今年 7月,賽門鐵克的調(diào)研人員照例去跟大公司的 CIO、CISO們套瓷(做調(diào)研),了解企業(yè)中的云應(yīng)用狀態(tài)。不出意料的是,絕大部分 CIO 又“被蒙在了鼓里”。他們認(rèn)為,自家企業(yè)在使用云應(yīng)用方面的數(shù)量大概只有 30 到 40 個(gè),實(shí)際上這個(gè)數(shù)字高達(dá) 900 個(gè)。
除了影子應(yīng)用,云端安全還遭受了諸多威脅。
最近,賽門鐵克召開了一場(chǎng)媒體溝通會(huì),針對(duì)調(diào)研收集的云端安全威脅信息,賽門鐵克宣布推出集成網(wǎng)絡(luò)防御策略產(chǎn)品。
“與很多企業(yè)高管溝通時(shí),發(fā)現(xiàn)他們所使用的安全產(chǎn)品和廠商多種多樣,有一個(gè)客戶曾表示,光是筆記本上運(yùn)行的所謂安全管理程序就達(dá)到六個(gè),有做終端管理,有些是防惡意程序的。如果一些大的銀行,他們所使用安全產(chǎn)品類型、類別高達(dá)20、30個(gè),當(dāng)中有些是針對(duì)特殊應(yīng)用場(chǎng)景的,比如,加密管理,有些是比較通用的,像安全網(wǎng)關(guān)。企業(yè)對(duì)于這些不同的安全產(chǎn)品,首先是采購費(fèi)用很高,其次是難以找到專業(yè)的安全產(chǎn)品管理人士。”賽門鐵克大中華區(qū)首席運(yùn)營(yíng)官羅少輝對(duì)雷鋒網(wǎng)說。
簡(jiǎn)單的說,就是按照不同的應(yīng)用場(chǎng)景,對(duì)用戶、信息、網(wǎng)頁的傳輸做相關(guān)保護(hù)。將用戶的不同安全產(chǎn)品、服務(wù)連在一起,構(gòu)建一個(gè)網(wǎng)絡(luò)安全防御平臺(tái),這個(gè)平臺(tái)能實(shí)現(xiàn)對(duì)不同的產(chǎn)品的聯(lián)動(dòng)。
比如,憑借安全網(wǎng)關(guān)和終端防御產(chǎn)品能夠?qū)⒐襞c威脅攔截,安全事件發(fā)生時(shí),安全網(wǎng)關(guān)可以發(fā)現(xiàn),而安全網(wǎng)關(guān)和終端防御產(chǎn)品和相關(guān)服務(wù)進(jìn)行溝通后,提醒終端安全管理,提醒其一旦碰到類似這種文檔,無論是通過郵件進(jìn)來還是通過 USB 反攻擊進(jìn)來的,都要做及時(shí)阻斷。這樣做的最大好處在于這些程序都能自動(dòng)化發(fā)生,確保安全風(fēng)險(xiǎn)不會(huì)因?yàn)楣芾韱T的失誤而成為安全事件。
雷鋒網(wǎng)了解到,目前賽門鐵克該產(chǎn)品通過API接口實(shí)現(xiàn)第三方安全產(chǎn)品的集成,并把不同的安全產(chǎn)品設(shè)備的日志導(dǎo)入 SIEM平臺(tái)上進(jìn)行大數(shù)據(jù)安全分析。
以下是羅少輝《保護(hù)云端安全》的部分演講內(nèi)容,雷鋒網(wǎng)(公眾號(hào):雷鋒網(wǎng))編輯整理。
--
威脅一:影子應(yīng)用和影子數(shù)據(jù)為什么企業(yè)高管對(duì)云端應(yīng)用的理解有落差?
