云计算的错误配置给公司造成了近5万亿美元的损失

互联网2020-03-04 14:55:38
导读云安全公司DivvyCloud的研究人员发现,由云错误配置导致的入侵给全球公司造成了损失,估计在2018年和2019年将损失5万亿美元。在“2020年云错误配置报告”中,DivvyCloud的研究人员研

云安全公司DivvyCloud的研究人员发现,由云错误配置导致的入侵给全球公司造成了损失,估计在2018年和2019年将损失5万亿美元。在“2020年云错误配置报告”中,DivvyCloud的研究人员研究了全球范围内2018年1月1日至2019年12月31日期间公开报告的所有数据泄露,发现196个独立的数据泄露被确定主要是由云错误配置造成的。在过去的两年中,由于成千上万的公司在没有适当的安全系统的情况下迁移到云环境,超过330亿条记录被曝光。DivvyCloud首席执行官兼联合创始人布赖恩•约翰逊(Brian Johnson)表示:“近年来,由云配置不当导致的数据泄露一直占据着新闻头条,而这些事件中的绝大多数都是可以避免的。”根据波耐蒙研究所(Ponemon Institute) 2019年一份报告中的数据,DivvyCloud的研究人员估计,在这两年里,云配置错误给公司造成的损失高达5万亿美元。“近年来,由云错误配置导致的入侵一直占据着新闻头条。DivvyCloud的研究人员编写了这份报告,以证实由云错误配置导致的入侵日益增长的趋势,量化它们对世界各地的公司和消费者的影响,并确定可能增加公司遭受此类入侵的可能性的因素,”报告称。同比”从2018年到2019年,暴露于云配置错误的记录数量增长了80%,公司的总成本与那些失去了相关记录,“据报道不幸的是,该报告还补充说,专家预计这种趋势将持续下去,随着公司继续采用云服务快速但未能实现适当的云安全措施。该机构发现,2018年总共有118亿份记录被曝光,总成本为1.76万亿美元。到2019年,这一数字上升到212亿次,成本上升到3.18万亿美元。参见:混合云:IT专业人员指南(免费PDF) (TechRepublic Premium)云配置错误的严重程度可能比报告中的数字显示的还要严重。该公司的研究人员援引McAfee的数据称,公共云中99%的错误配置都没有被报告。随着越来越多的公司将系统和流程转移到云平台,2018年至2019年间,与云配置不当相关的违规事件从81起上升到115起。但该报告将企业启动的年份与云配置错误的严重程度或频率联系起来。近70%处理违规的组织是在2010年之前成立的,约7%是在2015年后成立的公司。报告称:“这些统计数据表明,与在云环境中诞生的年轻公司相比,正在向云环境过渡的老公司在实施和持续实施适当的安全控制方面面临更大的困难。”

报告称,大多数云配置错误要么是由缺乏经验的用户造成的,要么是未能从过时的安全模型中转换过来。报告中提到的其他原因包括缺乏统一的云能见度,以及前所未有的变化速度、规模和范围。现在,在一个组织中使用云系统的人员要多得多,这使得基础设施面临更多的攻击。根据这份报告,过去任何时候都有40人使用云平台,而在如今日益数字化的环境中,这一数字已经激增至3000人。该研究还发现,云配置不当与企业进行并购之间存在关联,例如万豪(Marriott)和喜达屋(Starwood)在2018年遭遇的数据泄露就是一个很好的例子,说明了合并IT环境有时会因云配置不当而导致数据泄露。报告中研究的公司中,超过40%的公司在2015年至2019年间进行了并购交易,其中至少有三家公司遭遇了与云配置不当相关的数据泄露。报告还指出,有数据泄露给并购带来问题的先例。报告提到,在雅虎的大规模数据泄露成为新闻之后,Verizon将对雅虎的收购报价降低了3.5亿美元。在DivvyCloud研究人员检查的196个漏洞中,2018年和2019年曝光的所有记录中有44%与弹性搜索错误配置问题有关。“从2018年到2019年,弹性搜索错误配置导致的违规数量增加了近两倍。S3桶的错误配置占所有缺口的16%。从2018年到2019年,S3桶错误配置减少了45%。MongoDB的错误配置占所有入侵的12%。从2018年到2019年,MongoDB的错误配置实例几乎翻了一番,”报告说。DivvyCloud的研究人员指出,根据Gartner的数据,99%的云安全故障都是客户的错,但大多数云配置错误都发生在AWS服务上。微软Azure、谷歌云平台和Kubernetes也有许多云配置错误。大多数违规事件都是由科技公司处理的,其中41%的事故归咎于该行业,其次是医疗公司(20%)和政府机构(10%)。酒店、金融、零售、教育和商业等行业的企业都在6%左右。“这些企业在接受公共云和容器基础设施的动态自助服务特性时,未能提高安全性、控制和最小化风险。结果,他们遭遇了数据泄露,这不仅对他们的组织造成了毁灭性打击,也对公众造成了毁灭性打击,”报告称。“通常情况下,当一个漏洞成为头条新闻时,拥有(或受委托保护)那些声誉受损的暴露数据的是公司,而不是底层云服务提供商。”在安全方面,客户和云服务提供商之间存在共同的责任关系。”

报告指出,任何使用云服务的公司或企业都需要从一开始就优先考虑安全性,并不断更新协议以应对市场上的变化。组织(而不是云提供商)负责处理存储在云系统中的数据的访问管理、存储、威胁分析和防御。

安全需要成为一个持续不断的问题,而不是一次性解决的问题。不幸的是,该报告称,由于云配置不当导致的数据泄露将继续成为一个问题,因为越来越多的公司采用云服务,却没有认识到保护自己所必需的安全性。“我们知道越来越多的公司正在迅速采用公共云,因为他们需要它的速度和灵活性,以在当今快节奏的商业环境中保持竞争力和创新性,”Johnson说。他说:“问题是,许多公司没有采取全面的安全措施,这使他们面临不必要的风险。安全的云配置必须是一个动态的、连续的过程,而且必须包括自动修复。”

免责声明:本文由用户上传,如有侵权请联系删除!