混合云服务器的安全现状

根据趋势科技的报告，今年上半年Linux服务器遭受勒索软件攻击的数量与去年同期相比增加了75% 。
2022年泰雷兹云安全报告显示，在过去的12个月中，有45%的企业经历过基于云的数据泄露或审核失败。

在以上报告中，我们可以看到云服务器漏洞正在不断上升，存放关键数据的服务器正成为日益复杂的网络攻击的目标。企业不断面临服务器访问漏洞、勒索软件、供应链攻击以及在混合云安全环境中保护远程访问的挑战。除了这些挑战之外，大多数企业在安全方面的人手不足。他们缺乏保护云中服务器的流程和技术，这使他们更容易受到安全事件的影响。

了解服务器访问漏洞

现代企业IT环境已经变得高度多样化和分布式。虽然多数企业仍然在本地数据中心维护大量服务器，然而不可否认的是，云转型项目正在加速，包括云工作负载、容器、微服务等的新型服务器不断涌现。这些不同的服务器实例也可以部署在多个云平台上，例如亚马逊网络服务(AWS)、微软Azure、阿里云等。

与此同时，可以访问服务器的用户数量呈指数级增长。除了传统的IT服务器和数据库管理员之外，现在还有DevOps团队每天使用基础架构即代码 (IaC) 来编排公有云中的数百个虚拟服务器实例和容器。因此，对服务器的安全远程访问变得无比重要。

云的弹性和动态世界跟传统的企业数据中心有很大不同。多企业通常会拥有多个具有不同风险概况的操作系统和应用程序，每个云服务器都由不同的策略管理，而不是跨团队、地域和业务部门的一致安全框架。因此，多样化的分布式服务器环境更难管理和保护。

典型的服务器攻击方式包括：

通过用户工作站进行服务器攻击：随着员工远程工作以及企业采用更多云服务来支持他们，用户工作站的攻击面变得越来越大。任何获得用户工作站访问权限的攻击都会为攻击者提供立足点和并由此进入服务器网络。授予用户本地管理员帐号访问权限（安装桌面应用程序、更新驱动程序、连接到打印机等）的常见不良做法很容易让攻击者获取该特权，从而他们就拥有该工作站并可以利用它来访问网络的其他区域——包括服务器。

如果没有有效的服务器安全控制，攻击者可以安装黑客工具并轻松地从工作站转移到服务器。在COVID-19之后，虚拟专用网络 (VPN) 的使用已大大扩展。而VPN通常不支持精细的访问控制。由于用户的工作站被授予对公司网络的访问权限，因此病毒感染很容易传播。此外，VPN通常依赖于可以将用户（或攻击者）暴露于更广泛的网络的跳转主机（或网关），而不是通过手术将用户仅连接到所需的（或目标）系统。

通过密码管理器进行服务器攻击：一些企业依赖于提供虚假安全感的弱密码管理器。如果密码管理器没有得到适当的保护并且用户被钓鱼或内部人员行为不当，威胁者可以在服务器上获得立足点。企业密码库可以提供比密码管理器更好的安全性，因为它可以进行集中部署、使用和管理。

保险库也可以配置为代理，通过它启动所有远程会话，并且还可以正确实施基于角色的访问控制 (RBAC)。但是，如果攻击者绕过保险库，他们还可以绕过基于保险库的访问控制和会话记录功能，从而更难识别攻击源。

服务器直接攻击服务器：心怀不满或怀有恶意的员工通常可以绕过最终用户工作站，或者回避或禁用安全控制，直接针对服务器——无论该服务器是在云中还是在本地。已经在网络上并窃取了特权凭据的外部威胁参与者可以在服务器之间横向移动，以访问敏感数据并将其泄露或加密以获取赎金。

保护帐号及其相关的登录机器和运行特权命令和应用程序的权利对于服务器安全至关重要。如果这些特权帐号落入坏人之手，企业的系统和数据将面临风险。

之所以企业还在服务器安全方面苦苦挣扎，主要基于以下两个原因：

本机服务器安全性不足。尽管Windows服务器具有内置的集中策略管理和本地执行功能，但它们严重依赖 Active Directory (AD) 来创建和管理访问控制策略。AD的机制非常复杂和脆弱。Windows管理员团队有复杂的角色和权限管理任务——他们不想接触AD，因为害怕破坏它。因此，这些规则和机制——以及它们提供的账户和权限——会随着时间的推移而增长。