首先,大家對(duì)云方面的概念理解有誤,有些人認(rèn)為云應(yīng)用只是SaaS服務(wù),比如BOX、dropbox、百度云等。但我們將其他的 web 應(yīng)用,比如,郵箱和iCloud等也歸納為云應(yīng)用,因?yàn)樗鼈儺?dāng)中很多數(shù)據(jù)和管理都在云端實(shí)現(xiàn)管理,大部分被歸納在公有云體系內(nèi)。很多企業(yè)的CIO、CISO對(duì)云應(yīng)用的誤解在于,他們只看重企業(yè)的 SaaS 服務(wù)或者基礎(chǔ)架構(gòu)方面的服務(wù)。
其次,很多用戶都會(huì)使用同步功能,就是把某個(gè)文檔直接同步到云盤上,很多企業(yè)的內(nèi)部數(shù)據(jù)就會(huì)放到一個(gè)所謂的“影子應(yīng)用”里。這對(duì)于企業(yè)有什么風(fēng)險(xiǎn)?像亞馬遜,因?yàn)榈谌皆跀?shù)據(jù)操作流程上面有些錯(cuò)誤,導(dǎo)致有些第三方能訪問到敏感數(shù)據(jù),如一些企業(yè)重要數(shù)據(jù)和個(gè)人隱私數(shù)據(jù)。
如果是讓用戶通過所謂“影子應(yīng)用”或影子數(shù)據(jù),將企業(yè)中很多內(nèi)部重要的文檔放到公有云上,對(duì)于數(shù)據(jù)安全是一個(gè)很大的漏洞。如果黑客攻破某一云盤的帳號(hào),就能輕松盜取大量數(shù)據(jù)。一個(gè)星期前,美國(guó)一家叫Equfax的個(gè)人信息查詢服務(wù)的公司丟失了將近1億5千萬的個(gè)人隱私資料,而這些信息之后被曝光到網(wǎng)上。對(duì)于消費(fèi)者來說,黑客拿走了包括個(gè)人姓名、地址、電話號(hào)碼等重要的個(gè)人數(shù)據(jù),很容易在網(wǎng)上找到社交帳號(hào),從而實(shí)行欺詐行為。
威脅二:企業(yè)內(nèi)部所謂的邊界概念過去,很多企業(yè)高管都是把所有數(shù)據(jù)放在數(shù)據(jù)中心,或是放在用戶的電腦中,但隨著移動(dòng)應(yīng)用和云的發(fā)展,大部分?jǐn)?shù)據(jù)已經(jīng)分別存儲(chǔ)在不同位置,企業(yè)邊界的概念逐漸消失。
就我個(gè)人而言,我習(xí)慣用手機(jī)下載很多公司的重要數(shù)據(jù),包括郵件和其他工作文檔。隨著我去不同的地方拜訪,去不同的客戶,隨時(shí)在設(shè)備中訪問工作資料并進(jìn)行交流。同時(shí),數(shù)據(jù)也會(huì)隨著我的手機(jī)和我所使用的云應(yīng)用慢慢分布到不同的位置。
所以,如今的企業(yè)數(shù)據(jù)已經(jīng)不再單一存儲(chǔ)于固定位置,這對(duì)黑客而言便成為了一個(gè)好機(jī)會(huì)。
很多企業(yè)對(duì)云安全的概念還比較模糊,而企業(yè)高管,特別是管理員用戶能通過特定權(quán)限獲取企業(yè)的財(cái)務(wù)數(shù)據(jù)等等,于是黑客便會(huì)對(duì)這些用戶發(fā)送帶有惡意鏈接的郵件、短信、微信等,將其定向到一個(gè)虛假網(wǎng)站,要求輸入或更改密碼。過去在一些媒體活動(dòng)中,我跟大家分享過不同的誘騙詐騙行為,有些是偷取用戶賬戶,然后連到詐騙網(wǎng)站,類似這種方法對(duì)黑客來說,成本并不高。因?yàn)樽鲆粋€(gè)假網(wǎng)站和惡意郵件非常容易,他們只需要盯住某些重要領(lǐng)導(dǎo)和關(guān)鍵員工就可以發(fā)動(dòng)相關(guān)攻擊。
對(duì)黑客來說,發(fā)動(dòng)攻擊而獲取到的帳號(hào),對(duì)他們有著巨大的利益誘惑,后續(xù)他們便能用同樣的帳號(hào)密碼訪問不同的網(wǎng)站。比如,嘗試用同樣的賬號(hào)密碼登錄微博等社交帳號(hào),把重要的數(shù)據(jù),包括郵件內(nèi)容和企業(yè)內(nèi)部敏感數(shù)據(jù)偷走。
威脅三:APT 攻擊現(xiàn)在針對(duì)性攻擊和高級(jí)威脅攻擊非常多,過去有些大規(guī)模的國(guó)家跟國(guó)家間的攻擊。我們也看到,有些黑客利用國(guó)家的名義影響競(jìng)選的結(jié)果。在云安全世界里,企業(yè)與消費(fèi)者都可能面臨不同類型的攻擊手段。對(duì)于企業(yè)來說,云中的相關(guān)數(shù)據(jù),應(yīng)用和訪問人員權(quán)限,在過去監(jiān)管是比較松散的。
挑戰(zhàn):到底應(yīng)該選擇哪家云供應(yīng)商云方面,如今企業(yè)面對(duì)的云不再是單一云。中國(guó)有很多不同類型的云,包括華為云,也有BAT所構(gòu)建的云,還有很多像Amazon、Azure等國(guó)外的廠商所構(gòu)建的云平臺(tái)。除了我們所提到的基礎(chǔ)架構(gòu)服務(wù)以外,還有SaaS云服務(wù)。
對(duì)企業(yè)管理云來說,在云應(yīng)用上面所遇到最大的挑戰(zhàn):到底應(yīng)該選擇哪家云供應(yīng)商?哪家云供應(yīng)商是最可靠的?
