2016:云仍存在重要威胁
信息技术研究和顾问公司Gartner 最近表示,公有云如今具备可扩展性、计算威力、海量存储和安全性,可打造更好的政府数字化平台并满足对业绩和价值不断增长的期望值。Gartner预计到2018年,提升的安全性将取代成本节约和敏捷性成为政府部门在其权限内采用公有云的首要动力。Gartner研究总监Neville Cannon表示:“诸如亚马逊云服务(AWS)、微软和谷歌等众多云服务厂商都注入巨额投资将高级别安全性融入各自的产品中,以确保它们的数据更加安全。许多此类厂商都有能力投入巨额资金,这些资金远超大多数国家可以承担的费用,更勿论一般政府部门了。”
然而,Cannon指出困难依然存在,由于政府部门深信在其管辖内的数据才更安全,因此成本节约和灵活性仅列为次要考虑因素。随着云服务日益普及,加之基于对相关风险的分析、厂商能力以及所选择的数据保护技术,公共部门的首席信息官应该寻求采用公有云来保存公共的和中低级别的敏感数据。
云计算是不是真的安全,一些调查机构得出了一些不同的结果。云安全联盟(CSA)最近的调查报告就显示,云计算安全仍是2016年最重要的威胁之一。这份报告罗列出了数据泄露、身份被盗、系统漏洞被利用、帐户劫持、APT攻击、内部恶意泄密、数据永久删除等12种云计算威胁。以数据永久删除为例,随着云服务的成熟,由于提供商失误导致的永久数据丢失已经极少见了。但恶意黑客已经会用永久删除云端数据来危害企业了,而且云数据中心跟其他任何设施一样对自然灾害无能为力。上述机构人士认为,预防数据丢失的责任并非全部压在云服务提供商肩头。如果客户在上传到云端之间先把数据加密,那保护好密钥的责任就落在客户自己身上了。一旦密钥丢失,数据丢失也就在所难免。
安永全球发布的《安永第18届全球信息安全调查报告》结果也显示,54%的受访对象的信息安全职能目前不具备关注新兴技术比如云计算、大数据等及其影响的角色或部门;36%的受访对象不具备威胁智能感知系统计划;认为信息安全职能完全符合企业需求的受访对象比例仅占12%;而不具备安全管理平台的受访对象比例从2014年的42%增长为47%;另外,不具备身份及访问管理系统的受访对象比例从2014年的12%增长为18%。
报告显示,由于网络攻击者战术不断改变,持续性加剧,能力增强,网络威胁的性质也发生了变化。面临这些威胁,安永指出,许多其之前认为是先进的举措现在已经变得只属基础性。
几乎所有的机构(包括政府部门、企业)都认为云安全的重要性和数据保护有很大的关系,这也是他们在最近一两年来采购安全设备和加强安全防范措施的主要原因之一。
通过对1755家企业的CIO、CEO、CTO等和信息安全有紧密联系的职位进行调查后显示,数据泄密是当前新技术环境下企业面临的主要安全问题之一。但是对企业安全防护对策的调查结果显示,多数企业并没有全方位的建立起防护措施。对此,安永在报告中建议,企业应继续以超前防范网络攻击者为目标,建立更为先进的安全管理平台,并使用网络威胁智能感知系统以有效地保持运营的一致性,帮助开展主动防御,寻找潜在攻击者、分析和评估威胁,并在威胁破坏企业的关键资产之前将其解除。
安永华北区信息安全服务合伙人李睿表示,“主动防御不会代替传统安全运营,而是对其加以组织和巩固。网络安全不止是一个技术性问题,也不仅仅局限在IT领域。它既是每一位董事会成员应该承担的职责,还以各种方式,通常是隐秘、不易识别的方式影响着企业的各个层面以及最高管理层的每一位成员。”
对于数据泄密这样一个安全威胁来说,通常我们更多的需要在防护策略上做出灵活安排。一旦发生数据泄露,公司企业或许会招致罚款,又或者将面临法律诉讼或刑事指控。数据泄露调查和客户通知的花费也有可能是天文数字。其他非直接影响,比如品牌形象下跌和业务流失,会持续影响公司长达数年时间。云服务提供商通常都会部署安全控制措施来保护云环境,但最终,保护自身云端数据的责任,还是要落在使用云服务的公司自己身上。CSA建议公司企业采用多因子身份验证和加密措施来防护数据泄露。
对于内部恶意泄密,这样的防护策略还不够,还需要在战略意识上加以重视。在云环境下,恶意满满的内部人员可以破坏掉整个基础设施,或者操作篡改数据。安全性完全依赖于云服务提供商的系统,比如加密系统,是风险最大的。CSA专家建议:公司企业自己控制加密过程和密钥,分离职责,最小化用户权限。管理员活动的有效日志记录、监测和审计也是非常重要。
不过,一些拙劣的日常操作也很容易被误解为“恶意”内部人员行为。典型的例子就是,管理员不小心把敏感客户数据库拷贝到了可公开访问的服务器上。鉴于潜在的暴露风险更大,云环境下,合适的培训和管理对于防止此类低级错误就显得更为重要了。