上云安全指南:橫亙在企業數字化面前的風險
對于企業CIO來說,是否上云已經不是選擇題,而是通往數字化的必由之路。不過,隨著業務加速云化,一些企業的安全團隊卻仍然停留在原有的思維定式,忽視了對新業務部署時的風險控制。事實上,云應用和基礎架構層面的數據泄露事件已經發生多起,而且勒索病毒和其他各類惡意軟件的數量也在顯著增加。
在新冠肺炎疫情期間,許多企業都試圖加快采用云技術。“事實上,Gartner近期進行的一項調查顯示,新冠肺炎疫情造成業務中斷之后,如今采用云服務的企業之中的近70%計劃增加在云技術方面的支出。”但是,由于目前90%的云工作負載均由Linux支持,而X-Frand報告表明,過去十年中與Linux相關的惡意軟件系列增加了500%,因此,云環境可能成為威脅源的主要攻擊媒介。
Vmware在一份調查中提到,越來越多的攻擊者正試圖繞過傳統安全解決方案。在分析的2000個攻擊樣本中,90%以上都出現了防御規避行為。勒索軟件在過去一年內明顯復蘇,在占分析樣本95%的勒索軟件中,防御規避行為繼續發揮關鍵作用。這些勒索軟件重點攻擊能源、政府和制造業部門,表明勒索軟件的復蘇已成為地緣政治緊張局勢下的不良“副產品”。
這意味著,攻擊者正變得善于規避安全解決方案,攻擊質量提升,而在指揮和控制方面變得更加隱秘,通用類的安全監測很難察覺。同時,應用層、協議級的攻擊正在成為主要威脅,攻擊者可以發起多維的向量攻擊。調查顯示,在DDoS保護服務遇到的攻擊中有86%以上使用了兩個或多個威脅媒介,其中8%包含五個或多個媒介。
LinkedIn曾經做過一項調查:49%的CIO和企業認為,影響他們上云的主要原因是擔心數據的丟失和泄漏,59%的人認為,傳統的網絡安全工具在云端具有局限性。事實上,盡管當前各廠商在設計架構時更重視IaaS層的資源隔離,不過PaaS層和SaaS層仍儲存了大量的用戶數據。之所以出現這些問題,一方面是上云業務與原有IT架構的安全組件集成度不夠,另一方面也是企業客戶過于追求成本效益,忽視了安全因素。
通常來說,云安全可以通過網狀的大量客戶端對網絡軟件行為進行異常監測,獲取互聯網中木馬、惡意程序的最新信息,推送到服務端進行自動分析和處理,再把病毒和木馬的解決方案分發到每一個客戶端。不過,隨著開放網絡和業務共享場景愈發多變,新型的攻擊方式也是不斷涌現。多云供應、資源虛擬化、數據所有權分離等問題難以從根本上解決,更不用說云服務中包含了很多軟件應用,更是暴露出潛在風險。
隨著開源惡意軟件的增加,IBM通過評估發現,攻擊者可能正在尋找提高利潤率的方法,即他們可能會通過降低成本、提高效率、創造機會來發起收益更高的攻擊。該報告強調,多家威脅組織(如APT28、APT29和Carbanak)均轉向開源惡意軟件,這表明該趨勢會導致新一年出現更多云環境攻擊。
IBM X-Force威脅情報指數報告指出,攻擊者正在利用云環境提供的可擴展處理能力,將大量云使用費用轉嫁給受害企業。Intezer在2020年觀察到,超過13%的Linux加密挖掘惡意軟件中出現了從未被發現過的新代碼。
由于攻擊者的目標鎖定在云上,所以,X-Force建議企業應該考慮針對其安全策略采用零信任方法。企業還應將保密計算作為其安全基礎設施的核心組件,以幫助保護最敏感的數據。通過對使用中的數據進行加密,企業可以減少惡意攻擊者可利用的漏洞,確保即使他們能夠訪問企業的敏感環境,也會一無所獲。
對于云安全網關服務商或者風控人士來說,要想在云安全領域分得一杯羹,或許可以從五個方面找到方法。第一,對異常數據或欺詐活動進行監測和攔截。一般來說,客戶代表對客戶信息的訪問在單位時間內有數值波動不大,如果突然出現爆發式的訪問或下載記錄,說活動非常可疑。此時,CSG解決方案提供商必須準備必要的檢測和通知機制。
第二,檢測和防御固然重要,但相關人員更要知道“5W1H”,并為此做出可視化的深度分析報告。這樣一來,未經驗證的云程序可以提升其被預測性,在企業云遷移時加強安全風控。第三,在線工作平臺的流行加速了惡意軟件的傳播,用戶在上傳、分享、下載文件的過程中很難察覺到位于云存儲系統的插件,為黑客訪問敏感數據創造了便利條件。因此,CSG有必要在識別、隔離、消除惡意軟件方面多下功夫。
第四,保護好用戶的機密信息。數據泄露并非都是源于黑客竊取,一些不謹慎的員工在不經意間會將企業數據丟失,其中涉及個人信息或者知識產權方面的文件。通常情況下,傳統預防措施(如DLP,Data leakage prevention)難以顧及云應用與平臺之間數據遷移,使得CSG需要提供專門的云端DLP覆蓋能力。
第五,對結構化和非結構化數據加密。為數據“上鎖”的必要性在于,加大黑客售賣信息的難度,從而降低竊取動機。事實上,企業主更喜歡采用第三方CSG的存儲和管理密鑰,并通過云平臺自帶的加密功能進行過濾和防護。從某種程度上來說,這種外包的方式會帶來額外的時間和經濟成本,因此企業內部有能力解決往往更好。
體來說,云端數據遷移時先要打包整體的數據源,關注部分數據可能會導致最終處理時失真。其次,數據遷移的對象范圍和規模要給出預估,充分利用邊緣化的存儲。再者,自動化流程往往比人工干預要更有效率。涉及到具體的數據傳輸加密過程,可以結合客戶端/應用加密、鏈路/網絡加密、代理加密三種模式。企業部署云計算不是一蹴而就,初期部署一些輕量化業務上云測試是必要的。除了要選擇熟悉的云服務商,還要實時監控數據中心和云端業務的運行情況,并且在出現問題時迅速決定投入哪些資源來抵御攻擊。