現(xiàn)在很多公有云提供商號(hào)稱他們有很多不同的安全相關(guān)服務(wù)和安全網(wǎng)絡(luò)的DDoS服務(wù),但是很多企業(yè)沒有關(guān)注到一點(diǎn):雖然在這些公有云平臺(tái)上,有很多與網(wǎng)絡(luò)安全基礎(chǔ)相關(guān)的數(shù)據(jù),但一旦把云計(jì)算能力放到公有云平臺(tái)上,當(dāng)中的應(yīng)用相關(guān)保障和數(shù)據(jù)的安全都是企業(yè)客戶要承擔(dān)的責(zé)任。
企業(yè)到底有多少數(shù)據(jù)放到云平臺(tái)上的?哪些是放在傳統(tǒng)IDG上面的,要分割得 比較清楚。不然的話一不小心把很多敏感的數(shù)據(jù)放到公有云上面的話,就可能有些第三方操作的時(shí)候有一些權(quán)限攻擊,或者有些用戶有意圖的去惡意登陸,一旦黑客能登陸到公有云平臺(tái)上的話,很多企業(yè)數(shù)據(jù)都會(huì)受到損失。
面對(duì)不同的云,應(yīng)該進(jìn)行怎樣的連接也是很多企業(yè) CIO/CISO 的一個(gè)困惑點(diǎn)。企業(yè)不可能只用單一的云平臺(tái),他們會(huì)用不同的公有云平臺(tái)和不同的 SaaS 服務(wù),在這當(dāng)中云安全的整體可用性到底多高?服務(wù)水平到底怎么樣?這些都是需要關(guān)注的問題。
企業(yè)從過去通過總部實(shí)現(xiàn)網(wǎng)絡(luò)連接的數(shù)據(jù)訪問慢慢擴(kuò)大到不同區(qū)域的用戶可以使用公用或私人設(shè)備直接連到公有云上。傳統(tǒng)的企業(yè)如果做相關(guān)數(shù)據(jù)的保護(hù),一般是通過在不同的連接里面實(shí)現(xiàn)加密,希望通過加密或者在企業(yè)終端加入很多不同的安全類型產(chǎn)品,比如,WAF和其他不同類型網(wǎng)關(guān),像其他網(wǎng)上行為管理和不同類型的安全產(chǎn)品,對(duì)用戶行為進(jìn)行管理。但是對(duì)于不同的場(chǎng)景,無論是從企業(yè)進(jìn)行控制還是到不同的地區(qū)辦公室和個(gè)人設(shè)備上進(jìn)行管控都不十分可靠,因?yàn)榧皶r(shí)企業(yè)能夠?qū)崿F(xiàn) SSL 加密,黑客同樣可以實(shí)現(xiàn)攻擊。很多企業(yè)只是用了SSL加密,黑客可以反過來利用加密的渠道作為發(fā)動(dòng)攻擊的手段。
在我們的報(bào)告里面可以看到,現(xiàn)在有很多黑客是用通過加密的方式和漏洞派送一些惡意程序到不同企業(yè)的內(nèi)部網(wǎng)站里,這些惡意程序能通過云的方式派送到用戶。
企業(yè)用戶面臨挑戰(zhàn)有幾大關(guān)鍵點(diǎn):第一點(diǎn),現(xiàn)在許多IT部門,在做云策略時(shí),并沒有與內(nèi)部相關(guān)部門進(jìn)行交流,所以企業(yè)中存在很多影子應(yīng)用和影子數(shù)據(jù)。
第二點(diǎn),對(duì)企業(yè)內(nèi)部,特別是IT主管對(duì)總體云應(yīng)用數(shù)量的認(rèn)知與實(shí)際有比較大的偏差。
第三點(diǎn),在很多企業(yè)無法在應(yīng)用中識(shí)別、分類和精細(xì)化控制訪問并管理敏感數(shù)據(jù),只是單一處理,無法對(duì)與合規(guī)性相關(guān)的數(shù)據(jù)進(jìn)行保密處理。就像剛才提到的案例,很多應(yīng)用如果跑到云上,可視性便會(huì)降低,到底有多少相關(guān)的影子數(shù)據(jù)到公有云上面?其實(shí)企業(yè)內(nèi)部很難去進(jìn)行準(zhǔn)確的判斷。所以如何去保護(hù)和做相關(guān)內(nèi)容和數(shù)據(jù)的防泄漏和加密對(duì)他來說也是一個(gè)很大的挑戰(zhàn)。
