奇迹!她们在亚洲杯决赛中3:2力克韩国队,时隔16年再夺亚洲杯冠军!
-
2022-02-07 14:57:45
中国政府与阿根廷共和国政府签署共建“一带一路”谅解备忘录<
新华社北京2月6日电(记者安蓓)国家发展改革委6日称,国家发展改革委主任何立峰与阿根廷外交、国际贸易和宗教事
-
2022-02-07 14:57:43
中华人民共和国和阿根廷共和国关于深化中阿全面战略伙伴关系的联合声明(全文)<
新华社北京2月6日电中华人民共和国和阿根廷共和国关于深化中阿全面战略伙伴关系的联合声明一、应中方邀请,阿根廷
-
2022-02-07 14:57:40
春节假期国内旅游出游2.51亿人次<
春节遇冬奥,旅游年味浓。根据文化和旅游部数据中心测算,2022年春节假期7天,全国国内旅游出游2 51亿人次,同比
-
2023-09-09 13:56:46
骑马与砍杀战团npc组合mod(骑马与砍杀战团npc组合)
骑马与砍杀战团npc组合mod,骑马与砍杀战团npc组合这个很多人还不知道,
-
2023-09-09 12:09:28
油价越涨,美元越高?
油价越涨,美元越高?,沙特,原油价格,美元指数,国际油价
-
2023-09-09 10:22:54
保险科技十年百人评选启动,找寻保险科技最重要的力量!
保观|聚焦保险创新如果说十年是一个轮回,那中国保险科技行业的发展,
-
2023-09-09 08:57:28
刘和平:美乌“憋大招”,乌克兰真正大反攻要来了?
直新闻:我们看到,美国在犹豫了一段时间之后,终于步英国后尘,向乌军
-
2023-09-09 07:05:13
3-0横扫日本伊藤美诚,3-0碾压日本平野美宇,陈幸同打爆2位强敌
以3-2艰难逆转穆克吉之后,陈幸同在女单1 8决赛,迎来老对手平野美宇。
-
2023-09-09 02:23:45
股票行情快报:熵基科技(301330)9月8日主力资金净卖出224.56万元
截至2023年9月8日收盘,熵基科技(301330)报收于33 7元,上涨0 3%,换手
-
2023-09-08 21:56:04
70多位家属一起报警,国家真的有必要来一场严打了!
70多位家属一起报警,国家真的有必要来一场严打了!,报警,黑恶势力,犯
-
2023-09-08 18:47:28
郑氏点银:黄金缓慢反弹关注1930上,原油88下谨防修正
郑氏点银:黄金缓慢反弹关注1930上,原油88下谨防修正回顾昨日行情走势
-
2023-09-08 17:48:39
这条路上我们一起走歌词走伴奏(这条路上我们一起走歌词)
1、牵着手一起走2、演唱:小臭臭卢齐炜3、词曲:泰歌4、推广:朱军亮5
-
2023-09-08 16:49:26
蓝英装备涨20.00%
蓝英装备涨20 00%
-
2023-09-08 15:21:23
不锈钢蜂窝阳极管之特点与应用
在当今现代工业领域,不锈钢材料的应用十分广泛,而不锈钢蜂窝阳极管作
-
2023-09-08 14:12:28
年终旺季+季节性户外运动同启 eBay运动户外品类持续热销
每年的年终旺季时值季节的重要转换,具有较强季节性的户外运动将在第四
-
2023-09-08 12:58:41
一心堂(002727.SZ):股东阮鸿献先生进行股票质押式回购交易延期
2023年9月7日晚,一心堂(002727 SZ)发布关于公司股东阮鸿献先生进行股
-
2023-09-08 11:37:38
《星空》游戏发布 知名游戏工作室绘制贺图
《星空》游戏已于9月6日正式发布,这是贝塞斯达时隔多年推出的新IP。该
-
2023-09-08 10:39:08
7月至12月,河北开展高校毕业生等青年就业服务攻坚行动
日前,省人社厅印发《关于开展2023年河北省高校毕业生等青年就业服务攻
-
