本文來自千家網(wǎng)。
近年來,云計算被企業(yè)廣泛采用,使其成為網(wǎng)絡(luò)攻擊者誘人的目標(biāo)。本文將詳細(xì)介紹需要了解的一些主要風(fēng)險以及如何保持安全。
云計算并不新鮮:大部分企業(yè)已經(jīng)欣然接受它,因為它具有明顯的優(yōu)勢,包括可擴展性、可訪問性和可靠性。但云平臺提供商,即提供使用云計算所需的基礎(chǔ)設(shè)施、服務(wù)和資源的組織,并不十分出色。這些平臺仍然可能受到安全風(fēng)險的影響,例如內(nèi)部威脅、混亂的數(shù)據(jù)存儲法規(guī)和有針對性的惡意軟件攻擊等。
那么,企業(yè)在使用云計算時面臨哪些最顯著的風(fēng)險?其可以采取什么措施來減輕這些危害?
云計算的安全風(fēng)險
向云平臺的過渡,意味著惡意行為者將繼續(xù)尋求滲透企業(yè)云防御的方法。以下是企業(yè)在嘗試保護云上數(shù)據(jù)時面臨的一些最大的安全風(fēng)險。
1、惡意軟件
通常,當(dāng)企業(yè)實施云計算時,會錯誤地認(rèn)為現(xiàn)在可以免受傳統(tǒng)惡意軟件攻擊。不幸的是,情況并非總是如此。盡管云惡意軟件的預(yù)期目標(biāo)是云平臺提供商,但終端用戶仍然會受到影響。
例如,一種類型的云惡意軟件攻擊是超級劫持,其中網(wǎng)絡(luò)犯罪分子將虛擬機(VM)管理程序交換為損壞的版本。這種轉(zhuǎn)變是有害的,因為管理程序是虛擬機(物理計算機的數(shù)字版本)的基礎(chǔ),也是云計算的構(gòu)建塊之一。超級劫持會影響終端用戶,因為它可能導(dǎo)致敏感數(shù)據(jù)被盜,包括身份詳細(xì)信息和財務(wù)信息,同時還使網(wǎng)絡(luò)犯罪分子能夠利用終端用戶的帳戶分發(fā)更多惡意軟件,并執(zhí)行網(wǎng)絡(luò)釣魚詐騙。
2、網(wǎng)絡(luò)運營可見性有限
當(dāng)企業(yè)混合使用云平臺和環(huán)境以及本地服務(wù)器時,該基礎(chǔ)設(shè)施可能會變得復(fù)雜,并導(dǎo)致網(wǎng)絡(luò)內(nèi)的可見性有限。盡管復(fù)雜的網(wǎng)絡(luò)可能導(dǎo)致運營效率低下和網(wǎng)絡(luò)停機,從而導(dǎo)致超支,但主要的安全問題是無意中產(chǎn)生的網(wǎng)絡(luò)“黑點”。該術(shù)語指的是云網(wǎng)絡(luò)或基礎(chǔ)設(shè)施中監(jiān)控工具經(jīng)常遺漏的區(qū)域,從而使這些部分處于開放狀態(tài)并面臨安全漏洞。
錯誤的網(wǎng)絡(luò)管理等同于向所有潛在的黑客揮手歡迎,因為網(wǎng)絡(luò)犯罪分子可以使用自動化工具掃描云應(yīng)用、服務(wù)器和基礎(chǔ)設(shè)施中的漏洞,從而導(dǎo)致安全漏洞。更糟糕的是,企業(yè)通常不會意識到由于網(wǎng)絡(luò)黑暗而實時遭到破壞,從而導(dǎo)致大量數(shù)據(jù)丟失和補救成本。
3、合規(guī)問題
必須遵守的法規(guī)取決于所在的行業(yè)或提供的服務(wù)。關(guān)于云計算的兩個最廣泛、最相關(guān)的立法是歐盟通用數(shù)據(jù)保護條例(GDPR)和1996年健康保險流通與責(zé)任法案(HIPAA)。
當(dāng)企業(yè)不遵守最小特權(quán)原則(PoLP)或同時遵循多項合規(guī)法規(guī)時,可能會出現(xiàn)與合規(guī)相關(guān)的問題,從而導(dǎo)致在如何保存信息方面出現(xiàn)重疊或模糊。違反合規(guī)法律可能會導(dǎo)致犯罪方面臨巨額罰款和律師費。
4、數(shù)據(jù)丟失
盡管使用云計算的主要原因之一是保護數(shù)據(jù)和資產(chǎn),但也不能避免數(shù)據(jù)丟失。
數(shù)據(jù)丟失的一個重要原因是數(shù)據(jù)備份和恢復(fù)不足。許多初創(chuàng)企業(yè)所有者和企業(yè)家對云過于信任,這意味著他們沒有足夠的計劃和資源來進行數(shù)據(jù)恢復(fù)。如果沒有定期備份和應(yīng)急計劃,在發(fā)生物理損壞、網(wǎng)絡(luò)攻擊或內(nèi)部威脅時,數(shù)據(jù)可能會永久丟失。
5、數(shù)據(jù)泄露
令人驚訝的是,數(shù)據(jù)泄露的最大原因是人為錯誤。根據(jù)Verizon的《2023年數(shù)據(jù)泄露調(diào)查報告》,74%的數(shù)據(jù)泄露涉及人為因素,無論是有意還是無意。
