【系统安全】云上安全：需警惕的八大常见错误_数据分析

云计算已成为企业数字化转型的主流工具，但企业的云安全能力却往往并不入流。调查显示，98%的企业将财务、业务、客户、员工信息存储在云端，但同时，95%的云安全专业人士对检测和响应云安全事件的能力缺乏信心。

以下是企业云环境中最常见的八种云安全错误：

**云配置错误。**可能会导致攻击者获得对系统功能和敏感数据进行未授权访问的权限，并有可能损害企业云的完整性和安全性。
**可公开访问的密钥、凭证等。**最常见的云安全错误之一是以纯文本存储或在代码中包含可公开访问的密钥、凭证和其他敏感信息。此类信息能让未经授权的攻击者访问云资源。
**不使用多因素身份验证(mfa)。**这是一个糟糕的习惯，攻击者可以轻松窃取用户密码（通过网络钓鱼、恶意软件、暴力破解等）并访问存储在云中的数据。
**未定义访问控制策略。**云资源的有效管理需要清晰且定义良好的访问控制策略。如果企业未定义此类策略，云资源可能容易受到未经授权的访问，从而可能导致数据泄露、未经授权的访问可用于进一步破坏帐户以及网络和系统破坏。
**没有完善的数据备份策略，**这会导致企业在网络攻击事件中面临数据丢失和业务中断的重大风险。
**忽视修补和更新系统。**网络犯罪分子总是在积极寻找弱点（漏洞）并利用它们访问系统、投放恶意软件和窃取数据。企业补丁管理流程的最佳实践包括：采用基于风险的方法进行补丁管理、建立基线清单以及按优先级和风险对资产进行分类。
**缺乏持续监控。**会让企业面临重大云安全风险，因为这意味着攻击者利用漏洞后可在系统中长期驻留不被发现。常见的监控措施包括：实施xdr、监控日志和事件、设置警报、利用ai和机器学习分析数据、建立成熟的威胁检测计划等。
**未加密数据。**这可能对企业造成严重后果：如果攻击者获得了未加密数据的访问权限，他们就可以轻松读取、复制或修改数据，而不会留下任何痕迹。这可能会导致数据泄露，暴露敏感信息，例如客户数据、财务记录、知识产权或商业秘密。

eset研究人员补充了另一个常见的云安全错误：过分信任云服务商。

研究人员指出：“许多it领导者认为，投资云意味着将一切都外包给值得信赖的第三方。这并不完全正确。云计算的安全的责任是由云服务提供商(csp)和客户共同承担的。”

云安全需要整体策略和方案

数据、用户、应用程序和基础设施在云中需要不同的保护措施。用户需要谨慎分配并经常审查数据访问权限，此外，创建企业内部数据资产的全面清单和分类也至关重要。

企业应实施数据泄露防护(dlp)、数据加密和通过mfa和单点登录进行授权的零信任模型。此外，企业还应密切监控用户活动并使用云访问安全代理(casb)加强威胁检测并在云应用程序中执行安全策略。

为了更好地保护云端应用，建议企业部署和使用：

具有主动修复策略的漏洞扫描
用于问题分析的静态应用程序安全测试(sast)
用于识别配置错误的渗透测试
用于开源代码安全分析的软件成分分析(sca)
监控应用程序访问和权限更改的变更和配置审计

此外，完善的云基础设施安全措施还包括定期的配置审计以确保遵守组织政策，对网络组件和权限中的配置错误进行自动监控，以及实施事件预防、检测和响应措施，例如高级恶意软件防护、入侵检测系统和流量监控等。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、nmap工具、google hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（msf）、绕过ids和反病毒侦察
④主机攻防演练：ms17-010、ms08-067、ms10-046、ms12-20等

3、操作系统基础（1周）
①windows系统常见功能和命令
②kali linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、osi模型、数据转发流程
③常见协议解析（http、tcp/ip、arp等）
④网络攻击技术与网络安全防御技术
⑤web漏洞原理与防御：主动/被动攻击、ddos攻击、cve漏洞复现

5、数据库基础操作（2天）
①数据库基础
②sql语言基础
③数据库安全加固

6、web渗透（1周）
①html、css和javascript简介
②owasp top10
③web漏洞扫描工具
④web渗透工具：nmap、burpsuite、sqlmap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的ctf竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言python/php/go/java中的一种，对常用库进行编程学习
搭建开发环境和选择ide，php环境推荐wamp和xampp，ide强烈推荐sublime；

python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《python核心编程》，没必要看完

用python编写漏洞的exp,然后写一个简单的网络爬虫

php基本语法学习并书写一个简单的博客系统

熟悉mvc架构，并试着学习一个php框架或者python框架 (可选)

了解bootstrap的布局或者css。