图像:Maksym Yemelyanov/Adobe Stock Joe Biden总统的政府,作为最近获释的一部分 国家网络安全战略 说 关键部门 电信、能源和保健等依靠网络安全和云层服务提供者的复原力。

然而, 最近的报告 行政当局表示,主要云层服务提供者构成大规模威胁,攻击者可通过这一威胁破坏公共和私人基础设施和服务。

鉴于该部门独一无二的性质,这一关切难以争辩。 Gartner研究公司最近审视了全球云层基础设施与服务市场份额,将亚马孙摆在首位,2021年收入为35.4亿美元,其余市场份额细分如下:

• 亚马孙: 38.9%

• 微软: 21.1%

• Alibaba: 9.5%

• 谷歌: 7.1%

• Huawei: 4.6% The 协同小组 报告说,亚马孙、微软和谷歌在2022年9月30日终了的三个月内共占云层基础设施收入的三分之二,8个最大供应商控制了80%以上的市场,将其转化为四分之三的网络收入。

  Jump to:

• 注重云层服务提供者?

• 提供足够服务的云层供应商

• 云层客户需要实施安全

• 它依靠客户来防范重大云层威胁

• 对贵云层作业的主要威胁

• 道德 ha笑可能确保云层和空地的行动。 注重云层服务提供者?

行政当局的报告指出: 威胁行为者 利用云层、域名登记册、托管人和电子邮件提供人以及其他服务进行开采、协调业务和间谍活动。 此外,它主张制定条例,推动采用安全设计原则,条例将界定“最低预期网络安全做法或结果”。 ……

此外,根据行政报告,它将“查明当局在推动改进云层计算行业的网络安全做法方面的空白,确定其他基本的第三方服务,并与工业界、国会和监管机构合作,以关闭这些差距”。

如果行政部门向控制通过全球网络大片流的交通的CSPs说话,以规范其安全做法,那么,由于CSPs公司已经制定了强有力的安全协议,它可能会是空洞的。

“从所有证据来看,供应商似乎都非常安全,但缺乏透明度,无法保证他们这样做,这是一个令人关切的问题。

见: 受到工具扩散阻碍的云层安全存在“森林换树木”问题 (技术共和国)

然而,Winckless也说,抗灾能力受到限制,uck草最终落在客户的桌上。

他补充说,“使用云不是安全的,既来自不充裕的租户,也来自犯罪/国家行为者,他们可以利用活力和支付灵活性模式。

提供足够服务的云层供应商

Cado Security公司云层事件应对公司首席技术干事Chris Doman说,主要的云层服务供应商在管理和保护云层基础设施方面已经是最好的。

随时更新的安全覆盖面

• 2023年网络安全威胁

• 最佳信息技术资产管理软件

• 2. 最全面的便携式网络安全装置

• 如何通过加密、密码管理和更多(技术共和国保险费)确保您的电子邮件安全

  Doman说,“质疑其能力,并推断美国政府在监管和安全指导方面将“了解得更好”是误导。

他说,对云层供应商提出“了解客户”要求可能很有意图,但有可能迫使攻击者使用从执法的覆盖范围更远的服务。

Doman说,对云层基础设施的最大威胁是物理灾害,而不是技术故障。

Doman说,“金融服务业是一个很好的例子,说明一个部门如何分散多个云层供应商的活动,以避免出现任何故障。 “向云层现代化的建筑实体需要考虑灾后恢复计划。 大多数关键的基础设施实体无法完全多变,限制了接触点。 ……

云层客户需要实施安全

Biden行政当局说,它将与云层和互联网基础设施供应商合作,查明“恶意利用美国的基础设施,与政府分享关于恶意使用的报告”和“使受害者更容易报告这些系统的滥用情况…… 恶意行为者首先更难以获得这些资源,”这样做可能会带来挑战。

加工自动化公司创始人兼首席技术干事迈克·贝克利说,政府正确地警惕政府系统的脆弱性。

“But,它有一个更大的问题,即它的大多数软件都来自我们或微软或销售公司或Palantir,因此,”说Beckley。 “它是由一家低价竞标人写成的习惯合同,因此,它用我们作为商业供应商经营的大多数规则和制约因素来 s。

