2022年对于网络安全和云安全专家来说意味着什么？

随着全球对效率的追求，云计算的普及和行业转型正在加速。可以预见，2022年对于网络安全和云安全专家来说又将是忙碌的一年。 

根据2021年ISC网络安全人才市场调研报告，全球网络安全专业人员缺口仍然高达270万。人员数量不足以应对日益严峻的威胁，因此我们需要大力部署自动化技术来应对这一挑战。 

更糟糕的是，攻击者只需要一次成功就能发动网络攻击，而防御者却必须 100% 成功。

在这篇文章中，我想重点介绍我认为在2022年有可能造成大规模全球影响的三种特定威胁因素：

• 民族国家行为体和关键基础设施
  1. 将政府工作负载迁移到云端的安全风险
  2. 容器和云原生技术的日益普及
  3. 多云组织面临的安全挑战
• 丰饶的诅咒
• 云越多，挑战越大
• 各国政府也纷纷加入多云浪潮。

民族国家行为体和关键基础设施

俄罗斯和乌克兰之间的紧张局势因两国在共同边界的兵力集结而加剧。随着北约的介入，俄罗斯面临来自各方的压力，但它不太可能退让。然而，正如我们最近所看到的，侵略行为并非始于枪林弹雨和炸弹爆炸。 

网络攻击是侵略的第一道防线，而俄罗斯在这方面毫不手软。安迪·格林伯格在其著作《沙虫》中详细描述了俄罗斯对国家支持的网络攻击能力的大规模投资。 

随着紧张局势升级，2022 年最引人关注的目标将是电力、燃料管道、电信和宽带等关键基础设施。 

类似的紧张局势也出现在中美两国与台湾的关系中。由于台湾的芯片生产能力对美国科技行业具有战略意义，2022年该地区可能会出现一些活动。 

在美国忙于在其他地区建立生产能力之际，台湾在短期和中期内仍将是其重要的防御要塞。与俄罗斯的情况类似，最初的打击很可能发生在网络领域。中国拥有实力雄厚的网络安全威胁力量，既有内部力量，也有与朝鲜合作的势力。

将政府工作负载迁移到云端的安全风险

随着政府机构向云端迁移，复杂性也随之增加。例如，我们看到AWS、Azure、GCP、Oracle和IBM等云服务提供商都在大力推广各自的安全数据中心，以吸引政府机构使用。 

我们甚至见过针对绝密组织的“物理隔离”产品，这些产品提供完全断开连接、独立于互联网连接运行的区域。 

将工作负载从私有地下设施迁移到云提供商运营的数据中心，可能会带来显著的效率提升，但也会带来安全风险。

这是一个易受攻击的过渡点，攻击者肯定会利用它。

容器和云原生技术的日益普及

在CAST AI，我们非常看好采用容器和云原生技术，例如 Kubernetes。 

然而，容器的安全特性与虚拟机的安全特性截然不同。 

在虚拟机中，客户端和工作负载之间由虚拟机管理程序 (Hypervisor) 提供可靠的隔离。容器的隔离模型则弱得多，并且存在其自身的安全威胁和挑战。企业必须了解这些差异，并做好相应的准备，才能安全地发挥轻量级容器化的优势。 

事实上，AWS 非常关注这种隔离差异，因此创建了Firecracker 微型虚拟机。 

具体来说，在使用函数即服务（又称“Lambda”）时，客户可能在同一基础设施上运行其函数工作负载，而竞争对手或恶意行为者也可能同时运行。我们认为 Firecracker 尚未在所有 AWS 服务中普遍部署，但这种担忧并非空穴来风。

就在几年前， Spectre 和 Meltdown等漏洞被曝光，全世界都在争分夺秒地修复这些漏洞。这些正是硬件处理器缺陷，它们允许计算机进程窃取邻近进程的信息。 

容器本质上是进程，由于其隔离级别较低，因此特别容易受到攻击。 

那么我们会在 2022 年看到另一部《幽灵党》和《熔毁》吗？

最终结果如何尚待观察，但有一点可以肯定：作为行业从业者，我们必须密切关注容器安全。因此，CAST AI 计划加大力度，帮助客户保护其容器化工作负载和 Kubernetes 环境的安全。

多云组织面临的安全挑战

大多数组织正在向与多家云供应商合作的状态转变。客户不想把所有鸡蛋都放在一个篮子里，他们也不应该这样做。 

我们最近看到AWS和谷歌云都发生了服务中断，导致面向消费者的主要服务瘫痪数小时。使用云服务构建IT基础设施的客户必须分散其云供应商的选择。

另一方面，保障截然不同的环境也带来了挑战。 

作为一个行业，我们最近经历了将安全部署从本地迁移到云端的动荡时期。AWS、Azure、Oracle 和 GCP 等供应商现在都提供专有的安全解决方案，以应对各自云环境的特定差异。 

丰饶的诅咒

光是看看AWS安全服务的列表就足以让人眼花缭乱，其中很多服务的功能都重叠：AWS身份与访问管理（IAM）、Amazon Cognito、AWS资源访问管理器、AWS安全中心、Amazon GuardDuty、Amazon Inspector、AWS Config、AWS CloudTrail、AWS IoT设备防御器、AWS Web应用程序防火墙、AWS HSM、密钥管理服务…… 

与保护环境相关的服务还有很多，不胜枚举。仅仅是配置这些服务以确保 AWS 环境安全就极其困难。 

问问 Capital One 的安全团队就知道了。2019 年 7 月，该银行泄露了超过 1 亿客户的个人信息。根本原因是与 Web 应用防火墙和 S3 对象存储相关的安全配置错误。 

配置问题极其复杂，行业专家花了数周时间才弄清整个情况。更糟糕的是，Capital One 还不得不向美国银行监管机构支付 8000 万美元的罚款。 

云越多，挑战越大

现在想象一下，一个团队负责多个云环境。 

他们不仅要熟悉数十种可用的AWS服务，还要精通Azure安全中心或Google Cloud安全服务。随着云供应商的不断增加，这项任务的复杂性呈指数级增长。 

组织必须求助于第三方供应商来实施一类称为 CASB（云访问安全代理）的解决方案，以检测多云配置偏差和最佳实践。

随着企业迁移到多个云提供商，多云配置错误可能成为云漏洞和攻击面的下一个来源。

各国政府也纷纷加入多云浪潮。

有趣的是，各国政府也开始利用多家云供应商。 

美国政府最近取消了 JEDI 项目，并以联合作战人员云能力项目取而代之，该项目被誉为一项涉及多家供应商、价值数十亿美元的采购项目。

随着各国政府纷纷采用多云架构，国家行为体及其利用这些新型攻击途径的前景如何？这又让我们回到了最初确定的第一类漏洞，即关键基础设施。

2022年对于网络攻击而言会是平静的一年，还是这些新的攻击面会成为严重的威胁？未来会给出答案，但各组织不应坐等，而应做好应对所有可能发生的情况的准备。