此外,人類數(shù)據(jù)泄露的首要原因是憑證薄弱或被盜。GoodFirms對IT專家和網(wǎng)絡(luò)安全人員進行的一項調(diào)查發(fā)現(xiàn),30%的受訪者因憑證薄弱而經(jīng)歷過數(shù)據(jù)泄露,36%的人將密碼寫在紙上,53%的人將密碼與同事、家人和朋友分享。所有這些做法都是導(dǎo)致違規(guī)的原因。
因此,當(dāng)一些IT專業(yè)人員甚至不遵守自己的網(wǎng)絡(luò)安全協(xié)議時,非IT員工不能承擔(dān)數(shù)據(jù)泄露的所有責(zé)任。
6、賬戶劫持
這其實并不是什么新聞了,但是,如果用戶寫下其云帳戶密碼或與他人共享,其云帳戶被劫持的可能性就會增加。由于這種疏忽,黑客可以訪問員工的電子郵件,并從那里輕松訪問整個云帳戶。
帳戶劫持對網(wǎng)絡(luò)犯罪分子尤其有吸引力,因為33%的企業(yè)文件夾對所有人開放,而且當(dāng)與網(wǎng)絡(luò)可見性弱點和選擇不當(dāng)?shù)拿艽a混合在一起時,帳戶劫持變得更加容易。因此,網(wǎng)絡(luò)犯罪分子可以輕松劫持帳戶,甚至在入門級員工賬戶上也能找到有價值的數(shù)據(jù)。
7、內(nèi)部威脅
真正的威脅其實是:內(nèi)部威脅。這些人可能是現(xiàn)任或前任員工、行為魯莽或疏忽的員工,或者是贏得了天真的員工信任的威脅行為者。
Proofpoint的《2022年內(nèi)部威脅成本全球報告》發(fā)現(xiàn),26%的內(nèi)部威脅都是內(nèi)部犯罪分子所為,而且事件數(shù)量在短短兩年內(nèi)增加了44%,令人震驚。這一增長可能是由于遠(yuǎn)程工作人員、自帶設(shè)備(BYOD)政策或就業(yè)前景受到疫情影響的前員工的增加。
因此,雖然云計算面臨著各種威脅的風(fēng)險,有些是偶然的,有些不是,但一切都還沒有結(jié)束,因為企業(yè)仍然可以遵循一些最佳實踐,使云計算盡可能安全。
云的安全性如何?
與更傳統(tǒng)的方法相比,例如將數(shù)據(jù)存儲在計算機上,在云中存儲數(shù)據(jù)通常是更安全的選擇。由于數(shù)據(jù)保存在云端,企業(yè)數(shù)據(jù)不再局限于單個設(shè)備,從而使勒索軟件等攻擊變得無效。此外,云數(shù)據(jù)只能通過數(shù)字密鑰訪問,全天候監(jiān)控,并通過云平臺提供商進行端到端加密。
然而,云平臺并非堅不可摧。惡意行為者可能會使用社會工程方案來繞過數(shù)據(jù)加密預(yù)防措施來獲取登錄憑據(jù)。員工也可能會犯人為錯誤,例如有人在不使用云帳戶時忘記注銷,從而允許黑客通過其設(shè)備滲透系統(tǒng)。
由于超過60%的企業(yè)數(shù)據(jù)存儲在云端,這些平臺成為網(wǎng)絡(luò)犯罪分子的巨大目標(biāo),這意味著云安全是一個持續(xù)的挑戰(zhàn)。
如何最大限度地降低云計算的風(fēng)險?
理想情況下,網(wǎng)絡(luò)安全專家可以推薦針對所有云計算風(fēng)險的一站式軟件。但是,這個解決方案現(xiàn)在并不存在,而且很可能永遠(yuǎn)不會存在。
那么,企業(yè)可以采取哪些措施來降低云計算的安全風(fēng)險呢?以下是一些解決方案:
●多重身份驗證(MFA):根據(jù)Microsoft的說法,這種要求密碼和指紋或面部掃描的相對簡單的解決方案可以阻止超過99.9%的帳戶泄露。
●網(wǎng)絡(luò)分段:這種做法減少了許多企業(yè)遵循的全訪問方法。為每個網(wǎng)段啟用嚴(yán)格的規(guī)則意味著只允許特定的操作,并且選定數(shù)量的批準(zhǔn)用戶將被授予訪問權(quán)限。
●虛擬專用網(wǎng)絡(luò)(VPN):VPN隱藏用戶的IP地址,并創(chuàng)建加密其在線流量的安全隧道。其使用應(yīng)該是辦公室內(nèi)的標(biāo)準(zhǔn)做法,并且遠(yuǎn)程員工在使用云帳戶和訪問工作文件和數(shù)據(jù)時可以隨時使用它們。
●云審計:此評估不僅可以確定云的計算性能,還可以檢查有關(guān)身份和訪問管理、數(shù)據(jù)備份和恢復(fù)以及供應(yīng)商管理的既定控制和最佳實踐。審計可以掃描潛在的未經(jīng)授權(quán)的訪問,并確保每個人都遵守合規(guī)規(guī)則。
如果把云計算比作開車,那么遵守速度限制、系好安全帶并安全駕駛——所有這些都可以降低發(fā)生事故的風(fēng)險。但是,沒有什么可以消除事故仍然可能發(fā)生的可能性。同樣的道理也適用于商業(yè)領(lǐng)袖和云計算。我們應(yīng)該了解云計算的主要風(fēng)險,并建立安全協(xié)議和最佳實踐來保護業(yè)務(wù)、數(shù)據(jù)和員工,并降低發(fā)生安全事件的風(fēng)險。這并不能保護所有情況,但至少不會成為一個魯莽的駕駛員。