“只要政府认为其购买量每天都在发生变化,其依据是经验最少或条件最差,甚至最恶意的承包商,他们有权并允许上载新的图书馆和法典。 每一项目都必须建立这些海关编码管线中的每一个环节,因此,只有团队这样做。 ……

它依靠客户来防范重大云层威胁

寻找男性因素是要求亚马孙、谷歌和微软等社区安全方案的一大要求。

Britton说,“最后一点,云只是外部服务器的又一字眼,现在数字空间是一种商品——我可以将排出的排泄物放在美元上”。 “现在,我们生活在一个一切都是亚特兰大和基于互联网的世界上,因此没有像过去一样的障碍。

SEE: 开放源安全和业务风险 (技术共和国)

“这是一个共同的责任矩阵,云层供应商处理像硬件操作系统拼凑这样的问题,但客户有责任了解公众所面临的情况,选择或选择不适用。 我认为,如果像“你想要做什么?” 这样的“没有”失败,那么,那么,在采取诸如公开储存桶等行动时,情况会好。

“在S3储存桶中拿着50兆字塔,并意外地公开,这有可能在脚上朝圣。 因此,云层安全态势管理办法是有益的。 云层服务的消费者也需要有良好的过程。 ……

对贵云层作业的主要威胁

检查站安全局2022 云层安全报告列出了对云层安全的主要威胁。

配置不当

造成云层数据破坏的一个主要原因,即各组织的“组织” 云层安保态势管理 各项战略不足以保护其云层基础设施不受混淆。

未经许可的准入

在网络周边之外、直接从公共互联网上获得的云层部署使未经授权的准入更加容易。

不安全的接口和标语

据检查点称,社区支助方案常常为其客户提供一些应用方案设计接口和接口,但安全取决于客户是否为其云层基础设施建立了接口。

劫持账户

口号的安全并非令人惊讶,它是一个薄弱的环节,而且常常包括诸如密码再利用和使用坏密码等不良做法。 这一问题加剧了攻击和数据违约的影响,因为它使单一被盗密码可用于多个不同的账户。

缺乏可见度

一个组织的云层资源位于公司网络之外,以该公司不拥有的基础设施为生。

“因此,许多提高网络可见度的传统工具对云层环境并不有效”。 “有些组织缺乏能力 注重云层的安全工具 。 这会限制一个组织监测其云层资源和保护其不受攻击的能力。 ……

外部数据共享

云层使数据分享变得容易,无论是通过电子邮件向一个核对员发出邀请,还是通过共用链接。 这种数据共享的方便性构成了安全风险。

恶意内rs

虽然内幕人员身边的矛盾,但意图不佳的人可能获准进入一个组织的网络及其包含的一些敏感资源。

“关于云层,发现恶意内幕器更为困难”,他说,“检查站”的报告。 “在云层部署的情况下,公司缺乏对其基本基础设施的控制,使许多传统的安全解决办法效果较差。 ……

网上攻击是大生意

网络犯罪的目标主要基于利润。 公众从互联网上获取的以云层为基础的基础设施,可以不适当地得到保障,并能包含敏感和宝贵的数据。

拒绝服务攻击

云层对于许多组织开展业务的能力至关重要。 它们利用云层储存商业关键数据,并管理重要的内部和客户应用程序。

道德 ha笑可能确保云层和空地的行动。

各组织必须确保自己的周边安全,定期进行内部和外部弱点检测。

如果你想为网上笔试和更多的测试hone清你的道德技能,就可以检查这个全面的技术共和国学院 B. 伦理学课 。

下面读: 如何尽量减少安全风险: 3. 跟踪这些成功最佳做法 (技术共和国)

 ###  《网络安全内外部通讯》

通过及时了解最新的网络安全新闻、解决办法和最佳做法,加强本组织信息技术安全防御。

星期二和星期四 今天签署