過去,很多企業高管都是把所有資料存儲在資料中心,或是存放在電腦中。但是,随着雲服務的廣泛應用,企業資料已經不再單一存儲于固定位置,而是分布到智能終端、雲應用等地方,導緻企業邊界的概念逐漸消失。而這對于黑客而言,便成為了一個好機會。黑客隻需要盯緊擁有特殊權限企業高管或者管理者,然後通過釣魚郵件等攻擊手段成功擷取到帳号資訊,便能如願以償的竊取企業機密資訊,獲得巨大利益。
雲端安全威脅給企業CIOs帶來了巨大挑戰
雲端安全給企業CIO們帶來了極大的挑戰,他們擔心企業無法及時有效的應對雲端攻擊。對于企業而言,雲中的相關資料,應用和通路人員權限,在過去監管是比較松散的。面對日益複雜的安全威脅,企業的雲端安全防護能力亟待提高。
2017年7月,賽門鐵克針對企業雲應用狀态和雲安全問題,面向CIO、CISO進行了調查。絕大部分CIO認為企業在使用雲應用方面的數量大概隻有30到40個左右,但實際上調查資料顯示,企業實際所采用的雲應用數量高達928個。此外,企業所使用的雲應用中,平均30%是未經準許的應用,也就是所謂的“影子應用”。其中,不明确的、沒有通過IT準許的影子資料達25%;包含漏洞的網站有占76%;在雲端産生高風險行為的使用者數量高達66%。
賽門鐵克公司大中華區首席營運官羅少輝表示,之是以企業CIO、CISO估計的雲應用數量與實際數量存在如此大的差距,原因在于:
賽門鐵克公司大中華區首席營運官羅少輝
一方面,企業CIO、CISO對雲應用存在誤解。他們隻看重企業的SaaS服務或者基礎架構方面的服務,但是iCould、微網誌、WeChat應用等都沒有計算進去。是以,他建議企業對雲方面的應用要更認真去思考,尋找一些第三方的相關工具到自己的環境中去調查到底有多少雲使用在企業内部運用。
另一方面,很多使用者都會使用同步功能,就是把某個文檔直接同步到雲盤上面。是以很多企業的内部資料就會放到一個所謂的“影子應用”裡面,這種做法将給企業帶了很大的風險。如果是讓使用者通過所謂“影子使用”或影子資料,将企業中很多内部重要的文檔放到公有雲上,對于資料安全來講是一個很大的漏洞。如果黑客攻破某一雲盤的帳号,就能夠輕松盜取大量資料。
企業内部所面臨的六大安全挑戰
我們身邊圍繞着太多的安全威脅,不僅僅隻有雲安全。對于企業安全來說,羅少輝認為,企業主要面臨六大安全挑戰:
◆許多IT部門無法在制定雲政策時定期召集業務部門及管理人員加入。
◆許多企業不了解公司目前所使用的雲服務于資料。企業中的雲應用實際使用數量為預計輸了的二十倍之多。
◆大多數企業無法在應用中識别、分類和精細化控制通路病管理敏感資料,無法對于合規性相關的資料進行保密處理。
◆大多數企業無法監測雲端威脅,例如:惡意軟體、賬戶盜用、資料洩漏以及資料破壞。
◆大多數企業傾向于獎相同的管理應用于所有雲端資料,無視資料類型、合規性要求以及資料敏感度。
◆大多數企業都忽視了對威脅監測,持續監控以及時候相應的迫切需求。
賽門鐵克提出內建網絡防禦政策,提升安全産品關聯性,讓安全防護更全面
針對企業面臨的這些安全挑戰,賽門鐵克提出了內建網絡防禦政策,推出了內建式網絡防護平台。
據羅少輝介紹,賽門鐵克按照不同的應用場景,對使用者、資訊、網頁的傳輸會做相關保護。如果企業對應用做一些關聯和關聯分析時,可能沒有相關網絡安全專業人才協作他們去進行網絡安全服務,賽門鐵克可以提供相關服務,根據企業内部安全措施的資料幫助使用者進行網絡安全管控。比如:24×7小時的遠端監控,確定當惡意程式和一些安全隐患出現的時候,企業能夠第一時間實作響應,攔截威脅。
羅少輝表示,在與衆多的企業高管溝通的過程中,他了解到,面對安全威脅,很多企業選擇采用了多種多樣的來自于不同廠商的安全産品,例如:某些銀行所使用安全産品類型、類别高達20、30個,這當中有些是針對特殊應用場景的,比如加密管理,有些是比較通用的,像安全網關。企業對于這些不同的安全産品,首先是采購費用很高,其次是難以找到專業的安全産品管理人士。是以,賽門鐵克将客戶這些不同安全産品、服務連在一起,建構一個網絡安全防禦平台,讓不同的安全産品實作關聯。
記者了解到,企業使用者可以通過這個內建式網絡防護平台平台與第三方産品和服務進行整合。一方面,對于整個網絡環境的平台,企業首先可以利用賽門鐵克的産品確定它們能實作關聯。另一方面,企業也可以通過API方式跟第三方做接口,實作第三方的關聯。
此外,針對雲端安全威脅,賽門鐵克通過實作識别、發現、保護、應對以及修複五大環節的雲安全威脅生命周期的管理,幫助CISOs實作最大化的雲安全投資。
雲端安全防護建議
最後,羅少輝建議,針對雲端安全的防護企業應該做到以下幾點:
1、建立符合企業業務與安全要求的雲安全計劃;
2、采取“安全第一”的針對雲安全的态度,定期讓使用者參與持續的加強安全意識的工作環節,利用更多的應用教育訓練機會;
3、通過內建本地與基于雲的資料防洩漏(DLP)解決方案,将敏感資料監控政策與工作流程拓展至基于雲的服務;
4、将多重認證解決方案、雲應用與CASB相內建,利用裝置與行為分析來阻止具有風險性的登入嘗試。
本文作者:杜美潔
來源:51CTO