第四點(diǎn),云端方面的威脅,比如惡意軟件獲取到一些重要人員和管理員帳號(hào)密碼,企業(yè)用戶一定是非常難在云上面去尋找到的,更別說還要做相關(guān)的保護(hù)。
第五點(diǎn),企業(yè)的數(shù)據(jù)合規(guī)性也非常重要,特別是中國(guó)這邊,現(xiàn)在已經(jīng)開始實(shí)行《網(wǎng)絡(luò)安全法》,不同的國(guó)家都會(huì)有對(duì)客戶數(shù)據(jù)隱私保護(hù)的要求,到底將多少數(shù)據(jù)放到公有云上還是放到本地,企業(yè)需要搞清楚。不然,數(shù)據(jù)泄露一旦發(fā)生,后果是無法控制的,這會(huì)對(duì)企業(yè)造成巨大的災(zāi)難。而對(duì)于企業(yè)自身的品牌和客戶對(duì)他的信任度都會(huì)受到影響。
第六點(diǎn),剛才提了很多安全威脅的檢測(cè),這也是非常重要的??蛻袈龔囊粋€(gè)傳統(tǒng)的IDC概念邁向虛擬化,再走向云的平臺(tái)上。企業(yè)是否有足夠的能力把所有不同的應(yīng)用,無論是在本地的,在云端的還是在相關(guān)公有云上面的數(shù)據(jù)做一個(gè)比較好的聯(lián)通。
第七點(diǎn),現(xiàn)在很多企業(yè)在與我溝通時(shí),都表現(xiàn)出對(duì)安全事件的重視。比如5月份Wannacry這種大規(guī)模安全事件發(fā)生以后,一些企業(yè)開始評(píng)估自身數(shù)據(jù)的安全性以及保護(hù)措施,比如終端防御是否到位,企業(yè)是否需要打補(bǔ)丁。當(dāng)這類安全事件發(fā)生時(shí),整個(gè)相應(yīng)流程和人員分配等都是需要企業(yè)多多關(guān)注的。
關(guān)于云安全戰(zhàn)略,首席信息官應(yīng)該問自己這四點(diǎn):第一,總體網(wǎng)絡(luò)安全和云安全,他們確實(shí)需要第三方安全顧問提供相應(yīng)服務(wù),比如,評(píng)估他們現(xiàn)有的網(wǎng)絡(luò)安全的架構(gòu)和影子數(shù)據(jù)的情況到底有多嚴(yán)重。
第二,對(duì)于這些企業(yè)應(yīng)用中,到底有哪些相關(guān)企業(yè)內(nèi)部應(yīng)用和云應(yīng)用風(fēng)險(xiǎn)是比較高的。比如,他們的云系統(tǒng)和CRM系統(tǒng)或者ERP之類,企業(yè)內(nèi)部很多相關(guān)關(guān)鍵應(yīng)用如果萬一出現(xiàn)一些安全事故,有風(fēng)險(xiǎn)的話,他們首先要做一些相關(guān)評(píng)估。
第三,更重要的就是數(shù)據(jù)。中國(guó)的《網(wǎng)絡(luò)安全法》和國(guó)外相關(guān)國(guó)家對(duì)個(gè)人隱私的控管,都有比較嚴(yán)格的法規(guī)。如果不小心有一些威脅情況出現(xiàn),對(duì)企業(yè)無論是本身的名譽(yù)還是客戶的都有很嚴(yán)重的影響。
第四,對(duì)用戶來說,在企業(yè)內(nèi)部有多少他們是能做出評(píng)估的,風(fēng)險(xiǎn)是高、中、還是低?如果能評(píng)估出來的話,他們的應(yīng)用使用云和不同的應(yīng)用的時(shí)候風(fēng)險(xiǎn)水平有多高?你也可以做相關(guān)的措施,比如保護(hù)的機(jī)制。比如很多訪問可以進(jìn)行動(dòng)態(tài)密碼的保護(hù),以確保一旦用戶帳號(hào)被竊取,黑客也無法騙取他的相關(guān)動(dòng)態(tài)密碼,從而無法訪問關(guān)鍵數(shù)據(jù)。
雷鋒網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。