近期Spring远程命令执行漏洞(CVE-2022-22965)事件引发多方关注。该漏洞通过执行任意代码,可能导致勒索软件、加密货币劫持等程序的执行,开源软件漏洞风险越来越多地影响到多云基础设施中的系统及应用,企业在业务云化过程中面临的安全挑战愈加严峻。
因此,亚信安全建议,企业需要更多地关注多云基础设施的安全现状,并执行更加严格规范的安全策略,以应对日趋复杂的云上安全环境。
多云基础设施中的开源漏洞成为重要攻击对象
有报告数据显示,针对开源系统及应用,攻击者已开发出大量的勒索软件、挖矿病毒等,以破坏受感染的Linux系统,并从中非法获益。勒索软件威胁分子还对云帐户、云应用编程接口(API)以及数据备份和存储系统进行攻击,阻止用户访问云资源,并加密数据。对于正在将业务与数据转移到云端的企业来说,这些攻击很可能会导致数据被泄露,甚至影响关键业务的可用性。
网络不法分子之所以更多地将目标转移到云端,一方面是因为上云的企业正在越来越多,云上资产的价值正在快速增长,攻击可能为不法分子带来更多的收益。另一方面,随着网络攻击的灰色生态链正在不断成熟,有更多的恶意软件变种、攻击工具正在源源不断地被提供给网络不法分子。而且,受益于加密货币等交易体系的发展,不法分子更容易将攻击所获得的收益变现。
从攻击手段上来说,由于攻击目标具备较高的价值,而且安全防御手段通常也高于一般的攻击目标,所以攻击者更倾向于制定周密的攻击计划,并通过“侦查——准备——入侵——攻击”等完整的流程来试图取得更好的攻击效果。在准备攻击的过程中,攻击者除了可能会利用Linux系统、虚拟机软件、云应用程序等漏洞发动攻击,还可能会通过社交工程学的方式,盗窃登录信息,以获得进入云系统的凭证,从而采取进一步的攻击行动。
目前,这一安全风险有不断加重的趋势,很大一部分原因在于,企业为了获得更高的业务敏捷性、经济性,正在更多地执行多云策略,管理跨多个类型与服务商的云上资源,这让统一的安全管理变得日趋负载。在很多情况下,企业很难察觉不法分子对于某个云资产的攻击行为,这还可能导致攻击行为在多云之间横向移动,影响更多云上资产的安全。
未雨绸缪是保护多云数据资产的关键
要强化多云环境下的安全防护,更好地封堵勒索软件、挖矿病毒等安全风险,企业需要在推动业务云化的同时,制定更加严格、立体,并覆盖多层面的安全策略,以保护珍贵的云上资产与业务。
首先,鉴于大量的安全攻击事件起源于用户凭证失窃,因此企业需要进一步强化安全教育以及安全管理,避免因为人员安全意识疏忽,或是遭到社交工程攻击而导致的凭证失窃。有迹象表明,在部分开源平台上,访问者可以查看到企业在开源代码中上传的用户凭证信息,这显然会带来巨大的风险。
其次,企业用户需要增强对于多云资产的可视性,并实现统一安全管理。这就要求企业更加全面的管理多云资产,及时根据资产的变动情况进行维护,并将安全防护能力覆盖至所有的云上资产。因此,强化云资产梳理,并及时关注所有资产的安全状况至关重要。
最后,构建可以保护多云资产的安全防护系统是重中之重。亚信安全云主机安全器深度安全防护系统即服务基于混合云安全解决方案构建,旨在为云工作负载提供全方位的防护,以提高云提供程序的安全性。亚信安全信舱提供了一套完整的安全功能,包括入侵检测和防御、防火墙、采用Web信誉的防恶意软件、行为分析、完整性监控、日志审查和应用程序控制,从网络安全、系统安全、威胁防护等方面,为云端业务提供无忧安全保护。
目前,亚信安全信舱云主机安全产品(DS)已经在包括运营商、金融、医疗、政企、高端制造业、能源和电力等多个垂直行业得到成功应用,帮助用户消除或降低使用云服务部署业务负载的安全顾虑,助力用户将更多业务迁移上云。
此外,亚信安全信舱云主机安全提供了符合最新CWPP规范要求各项功能,可以帮助测评用户全面了解云上资产、协助检查配置漏洞管理,洞悉云端所有业务的安全状态。而在恶意代码防护方面,亚信安全更提供了静态和动态双重机器学习引擎,从最底层Hook来监控软件的行为,并提供虚拟补丁功能,在无需重启主机的情况下化解“零日”危机,可确保用户云端业务连续性。 