2023-09-08 10:01:41
官方:湖人正式与小斯科蒂-皮蓬等4名球员签下Exhibit-10合同
官方:湖人正式与小斯科蒂-皮蓬等4名球员签下Exhibit-10合同,湖人,夏联
-
2023-09-01 10:47:08
两部门:降低存量首套房房贷利率
中国人民银行、金融监管总局8月31日联合发布《关于降低存量首套住房贷
-
2023-09-01 09:49:46
AI监管呼声再起!美国前众议长佩洛西:AI是把“双刃剑”
美国前众议院议长南希·佩洛西表示,快速发展的人工智能领域需要监管护
-
2023-09-01 07:47:30
中航光电08月31日被深股通减持1.47万股
08月31日,中航光电被深股通减持1 47万股,最新持股量为1082 61万股,
-
2023-09-01 06:10:34
8月制造业PMI升至49.7%
8月制造业PMI升至49 7%(主题)中工网北京8月31日电(工人日报-中工网
-
2023-09-01 01:53:20
尿酮体阳性是什么病(尿酮体阳性是什么意思)
您好,现在汉格来为大家解答以上的问题。尿酮体阳性是什么病,尿酮体阳
-
2023-08-31 21:59:17
药物毒理学--生殖毒性(关于药物毒理学--生殖毒性简述)
,你们好,今天0471房产来聊聊一篇物毒理学--生殖毒性,物毒理学--生殖
-
2023-08-31 20:39:07
【魅力鹰城·种业芯片篇】昔日贡品张良姜 今成群众致富姜
2023年8月31日《平顶山晚报》2版□平报融媒记者胡耀华文 图“冬吃萝卜
-
2023-08-31 19:12:32
维持原判!江某莲自诉林某侮辱、诽谤上诉一案二审宣判
8月31日,福建省南平市中级人民法院依法对江某莲自诉林某侮辱、诽谤上
-
2023-08-31 18:03:45
GPLP投融资:阿维塔科技获30亿元 福碳科技获1亿元
作者:李东耳阿维塔科技完成B轮30亿元融资阿维塔科技近日完成B轮30亿元
-
2023-08-31 16:57:26
大哥大传奇好玩吗 大哥大传奇玩法简介
期待已久的手游大哥大传奇即将登陆九游,这款手机游戏吸引了大批玩家的
-
2023-08-31 15:32:32
全国城市一刻钟便民生活圈典型案例发布 重庆三个社区入选
近日,商务部发布亮点突出、创新性强、有借鉴意义的60个全国城市一刻钟
-
2023-08-31 14:26:08
哈尔滨市公安局“三个聚焦”全面推进反诈宣传
哈尔滨市公安局以打造反诈防诈宣传新阵地为切入点,牢固树立“以宣促安
-
2023-08-31 13:02:58
实现下一代车载信息娱乐系统
Posted07 20 2023byMarkHoopes,DirectorofAutomotive&IndustrialSegmen
-
2023-08-31 11:33:28
午评:A股又跌了,还能看反弹吗?听听老手怎么说
不得不说确实非常的闹心,A股今天上午收盘又是全线飘绿的状态,三大
-
骑马与砍杀战团npc组合mod(骑马与砍杀战团npc组合)
2023-09-09 13:56:46 -
油价越涨,美元越高?
2023-09-09 12:09:28 -
保险科技十年百人评选启动,找寻保险科技最重要的力量!
2023-09-09 10:22:54 -
刘和平:美乌“憋大招”,乌克兰真正大反攻要来了?
2023-09-09 08:57:28 -
3-0横扫日本伊藤美诚,3-0碾压日本平野美宇,陈幸同打爆2位强敌
2023-09-09 07:05:13 -
股票行情快报:熵基科技(301330)9月8日主力资金净卖出224.56万元
2023-09-09 02:23:45 -
70多位家属一起报警,国家真的有必要来一场严打了!
2023-09-08 21:56:04