对于企业CIO来说,是否上云已经不是选择题,而是通往数字化的必由之路。不过,随着业务加速云化,一些企业的安全团队却仍然停留在原有的思维定式,忽视了对新业务部署时的风险控制。事实上,云应用和基础架构层面的数据泄露事件已经发生多起,而且勒索病毒和其他各类恶意软件的数量也在显著增加。
在新冠肺炎疫情期间,许多企业都试图加快采用云技术。“事实上,Gartner近期进行的一项调查显示,新冠肺炎疫情造成业务中断之后,如今采用云服务的企业之中的近70%计划增加在云技术方面的支出。”但是,由于目前90%的云工作负载均由Linux支持,而X-Frand报告表明,过去十年中与Linux相关的恶意软件系列增加了500%,因此,云环境可能成为威胁源的主要攻击媒介。
Vmware在一份调查中提到,越来越多的攻击者正试图绕过传统安全解决方案。在分析的2000个攻击样本中,90%以上都出现了防御规避行为。勒索软件在过去一年内明显复苏,在占分析样本95%的勒索软件中,防御规避行为继续发挥关键作用。这些勒索软件重点攻击能源、政府和制造业部门,表明勒索软件的复苏已成为地缘政治紧张局势下的不良“副产品”。
这意味着,攻击者正变得善于规避安全解决方案,攻击质量提升,而在指挥和控制方面变得更加隐秘,通用类的安全监测很难察觉。同时,应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。
LinkedIn曾经做过一项调查:49%的CIO和企业认为,影响他们上云的主要原因是担心数据的丢失和泄漏,59%的人认为,传统的网络安全工具在云端具有局限性。事实上,尽管当前各厂商在设计架构时更重视IaaS层的资源隔离,不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题,一方面是上云业务与原有IT架构的安全组件集成度不够,另一方面也是企业客户过于追求成本效益,忽视了安全因素。
通常来说,云安全可以通过网状的大量客户端对网络软件行为进行异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。不过,随着开放网络和业务共享场景愈发多变,新型的攻击方式也是不断涌现。多云供应、资源虚拟化、数据所有权分离等问题难以从根本上解决,更不用说云服务中包含了很多软件应用,更是暴露出潜在风险。
随着开源恶意软件的增加,IBM通过评估发现,攻击者可能正在寻找提高利润率的方法,即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调,多家威胁组织(如APT28、APT29和Carbanak)均转向开源恶意软件,这表明该趋势会导致新一年出现更多云环境攻击。
IBM X-Force威胁情报指数报告指出,攻击者正在利用云环境提供的可扩展处理能力,将大量云使用费用转嫁给受害企业。Intezer在2020年观察到,超过13%的Linux加密挖掘恶意软件中出现了从未被发现过的新代码。
由于攻击者的目标锁定在云上,所以,X-Force建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件,以帮助保护最敏感的数据。通过对使用中的数据进行加密,企业可以减少恶意攻击者可利用的漏洞,确保即使他们能够访问企业的敏感环境,也会一无所获。
对于云安全网关服务商或者风控人士来说,要想在云安全领域分得一杯羹,或许可以从五个方面找到方法。
第一,对异常数据或欺诈活动进行监测和拦截。一般来说,客户代表对客户信息的访问在单位时间内有数值波动不大,如果突然出现爆发式的访问或下载记录,说活动非常可疑。此时,CSG解决方案提供商必须准备必要的检测和通知机制。
第二,检测和防御固然重要,但相关人员更要知道“5W1H”,并为此做出可视化的深度分析报告。这样一来,未经验证的云程序可以提升其被预测性,在企业云迁移时加强安全风控。
第三,在线工作平台的流行加速了恶意软件的传播,用户在上传、分享、下载文件的过程中很难察觉到位于云存储系统的插件,为黑客访问敏感数据创造了便利条件。因此,CSG有必要在识别、隔离、消除恶意软件方面多下功夫。
第四,保护好用户的机密信息。数据泄露并非都是源于黑客窃取,一些不谨慎的员工在不经意间会将企业数据丢失,其中涉及个人信息或者知识产权方面的文件。通常情况下,传统预防措施(如DLP,Data leakage prevention)难以顾及云应用与平台之间数据迁移,使得CSG需要提供专门的云端DLP覆盖能力。
第五,对结构化和非结构化数据加密。为数据“上锁”的必要性在于,加大黑客售卖信息的难度,从而降低窃取动机。事实上,企业主更喜欢采用第三方CSG的存储和管理密钥,并通过云平台自带的加密功能进行过滤和防护。从某种程度上来说,这种外包的方式会带来额外的时间和经济成本,因此企业内部有能力解决往往更好。
体来说,云端数据迁移时先要打包整体的数据源,关注部分数据可能会导致最终处理时失真。其次,数据迁移的对象范围和规模要给出预估,充分利用边缘化的存储。再者,自动化流程往往比人工干预要更有效率。涉及到具体的数据传输加密过程,可以结合客户端/应用加密、链路/网络加密、代理加密三种模式。企业部署云计算不是一蹴而就,初期部署一些轻量化业务上云测试是必要的。除了要选择熟悉的云服务商,还要实时监控数据中心和云端业务的运行情况,并且在出现问题时迅速决定投入哪些资源来抵御攻击。
转载请注明:IT运维空间 » 安全防护 » 上云安全指南:横亘在企业数字化面前的风险
发表评论