如果我們回顧一下,就會(huì)發(fā)現(xiàn)2014年很可能稱得上是“有史以來(lái)爆出最重大安全泄密事件的一年”。
可以說(shuō),不法分子們已武裝到了牙齒,但盡管許多犯罪分子在技術(shù)層面確確實(shí)實(shí)取得了非常大的進(jìn)步,可是在我看來(lái)真正引人注目的是,現(xiàn)有的安全實(shí)踐和技術(shù)原本可以防止許多這樣的泄密事件。
許多不幸中招的公司陷入了一個(gè)很常見(jiàn)的陷阱,這個(gè)陷阱常常被稱為“合規(guī)即安全”心態(tài)。這種想法得出的結(jié)論是,如果公司不遺余力地做到遵守法律――符合任何法律法規(guī),包括《健康保險(xiǎn)可攜性及責(zé)任性法案》(HIPAA)和《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》(PCI)等,那么它實(shí)際上就會(huì)“很安全”。遺憾的是,事實(shí)遠(yuǎn)非如此。與許多種類的法規(guī)一樣,遵守法律其實(shí)意味著只要付出極少的絕對(duì)努力。
這倒不是說(shuō)合規(guī)就不重要了,合規(guī)確實(shí)很重要。即便付出了最大的努力,也永遠(yuǎn)無(wú)法確保百分之百的安全性。但如果云服務(wù)公司想要給自己最大的機(jī)會(huì),避免重大泄密事件帶來(lái)的非常嚴(yán)重的后果,它們現(xiàn)在就應(yīng)該做好這五個(gè)實(shí)踐。
1. 不斷確??梢?jiàn)性
首先,公司企業(yè)需要確保百分之百的可見(jiàn)性,隨時(shí)了解其技術(shù)資產(chǎn)和服務(wù)。簡(jiǎn)而言之,要是你不了解情況,保護(hù)也就無(wú)從談起。始終要了解自己有什么資產(chǎn)或服務(wù)及其運(yùn)作狀況。這聽(tīng)起來(lái)極其基本,但是考慮到現(xiàn)代虛擬基礎(chǔ)設(shè)施具有自動(dòng)化、彈性和隨需應(yīng)變的特性,確??梢?jiàn)性可能是一大挑戰(zhàn)。一旦你摸清了基礎(chǔ)設(shè)施、應(yīng)用程序、數(shù)據(jù)和用戶方面的情況,就能開(kāi)始明白如何限制攻擊范圍,更有效地防止或緩解攻擊。
2. 風(fēng)險(xiǎn)管理
這意味著為第一個(gè)最佳實(shí)踐中的可見(jiàn)性和透明度添加上下文。一旦獲得了透明度,公司企業(yè)就要消除已知本企業(yè)網(wǎng)絡(luò)里面存在的明顯的安全漏洞(過(guò)期的工作站和移動(dòng)設(shè)備等)。想在這個(gè)層面緩解曝露風(fēng)險(xiǎn),關(guān)鍵在于使用不斷監(jiān)控的工具,以及強(qiáng)有力的安全漏洞和安全配置管理技術(shù)及實(shí)踐。
3. 強(qiáng)訪問(wèn)控制
這個(gè)最佳實(shí)踐似乎不言自喻,但常常實(shí)施不當(dāng)。雖然許多公司的確實(shí)施了訪問(wèn)控制措施,但它們常常授予不必要的訪問(wèn)權(quán)。在最近幾起泄密事件中,有效的訪問(wèn)控制ID被用來(lái)闖入企業(yè)里面與某人所在職能部門毫無(wú)關(guān)系的系統(tǒng)。他們擁有訪問(wèn)權(quán),完全是因?yàn)槠湓谄髽I(yè)里面擁有的級(jí)別,盡管他們實(shí)際上不需要這種訪問(wèn)權(quán)就能完成工作。確保你落實(shí)了合適的訪問(wèn)管理和權(quán)限監(jiān)控機(jī)制。最小權(quán)限概念在這方面至關(guān)重要,不斷監(jiān)控用戶活動(dòng)以確保沒(méi)有違反貴企業(yè)政策同樣很重要。
4. 數(shù)據(jù)保護(hù)和加密
一旦確立了強(qiáng)訪問(wèn)控制機(jī)制,不斷確??梢?jiàn)性,而且緩解了已知的安全漏洞,就要對(duì)你知道很敏感的所有數(shù)據(jù)進(jìn)行加密?;仡欀暗囊恍┬姑苁录?,要引以為戒。你可以從中發(fā)現(xiàn)需要保護(hù)哪些類別的數(shù)據(jù)、需要怎樣的優(yōu)先級(jí)別。這通常意味著保護(hù)“靜態(tài)數(shù)據(jù)”和“動(dòng)態(tài)數(shù)據(jù)”,但是也要落實(shí)數(shù)據(jù)丟失預(yù)防(DLP)等技術(shù),確保萬(wàn)一受到危及,數(shù)據(jù)也不會(huì)被發(fā)送到企業(yè)網(wǎng)絡(luò)外面。
5. 危機(jī)管理
很少有公司在如何迅速地應(yīng)對(duì)數(shù)據(jù)泄密、緩解破壞方面實(shí)施相應(yīng)的政策和程序??傊痪湓?,即便采用了穩(wěn)健的安全實(shí)踐,泄密事件也會(huì)發(fā)生;這不是“會(huì)不會(huì)發(fā)生”的問(wèn)題,而是“何時(shí)會(huì)發(fā)生”的問(wèn)題。為了防備這種情況,公司就要落實(shí)相應(yīng)的流程和技術(shù),好讓自己能夠迅速應(yīng)對(duì),緩解任何安全泄密事件的不利影響。這就意味著能夠明白你已遭到了攻擊,可以采取什么辦法來(lái)限制其影響。這方面涉及的技術(shù)包括:文件完整性監(jiān)控、入侵檢測(cè)和用于中招后分析的取證數(shù)據(jù)。在泄密事件發(fā)生之前制定一套行動(dòng)方案,之后一旦察覺(jué)了泄密事件,就遵照行動(dòng)方案來(lái)行事。
不管貴企業(yè)從事哪個(gè)行業(yè),或者使用多少云服務(wù),貴企業(yè)都應(yīng)該落實(shí)這五大安全要素,并且作為日常工作的一部分而加以實(shí)施。切記:合規(guī)并不等同于安全。它只是代表最基本的保護(hù)。合規(guī)無(wú)力應(yīng)對(duì)異常安全或高級(jí)持續(xù)性威脅(APT):在這種情況下,隱藏的惡意軟件會(huì)在很長(zhǎng)一段時(shí)間內(nèi)引起安全泄密事件。
英文原文鏈接:http://www.informationweek.com/cloud/infrastructure-as-a-service/5-critical-cloud-security-practices/a/d-id/1318801?