Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

保护云资产: 该从何处着手?

在保护动态云环境的过程中,能够持续发现并评估云资产有助于在发现新漏洞和环境发生变化时快速检测问题。以下是开始前需要了解的信息。  

云服务和应用程序具有弹性、经济高效等特点,更重要的是,有助于快速响应客户需求并管理不断增加的远程办公人员。事实上,81% 的企业在云端至少有一个应用程序或一部分计算基础设施。 

但随着敏捷性和效率带来的益处,保护云端资产和工作负载的挑战也随之而来。要说重大数据泄露事件给我们带来哪些教训,那就是作为数据所有者,最终要对您的云资产负责,而不是由云服务提供商负责。

随着网络、端点和云环境中新漏洞数量的不断增加,值得注意的是,传统的漏洞管理 (VM) 工具已难以满足当今复杂的 IT 环境,无法保护现代攻击面。2015 年到 2020 年间,CVE 报告数的平均年度上涨率为 36.6%。企业需要一套有效的解决方案来根据所面临的风险对修复措施进行优先级分析。 

那么该从何处着手呢我的建议是,首先仔细观察员工、流程和技术,严格按照这个顺序。原因是什么?因为即使部署了最强大的技术,但如果安全团队与云团队缺乏沟通,或者出现业务流程不合规的情况,就无法保护云端需要保护的一切。

首先需要应对三大安全挑战

  1. 员工缺乏互相沟通:我曾亲眼见证了安全团队和业务部门之间的脱节。正如我的一位 IT 伙伴所描述的,“尝试与业务团队合作就像在寒冷的冬天早晨遛我的约克郡猎犬。我拉着链子往一个方向走,我的狗则往另一个方向拉,因为它根本不想走。最后,我们都筋疲力尽。”在许多公司中,安全团队和云团队分别在各自为政的业务部门中运作。根据最近 Tenable 委托 Forrester Consulting 进行的一项研究显示,在接受调查的 400 多位安全领导者中,只有一半表示他们会与其他团队合作,使风险降低的目标与业务需求保持一致。当团队缺乏合作时,就很难保护、控制和获得云资产的可见性,从而使安全态势处于危险之中。
  2. 业务流程存在漏洞:对于本地传统网络,可以相对轻松地追踪工作负载和应用程序。而对于云环境,则很难知道足迹到底有多大。这是因为非 IT 职能部门(如营销和开发人员)经常创建(然后有时会放弃)云资产,导致很难获得所有云资源清单的真实视图。例如,我最近遇到的一家企业一度认为其在 AWS 中拥有 2000 个云资产。经过一次发现扫描,他们发现了近 3500 处资产。在进一步研究之后,我们发现他们的业务流程中存在漏洞,包括未标记的云资产和丢失的子帐户。这种情况在许多企业中并不少见。
  3. “不了解的事物无从保护!”:这些几乎都是陈词滥调,但在保护云资产方面,仍然非常适用。企业很难在动态云环境中发现和评估临时(短期)资产。根据 Forrester 的研究,在接受调查的 800 多位安全和业务领导者中,只有 44% 表示,其安全团队对企业最重要的资产可以做到了若指掌。 但是,即使发现了资产,Tenable 自己的研究表明,实际上只有 20% 的资产评估过风险敞口。原因是什么?因为传统的云端漏洞管理方法困难又耗时。传统方法需要安装扫描程序和代理,新漏洞检测可能会延迟数周。简言之,传统 IT 安全无法跟上云的发展速度。

这时,您可能会觉得“天哪,我们什么时候才可以休息一下?”请继续读下去,曙光就在路上。 

保护云资产:3 大重要步骤

  1. 确保团队正确开展云对话:消除部门间的各自为政,并为团队创建互相协作的环境,就是为实现云资产一致的可见性和控制能力迈出重要的第一步。根据 Forrester 的研究,在能否自信应对企业安全或风险程度问题方面,相较于各自为政的安全领导者,与业务安全保持一致的信息安全领导者的表现要优于前者 8 倍。在与使用云的团队成员进行沟通时,请务必根据其业务需求环境确定网络安全威胁的影响程度,并在沟通中使用“可扩展性”、“敏捷性”、“质量”和“连续性”等关键词。定期召开评审会议,并与业务利益相关者分享安全团队的绩效指标也可能会有所帮助。如果对管理权限进行许可存在困难,那么可以想出一些创造性的解决方法,比如创建一组共同商定的许可供 IT 安全人员使用,甚至可以使用云通用本机格式来实施,比如创建 CloudFormation 模板。这种方法能够为安全团队提供所需的业务结果,并可以减少云管理员所要从事的工作。
  2. 确保良好的云安全机制实践:开发能够跟上云速度的安全最佳实践是保护云资产的另一个重要步骤。将这些最佳实践融入整体公司文化中,有助于减轻管理负担,并弥补业务流程中的安全缺口。例如,为所有云资产实施标签策略提供了一种有效的方法来管理资源、控制成本和降低风险的。只要实施到位,开发人员就可以自由升级测试环境;安全团队可以追踪正在创建的内容,并且在解决安全问题时可以花费更少的时间来搜索资产和所有者。另一种良好的云安全机制实践是将所有子帐户关联到云端适当的父帐户。这有助于管理员能够全面了解整个云资产,从而有效降低网络安全风险,并了解企业在任何云环境中的风险敞口。
  3. 发现和持续评估漏洞是关键: 能够识别并快速评估云资产是保护不断变化和扩展的云环境的下一个重要步骤。如果使用的是 Amazon Web Services (AWS) 等云服务,那么云资产的实时发现不仅可以有助于最大限度发挥现有投资的价值,还可以提供先前已知或未知资产的全面可见性。实现了良好地掌握近乎实时的情况后,就需要一种在部署新资产或披露新漏洞时可以持续评估云的评估方法。

正如我前面提到的,传统的云端漏洞管理方法困难又耗时。而这正是 Tenable 无障碍评估的用武之地。与其他漏洞管理工具不同,无障碍评估(现已在 Tenable.io 中提供)利用本机 AWS 工具,包括 AWS Systems Manager (SSM) 代理,持续发现和评估 Elastic Compute Cloud (EC2) 实例中的漏洞,无需配置扫描、管理凭据或安装代理。这样可以在新漏洞披露时,以及环境随着实例不断变化而改变时,快速检测安全问题。该工具能够带来近乎实时的云环境视图,可以在任何给定时间提供资产和风险的准确清单。该工具在发现和评估动态云环境中临时(短期)资产方面特别有效。

无障碍评估从设计上就能够紧跟云的运行速度。 但该工具没有止步于此。作为基于风险的漏洞管理的一个关键要素,无障碍评估能够提供对漏洞的全面洞察,包括支持 Tenable 的预测优先级分析,有助于聚焦影响最大的漏洞。 

如果想要进一步了解如何在几秒钟内建立起完整的基于风险的漏洞管理计划,并在几分钟内获得具有可操作性的结果,请观看无障碍评估概述视频

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

免费试用 30 天


可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io 免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

免费试用 30 天 在软件开发生命周期的设计、构建和运行时阶段,享有检测和修复云基础架构错误配置的完全访问权限。

购买 Tenable.cs

联系销售代表,了解有关云安全的更多信息,以及如何从代码到云,全程护航。