將敏感數據存儲在云中的概念曾被視為荒謬可笑。現在，隨著更大的存儲空間、更低的成本和更高的性能，企業正在以指數級的速度進入云安全領域。然而，如此巨大的好處也伴隨著嚴重的風險。

No.1數據泄露的財務風險

由于云中的機密數據數量巨大，攻擊者的目標是從小型企業到大公司的各種云基礎設施，包括CapitalOne等財富500強公司，該公司在2019年成為2.7億美元數據泄露的受害者。最近，在2022年5月，一家名為Pegasus的航空公司擁有一個開放的S3存儲桶(一種用于存儲數據的亞馬遜云存儲服務)，其中包含6.5TB的敏感數據，包括明文密碼、源代碼和PII。

2021年，云漏洞的平均成本計算為七位數，其中公共云基礎設施約為480萬美元，私有云基礎設施為455萬美元，混合云基礎設施(公共和私有混合)為361萬美元。在這些數據中，發現94%的企業使用云，其中91%使用公共云服務，如AWS(Amazon Web Services)、Azure或GCP(Google Cloud Provider)。

由于新冠肺炎的存在，公司轉向了遠程工作方式，這也增加了員工的在線參與度。這導致數據泄露的嚴重性增加。平均而言，擁有81%-100%遠程員工的公司估計會因數據泄露而損失554萬美元(比遠程工作不是數據泄露因素的公司高出100多萬美元)。

云仍處于初級階段，因此企業基礎設施中存在的嚴重和高度嚴重的漏洞讓人想起互聯網早期階段內部環境中存在的簡單漏洞。

No.2公有云的復雜性

這些漏洞的存在不僅是因為云基礎設施是一個新概念，還因為云本身的復雜性。公共云通常由兩種不同的職責組成：

◎客戶責任-云中的安全

◎公共云服務責任-云的安全

云服務提供商負責確保其數據中心不受數據泄露的影響。因此，這些數據中心無懈可擊，并實施安全最佳實踐。然而，盡管公有云服務具有安全性，但當客戶使用公有云服務構建自己的基礎設施時，可能會出現嚴重的漏洞。公共云服務為客戶提供了許多不同的使用案例，了解他們希望如何定制其基礎架構，而這種能力很容易導致配置不安全。

No.3資源匱乏

云的復雜性導致對云安全工程師的需求激增。新冠肺炎的流行加劇了這一需求，它增加了在線人氣。然而，安全工程師的供應遠遠落后于需求，隨著針對云基礎設施的攻擊不斷增加，這種失衡正變得更加極端。

No.4如何保護云環境

僅靠安全工程師不能承擔整個云基礎設施的重量，因為它的安全性僅限于其最薄弱的環節。在云環境中找到這樣一個薄弱環節類似于大海撈針，因為錯誤配置通常隱藏在數百甚至數千個策略、身份和實例。

因此，對公司的云基礎設施執行滲透測試(模擬攻擊)變得極其重要。這一領域訓練有素的專業人員習慣于在此類環境中找到薄弱環節，進行驗證，并直接向他們的聯絡點報告，以便在惡意行為者利用這些漏洞之前對其進行修補。

以下是安全工程師和開發人員在云環境中常犯的三個錯誤：

沒有遵循最低特權原則：云環境的配置通常不正確，無法提供比必要的更多訪問。

開發不安全的應用程序和功能：不安全的應用程序和功能可為攻擊者提供一條利用漏洞進入云環境的途徑。

如果更高權限的身份或角色受到損害(例如通過損害VM)，則可以在云環境中提升權限：安全組配置不正確，允許的流量超過必要的數量。

云基礎設施很容易配置錯誤，這可能會導致極端的后果。因此，每次應用重大更改時，都應該測試云基礎設施的安全態勢。

No.5為什么選擇SSC

在SecurityScorecard，您的安全狀況可以從所有角度進行測試和加強，從云到外部、內部、移動、網絡和Wi-Fi基礎設施。SecurityScorecard的滲透測試服務確保您的環境安全，同時幫助您實現合規。在網絡安全問題上，這句格言“最好的防御是最好的進攻”比以往任何時候都更加正確。

推薦閱讀

虹科SecurityScorecard

虹科SecurityScorecard（SSC）是一個安全評級平臺，使企業能夠以非侵入性和由外而內的方式，對全球任何公司的安全風險進行即時評級、了解和持續監測。獲得C、D或F評級的公司被入侵或面臨合規處罰的可能性比獲得A或B評級的公司高5倍。

虹科SSC對企業的安全狀況以及任何組織的安全系統中所有供應商和合作伙伴的網絡健康狀況提供即時可見性。該平臺使用可信的商業和開源威脅源以及非侵入性的數據收集方法，對全球成千上萬的組織的安全態勢進行定量評估和持續監測。

虹科SSC為各行各業的大小型企業提供最準確、最透明、最全面的安全風險評級。

虹科是在各細分專業技術領域內的資源整合及技術服務落地供應商。虹科網絡安全事業部的宗旨是：讓網絡安全更簡單！憑借深厚的行業經驗和技術積累，近幾年來與世界行業內頂級供應商Morphisec，DataLocker，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關系。我們的解決方案包括網絡全流量監控，數據安全，終端安全（動態防御），網絡安全評級，網絡仿真，物聯網設備漏洞掃描，安全網絡時間同步等行業領先解決方案。虹科的工程師積極參與國內外專業協會和聯盟的活動，重視技術培訓和積累。

此外，我們積極參與工業互聯網產業聯盟、中國通信企業協會等行業協會的工作，為推廣先進技術的普及做出了重要貢獻。我們在不斷創新和實踐中總結可持續和可信賴的方案，堅持與客戶一起思考，從工程師角度發現問題，解決問題，為客戶提供完美的解決方案。