UNIX/Linux服务器传统上是在每台机器的基础上管理的，而不是通过像AD这样的集中目录服务。UNIX/Linux服务器的文件/文件夹系统只允许三个级别的标准访问（owner, group和world）。每个都有读/写/执行权限。访问既不是细粒度的，也没有时间限制。同时也没有请求和批准过程。因此，用户拥有过多的长期特权会增加风险——尤其是在现代云/DevOps世界中，Linux是许多人首选的操作系统。

传统工具无法适应当今混合环境中对服务器安全的要求。企业通常会部署特权访问管理 (PAM) 工具来解决服务器访问安全问题。问题在于，许多企业仍在使用十多年前为数据中心中的服务器构建的工具，所有的东西都在同一个网络上。这些产品的设计早已无法处理当今混合的本地和云服务器环境。

认识到勒索软件的影响
勒索软件攻击在全球范围内急剧增加，例如，美国在过去两年中增长了近200%。而特权账号现已成为勒索软件攻击企业及其服务器资产的主要手段之一，由此造成的数据泄露为企业带来了高昂的成本。据IBM的报告，2022年数据泄露的平均成本为435万美元 (http://www.ibm.com/security/data-breach)。

对于使用网络钓鱼活动进行帐号接管的网络犯罪分子来说，电子邮件仍然是一种常见的攻击媒介，可以为攻击者提供本地凭据。大多数勒索软件攻击现在涉及网络犯罪分子使用被盗凭据未经授权访问目标环境。网络犯罪分子可能会在目标环境中停留数周或数月——在网络中横向移动、建立持久性、获取（或创建）额外的凭据，并在尽可能多的系统上安装勒索软件——同时泄露敏感数据的副本可能用于双重或三重勒索攻击。

在双重勒索软件攻击中，网络犯罪分子威胁要在勒索软件加密数据之前暴露已泄露的敏感数据。被攻击企业必须支付赎金以恢复其已被勒索软件加密的数据，并支付额外的赎金以避免其数据公开。当然，即使支付了赎金，也不能保证网络犯罪分子不会公开或出售数据。

在三重勒索软件攻击中，网络犯罪分子更进一步，对原始目标发起分布式拒绝服务 (DDoS) 攻击和/或直接针对敏感数据中识别并威胁要发布其敏感个人信息的个人（ 例如财务数据和健康记录）。

勒索软件的收益如此巨大，因此勒索软件开发人员已经形成了产业，提供勒索软件即服务 (RaaS)。在这种新模式中，网络犯罪分子创建勒索软件并将其出售给其他网络犯罪分子或免费提供。RaaS提供商甚至可以代表会员协商赎金并促进付款，使其成为一个完整的交钥匙策略。

攻击者部署软件，从目标企业收集赎金，并将一定比例的赎金返还给创建者。创作者的风险最小，成功的机会更大。

勒索软件可能会进一步演变成一种订阅模式，在这种模式下，企业还可以向犯罪团伙支付费用，以免自己被作为攻击目标。

在远程访问中平衡生产力和安全性

在我们现代的全球经济中，企业必须不断快速创新，以向市场提供新产品和服务。因此，企业非常关注生产力。但安全性和生产力总是相互矛盾的。用户将安全视为生产力的瓶颈。使用难以记住且必须经常更改的用户名和密码登录对用户来说已经够麻烦了。

现在，多因素身份验证 (MFA) 越来越多地被强制执行，这需要用户再一步来验证和授权他们的访问。VPN通常是远程访问所必需的，但也需要用户交互，并且会显着降低网络性能。

然而，尽管存在这些明显的负担，但安全对每个企业来说无疑都是至关重要的。用户在某种程度上了解风险，但他们仍在寻找创造性的方法来规避复杂和令人困惑的安全控制。COVID-19大流行加速了对安全远程访问的需求，以支持在家工作 (WFH) 和随时随地工作 (WFA) 模式。结果，企业攻击呈指数级增长。企业对访问企业网络的设备（以及可能不安全的家庭Wi-Fi网络）的可见性和控制力较低。

最小权限是许多企业努力实施的众所周知的安全最佳实践的一个例子。最小权限描述了通过各种控件和工具限制用户和应用程序访问特权帐号而不影响生产力的概念。根据德里纳全球最小权限安全状态报告，来自用户的投诉是最小权限实施失败的最大原因。在对最小权限实施严格控制时，企业可能会对用户的工作效率产生负面影响。

因此，在构建结构化的安全程序来保护企业的云和本地服务器时，我们必须考虑生产力和安全性之间的平衡，也即创建一个最佳的最小权限策略。

立即联系我们，获取对最小权限策略的具体化建议！