香港云服务器怎样避免勒索软件攻击？

据美国知名安全设备供应商 SonicWall 最新一期年度威胁报告指出，2019 年至 2021 年，全球勒索软件攻击量增长 231.7 %。某些黑客组织甚至还提供“勒索软件即服务”，将他们的勒索软件工具和技术“特许经营”给那些技能较差的黑客使用。显然，防范勒索软件攻击必须作为企业整体网络安全战略的一部分。如果你使用香港云服务器等云基础架构，则可能面临不同类型的威胁。

什么是勒索软件攻击？

不要将勒索软件攻击与数据泄露混淆，后者涉及数据被盗。勒索软件的目的，不是窃取你的香港云服务器中的数据（尽管在勒索软件攻击期间也可能发生这种情况），而是控制香港云服务器的存储或加密数据并阻止你访问香港云服务器控制台数据的系统，直到你支付赎金为止。这可能会对企业产生毁灭性的影响，因为它可以有效地禁止你操作自己的系统，直到你恢复对数据的访问。

虽然勒索软件是一个主要的网络安全威胁，但我们几乎没有看到针对香港云服务器环境执行的勒索软件攻击。其原因涉及云基础架构和数据中心基础架构之间的根本差异。

香港云服务器的新威胁

使用香港云服务器时，你的云环境不仅仅是现场数据中心和 IT 系统的远程副本。香港云服务器等云计算基础设施，是 100% 由应用程序编程接口（API）驱动的，允许不同的应用程序相互交互。香港云服务器的控制台是配置和操作香港云服务器的 API 界面。

例如，你可以使用控制台构建香港云服务器、修改网络路由以及访问数据库或数据库快照中的数据。API 控制台是企业用于配置和操作它们的云服务器的 API 集合。

亚马逊、谷歌、微软、恒创科技等所有云平台提供商的首要任务是确保你的数据是强大而有弹性的。在云中复制数据既简单又便宜，架构良好的云环境可确保对数据进行多次备份或快照。这是攻击者使用勒索软件能力的关键抑制因素：数据的多个副本会拒绝他们勒索你的能力。如果攻击者能够加密你的数据并要求你赎金，你只需恢复到加密前的最新版本即可。如果采用的不是香港云服务器等云基础架构，而是采用数据中心基础架构，如果你对本地系统的访问权限被剥夺并加密，在不支付赎金的情况下重新获得访问权限可能非常困难。

香港云服务器中的安全性是不同的，因为它是良好设计和架构的功能，而不是入侵检测和安全分析。黑客并不是试图渗透你的网络，以便将你锁定在系统之外，他们试图利用云服务器的错误配置，使他们能够对你的云控制台 API 进行操作，并从中窃取你的数据。

香港云服务器中的配置错误是什么？

配置错误可能因单个资源错误配置而异，这些错误配置可能看起来很简单，例如将端口配置为开放的重大体系结构设计缺陷，攻击者利用这些缺陷将小的错误配置转换为巨大的爆破半径。如果你的企业业务在云中运行，经过长时间的配置、更改，你的云环境很容易产生类似的漏洞。不过，由于香港云服务器等云基础架构是可以编程的软件，因此可以使用“策略即代码”的软件工程方法来防止此类攻击。

“策略即代码”增强香港云服务器的安全性

当开发人员在香港云服务器中构建应用程序时，他们也在为应用程序构建基础架构，而不是购买物理基础架构并将应用程序部署到其中。设计和构建云基础架构的过程是通过代码完成的，这意味着开发人员拥有该过程，这从根本上改变了安全团队的角色。

在一个完全由软件定义的世界中，安全的角色是领域安全专家，他将安全知识传授给构建业务的开发人员，以确保他们在安全的环境中工作。这些知识是作为自动化开发人员工具提供的，该工具利用策略作为代码，而不是用人类语言编写的清单和策略文档。

策略即代码，使你的团队能够以编程语言表达安全性和合规性规则，应用程序可以使用该语言来检查配置的正确性。它旨在检查其他代码和运行环境中是否存在不需要的条件或不应该出现的情况。它使所有香港云服务器实例能够安全地运行，而不会对规则是什么以及如何在软件开发生命周期（SDLC）的两端应用它们产生任何歧义或分歧。

同时，“策略即代码”可自动执行不断搜索和修正错误配置的过程。从长远来看，没有其他方法可以在这方面取得成功，因为问题空间不断扩大。云服务的数量不断增长，你拥有的部署数量以及资源量不断增长。因此，你必须实现自动化，以减轻安全专业人员手动监控配置错误需要花费的大量时间，并使开发人员能够以灵活的方式编写代码，这种方式可以随着时间的推移而更改，并且可以整合新知识。

强化你的云安全态势

已实施有效云安全计划的企业具有一些共同的特征，任何企业都可以效仿这些方式来强化其云安全态势：

• 了解你的环境：每周或每季度进行一次云安全审计是不够的，因为云环境在不断变化，黑客使用自动化来检测他们可以利用的错误配置。持续调查你的云环境，包括所有资源和配置，以始终保持态势感知。
• 积极主动，而不是被动：将你的安全心态转向防止配置错误漏洞，并远离入侵检测和拦截。云控制台入侵攻击发生得太快，任何团队或技术都无法阻止正在进行的攻击。
• 为你的开发人员提供支持：通过为开发人员提供利用“策略即代码”的自动化安全工具，让他们参与到流程中来。毕竟，既然你现在专注于预防，那么谁比构建这些环境和系统的工程师更有能力防止配置错误呢？
• 测量和实施：成功的企业会衡量重要的事情，以了解他们的立场，他们的目标，并量化他们在预防漏洞和由此产生的安全事件方面的进展。最终，它们完全可操作云安全性，以最大限度地降低风险并最大限度地提高云中的创新速度。

总之，我们需要强调的是，尽管你的香港云服务器所在的云环境并不容易受到勒索软件的攻击，但随着你采用更多基于云的平台和服务，由于配置错误而导致数据泄露的风险很高，并且还在不断增加。最好的防御是预防。在开发阶段、持续集成/持续交付 （CI/CD） 和运行时中使用策略即代码，以快速识别和修正配置错误。随着你的成熟度提高，这些步骤可以在整个 DevOps 流程中实施，以便整个过程实现自动化和高效。

（注：本文属【恒创科技】原创，转载请注明出处！）