最后更新于2023年5月12日星期五15:31:41 GMT
2021年1月,外贸营销平台SocialArks遭到大规模网络攻击. Security Magazine reported 这家快速发展的初创公司遭遇了超过2.14亿份社交媒体资料和400GB数据的泄露, exposing users' names, phone numbers, email addresses, subscription data, 以及其他敏感信息, Instagram, and LinkedIn. According to Safety Detectives, 这次数据泄露总共影响了超过3.18亿条记录, 包括那些在美国颇有影响力的名人, China, the Netherlands, South Korea, and more.
The cause? A misconfigured database.
SocialArks’s Elasticsearch 数据库包含来自世界各地数亿社交媒体用户的数据. 数据库在没有密码加密或保护的情况下公开暴露, 这意味着任何拥有公司服务器IP地址的不法分子都可以轻松访问私人数据.
科技公司能从SocialArks的遭遇中学到什么?
一个错误的配置可能会导致严重的后果——从声誉损害到收入损失. 随着云变得越来越普遍和复杂, 科技公司知道他们必须利用创新服务来扩大规模. At the same time, DevOps和安全团队必须共同努力,以确保他们安全地使用云, from development to production.
这里有三种方法可以帮助您的团队在不牺牲安全性的情况下利用公共云基础设施的诸多优势.
1. Improve visibility
科技公司——可能比其他任何行业的公司都更热衷于利用来自AWS等公共云提供商源源不断的创新服务, Azure, and GCP. 从容器和数据库等更传统的云产品到先进的机器学习, data analytics, and remote application delivery, 科技公司的开发人员喜欢探索新的云服务,以此作为刺激创新的手段.
The challenge for security, of course, 普通企业科技公司的云足迹的复杂性是否令人眼花缭乱, 更不用说变化的速度了. For example, a cloud environment with 10,000个计算实例预计每天的流失率为20%, including auto-scaling groups, 新的和重新部署基础设施和工作负载, ongoing changes, and more. 这意味着在一年的时间里, 安全小组必须对700多座建筑进行监控和安装护栏,000 individual instances.
对于安全(和操作)团队来说,没有它很容易 unified visibility 在任何给定的时间点,他们的开发团队正在使用哪些云服务. 没有专门构建的多云安全解决方案, 根本没有办法持续监控云和容器服务,并保持对潜在风险的洞察力.
然而,获得知名度是完全可能的. 不仅如此,如果你想继续扩大规模,这是必要的. 在云世界中,古老的安全格言适用于:您无法保护您看不到的东西. 对所有云资源的全面可见性可以帮助安全团队快速检测可能给组织带来风险的更改. With visibility in place, 您可以更容易地评估风险, identify and remediate issues, 并确保持续遵守相关法规.
2. Create a culture of security
没有人希望他们的DevOps和安全团队相互对立, 特别是在快速增长时期. When you uphold DevSecOps 原则,您消除了DevOps和安全专业人员之间的摩擦. 在整个过程中保护云时,不需要在初始发布后“返回”,也不需要在计划部署时“推暂停” CI/CD pipeline 只是商业运作的一部分吗. 在快速扩张方面,重视安全的企业文化至关重要. 你不能指望每个人都“做正确的事”,“所以你最好从深层次上将安全融入到你的文化中.
说到文化转变的时机,所有迹象都指向现在. Fortune 注意到大流行时期采用混合工作提供了前所未有的灵活性和可及性, 它还可以创建一个“噩梦场景”,有“数百(或数千)个新的载体,恶意行为者可以通过这些载体在您的网络中获得立足点”.” Gartner 报告称,在2021年,云安全在所有其他信息安全和风险管理领域的支出增幅最大, ticking up by 41%. Yet, a survey by Cloud Security Alliance 调查显示,76%的专业人士担心云配置错误的风险将保持不变或增加.
鉴于这些数字,鼓励安全文化是当前的必要,而不是未来的担忧. 但是你怎么知道你已经成功地创造了一个呢?
答案是:当团队的所有成员都将网络安全视为他们工作的一部分时.
当然,说起来容易做起来难. 创建安全文化需要向开发人员提供上下文和早期反馈的流程, 这意味着指挥和控制不再是安全部门的退路. 相反,合作才是游戏的核心. 使安全变得容易是在安全和DevOps之间的历史文化鸿沟之间架起桥梁的原因.
乌托邦版本的DevSecOps承诺无缝协作,但每个团队都有很多自己需要担心的事情. 科技公司如何在优化现有资源和工作流程的同时培养安全文化?
3. Focus on security by design
TrendMicro 报告称,简单的云基础设施配置错误占所有云安全挑战的65%至70%. The Ponemon Institute and IBM 发现2021年数据泄露的平均成本为4美元.2400万美元,这是该报告17年历史中记录的最高平均成本. 同一份报告还发现,拥有更成熟的组织 cloud security practices 能够比那些策略不太成熟的公司平均快77天控制漏洞吗.
安全专家也是人. 他们只能同时出现在这么多地方. With talent already scarce, 你希望你的安全团队专注于创造新的策略, 而不会因为简单的修复而陷入困境.
这就是为什么将安全措施集成到开发周期框架中可以帮助您实现速度和安全性之间的平衡. 在开发过程中嵌入检查是增强早期检测能力的一种方法, 节省团队的时间和资源.
这种方法有助于捕获以下问题 策略违反或配置错误 不会牺牲开发人员喜欢的速度或安全专业人员需要的安全性. Plus, 在开发过程中构建安全性将使开发团队能够在收到警告时立即纠正问题, 最后一次部署本应让人松一口气.
当您在开发生命周期早期集成安全性和遵从性检查时, 您可以从一开始就防止大多数漏洞的出现,这意味着您的开发和SEC团队可以放心地知道他们的 infrastructure as code (IaC) 模板从一开始就是安全的.
如何开始:授权安全开发
让您的开发人员实现安全性,而不必将他们安置到一个全新的角色中. By integrating and automating security checks 您的DevOps团队已经熟悉和喜爱的工作流程和工具, 你授权他们优先考虑速度和安全性.
采取上述三种策略中的任何一种都可能令人生畏. 我们建议从关注可操作的步骤开始, 我们将在下面的电子书中深入介绍.
Scaling securely is possible. Want to learn more? Read up on 6授权企业科技公司安全创新的策略 解决科技行业面临的独特的云安全挑战.
Additional reading:
