信息化觀察網(wǎng)

如今，世界各地的組織正在收集、存儲和管理不斷增加的數(shù)據(jù)。許多人決定將這些數(shù)據(jù)存儲在云中，因?yàn)閷?shù)據(jù)保存在自己的數(shù)據(jù)中心是不可持續(xù)的。但隨后發(fā)生了難以想象的事情，很多組織從黑客那里收到贖金郵件，通知他們已經(jīng)掌握了云中組織數(shù)據(jù)的控制權(quán)，并且要求為他們的數(shù)據(jù)支付大量贖金。那么該怎么辦?

首先，需要向其他具有豐富公共經(jīng)驗(yàn)的企業(yè)學(xué)習(xí)。例如，如果Uber公司在2016年為其數(shù)據(jù)泄露支付了贖金，并希望永遠(yuǎn)不會出現(xiàn)攻擊的話，那么這將會導(dǎo)致客戶失去信任。此外，它可能會公開展示一個(gè)漏洞，并吸引其他黑客試圖攻擊實(shí)施另一次劫持。不幸的是，對于Uber公司而言，這次網(wǎng)絡(luò)襲擊事件于2017年底公開，他們現(xiàn)在面臨憤怒的客戶、利益相關(guān)者和監(jiān)管機(jī)構(gòu)的質(zhì)疑和批評。他們將如何處理?組織可以做些什么來防止這種大規(guī)模的數(shù)據(jù)泄露事件發(fā)生?

企業(yè)需要做的最重要的事情之一就是要及時(shí)了解他們面臨的各種威脅。人們正處于IT環(huán)境正在經(jīng)歷戲劇性數(shù)字化轉(zhuǎn)型的時(shí)代，傳統(tǒng)基礎(chǔ)設(shè)施被現(xiàn)代基于云計(jì)算的解決方案所取代。隨著云計(jì)算解決方案的日益普及，一種新型的企業(yè)安全威脅正在出現(xiàn)，它依賴于勒索軟件的浪潮：它被稱為“泄漏的云存儲桶”。

什么是泄漏的云存儲桶?

當(dāng)數(shù)據(jù)暴露在公共云上時(shí)，通常是由于存儲桶配置錯(cuò)誤導(dǎo)致的，它被稱為泄漏的云存儲桶事件。

每個(gè)公共云存儲服務(wù)都提供存儲桶，這是AWS為存儲云上數(shù)據(jù)對象的存儲庫創(chuàng)造的術(shù)語(Azure稱他們?yōu)?#39;blob')。企業(yè)客戶能夠以他們選擇的任何方式配置存儲桶，其中包括維護(hù)存儲桶的區(qū)域，存儲桶中對象的生命周期規(guī)則，一般訪問權(quán)限等等。

在過去的一年里，出現(xiàn)了一系列此類事件，這些事件困擾著很多組織，如Uber、Verizon、Viacom、道瓊斯，甚至美國的軍事組織。

那么誰應(yīng)該受到責(zé)備?是客戶、云計(jì)算提供商、存儲供應(yīng)商還是黑客?事實(shí)證明，問題的根本原因不在于涉及的云計(jì)算提供商，無論是AWS、Microsoft、IBM還是Google，還有企業(yè)管理員正在配置和使用這些存儲桶的方式。最終，大多數(shù)情況都可以解決用戶錯(cuò)誤的原始問題。

這真的很令人驚訝嗎?讓人們不要忘記，調(diào)研機(jī)構(gòu)Gartner公司預(yù)測95%的云計(jì)算安全故障將是客戶的錯(cuò)。

IT行業(yè)人士通常都知道用戶或管理員的錯(cuò)誤一直困擾著IT組織。這是泄漏的云存儲桶面臨的情況。

這些存儲桶有兩個(gè)主要屬性不應(yīng)忽略。首先，云存儲和存儲桶是駐留在私有云和防火墻邊界之外的共享服務(wù)。其次，云存儲桶基于對象存儲，它不會強(qiáng)制組織多年來使用的文件系統(tǒng)訪問控制列表(ACL)來定義文件級粒度權(quán)限。

與傳統(tǒng)IT或傳統(tǒng)存儲的數(shù)十年企業(yè)IT體驗(yàn)相比，云計(jì)算存儲管理的固有缺點(diǎn)加上云存儲管理的不成熟，導(dǎo)致存儲的數(shù)據(jù)沒有得到保護(hù)，可能成為黑客的獵物，而黑客經(jīng)常運(yùn)行掃描搜索下一個(gè)受害者。

該怎么做才能避免泄漏云存儲桶?

幸運(yùn)的是，有一些簡單的預(yù)防措施可以確保數(shù)據(jù)在組織的邊界內(nèi)得到保護(hù)：

(1)加密數(shù)據(jù)并將鑰匙放在口袋里

如果IT人員遵循一個(gè)簡單的規(guī)則：如果企業(yè)的數(shù)據(jù)存儲在外部環(huán)境，則必須被加密，那么IT人員才能放心。正如沒有人在沒有VPN的情況下可以通過公共Wi-Fi訪問敏感信息一樣，企業(yè)不應(yīng)該在沒有適當(dāng)加密的情況下使用公共云存儲。如果數(shù)據(jù)在空閑時(shí)加密，并且只有某些工作人員可以訪問加密密鑰，則無需擔(dān)心存儲桶是否泄露：加密數(shù)據(jù)對任何未授權(quán)的用戶都是無用的。這是一種至關(guān)重要的保險(xiǎn)措施，可以防止有一天發(fā)生錯(cuò)誤的概率，無論其大小如何。

(2)管理訪問權(quán)限

使用多層訪問控制系統(tǒng)，該系統(tǒng)從存儲桶本身的訪問權(quán)限一直到相關(guān)工作負(fù)載的文件級別，保留權(quán)限并將它們連接到中央目錄身份驗(yàn)證系統(tǒng)。

(3)投資數(shù)據(jù)丟失預(yù)防(DLP)

利用DLP軟件監(jiān)控?cái)?shù)據(jù)訪問模式，并找出可以檢測數(shù)據(jù)泄漏的偏差。這些工具還可以阻止策略違規(guī)，從而可以阻止用戶在企業(yè)的防護(hù)措施之外發(fā)送敏感數(shù)據(jù)。

(4)鎖定端點(diǎn)和辦公室

使用企業(yè)移動管理(EMM ) 移動設(shè)備管理(MDM)工具消除影子IT，在企業(yè)提供的和BYOD設(shè)備中創(chuàng)建安全的生產(chǎn)力空間。

(5)定期滲透測試

在向網(wǎng)絡(luò)添加新基礎(chǔ)設(shè)施(例如云存儲)時(shí)，滲透測試至關(guān)重要。但是，這種優(yōu)良的作法是定期進(jìn)行測試以評估組織的安全狀況，并確保不會出現(xiàn)新的泄漏。

所有這些措施都應(yīng)該成為所有組織隱私議程的首要任務(wù)，只有這樣，他們才有機(jī)會保護(hù)自己免受許多泄漏的云存儲桶受害者所遭受的命運(yùn)。