新风险指数助力企业应对云安全混沌局面
企业可利用IaC风险指数识别基础设施即代码环境中未受管理或治理的脆弱云资源。
来源:Andriy Popov via Alamy Stock Photo
企业在维护整体安全态势时需要应对大量安全准则。新推出的IaC风险指数旨在帮助企业管理基础设施即代码环境相关的安全风险。
IaC为企业提供了自动化部署和维护基础设施的方式。安全与IT团队可通过工具管理云资源、提升系统性能,并改善IT环境安全性。但若管理不当,IaC可能引发配置错误和意外数据暴露等风险,攻击者会伺机利用这些漏洞。
云基础设施自动化初创公司ControlMonkey推出的IaC风险指数,通过安全仪表盘形式呈现颜色编码的风险等级(从低到严重),帮助企业识别环境中未管理、漂移或缺乏治理的脆弱资源。
“IaC覆盖率即安全度量标准”
ControlMonkey CEO兼联合创始人Aharon Twizer表示,该指数核心目标是"在基础设施创建的源头测量并降低云风险"。它充当基础设施团队与安全团队之间的桥梁,促进协作。
Twizer指出:“绕过IaC管道创建的云资源会规避企业依赖的所有控制措施(如验证、策略和可视化),这正是风险所在。此前无人对此进行量化。”
该指数包含两大核心数据点:
- 未管理的IaC资源(其风险程度是常规漏洞的两倍)
- 企业普遍高估IaC覆盖率30%-40%,CISO们也常低估安全风险
“多数仪表盘聚焦部署后的检测,而本产品关注交付过程和基础设施构建方式——这正是治理成败的关键。“Twizer强调。
企业面临的复杂云挑战
Twizer表示该指数适用于所有存在云复杂性的组织。混合云环境下管理资源本就困难,IaC风险指数提供了可操作的框架来识别覆盖盲区。
“不仅要修补问题,更要将其纳入IaC治理,从源代码层面修复。“Twizer说,“关键不在于消除所有漏洞,而在于明年能否减少漏洞数量,这需要前瞻性地构建安全云策略。”
优先修复关键威胁
Enterprise Strategy Group应用现代化首席分析师Volk Torsten认为,此类指数可帮助企业优先构建关键事件的自动化修复流程。例如:存在网络分段缺陷的对外应用,其风险远高于内部自动化脚本。
“在动态混合云环境中,能区分公开S3桶存放的是员工度假照片还是机密财务报表,这种能力极具价值。“Torsten指出。
作者:Arielle Waldman
Dark Reading特约撰稿人,常驻波士顿的网络安全领域资深记者。