云計(jì)算的主要安全風(fēng)險(xiǎn)
近年來(lái),云計(jì)算被企業(yè)廣泛采用,使其成為網(wǎng)絡(luò)攻擊者誘人的目標(biāo)。本文將詳細(xì)介紹需要了解的一些主要風(fēng)險(xiǎn)以及如何保持安全。
云計(jì)算并不新鮮:大部分企業(yè)已經(jīng)欣然接受它,因?yàn)樗哂忻黠@的優(yōu)勢(shì),包括可擴(kuò)展性、可訪問(wèn)性和可靠性。但云平臺(tái)提供商,即提供使用云計(jì)算所需的基礎(chǔ)設(shè)施、服務(wù)和資源的組織,并不十分出色。這些平臺(tái)仍然可能受到安全風(fēng)險(xiǎn)的影響,例如內(nèi)部威脅、混亂的數(shù)據(jù)存儲(chǔ)法規(guī)和有針對(duì)性的惡意軟件攻擊等。
那么,企業(yè)在使用云計(jì)算時(shí)面臨哪些最顯著的風(fēng)險(xiǎn)?其可以采取什么措施來(lái)減輕這些危害?
云計(jì)算的安全風(fēng)險(xiǎn)
向云平臺(tái)的過(guò)渡,意味著惡意行為者將繼續(xù)尋求滲透企業(yè)云防御的方法。以下是企業(yè)在嘗試保護(hù)云上數(shù)據(jù)時(shí)面臨的一些最大的安全風(fēng)險(xiǎn)。
1、惡意軟件
通常,當(dāng)企業(yè)實(shí)施云計(jì)算時(shí),會(huì)錯(cuò)誤地認(rèn)為現(xiàn)在可以免受傳統(tǒng)惡意軟件攻擊。不幸的是,情況并非總是如此。盡管云惡意軟件的預(yù)期目標(biāo)是云平臺(tái)提供商,但終端用戶仍然會(huì)受到影響。
例如,一種類型的云惡意軟件攻擊是超級(jí)劫持,其中網(wǎng)絡(luò)犯罪分子將虛擬機(jī)(VM)管理程序交換為損壞的版本。這種轉(zhuǎn)變是有害的,因?yàn)楣芾沓绦蚴翘摂M機(jī)(物理計(jì)算機(jī)的數(shù)字版本)的基礎(chǔ),也是云計(jì)算的構(gòu)建塊之一。超級(jí)劫持會(huì)影響終端用戶,因?yàn)樗赡軐?dǎo)致敏感數(shù)據(jù)被盜,包括身份詳細(xì)信息和財(cái)務(wù)信息,同時(shí)還使網(wǎng)絡(luò)犯罪分子能夠利用終端用戶的帳戶分發(fā)更多惡意軟件,并執(zhí)行網(wǎng)絡(luò)釣魚(yú)詐騙。
2、網(wǎng)絡(luò)運(yùn)營(yíng)可見(jiàn)性有限
當(dāng)企業(yè)混合使用云平臺(tái)和環(huán)境以及本地服務(wù)器時(shí),該基礎(chǔ)設(shè)施可能會(huì)變得復(fù)雜,并導(dǎo)致網(wǎng)絡(luò)內(nèi)的可見(jiàn)性有限。盡管復(fù)雜的網(wǎng)絡(luò)可能導(dǎo)致運(yùn)營(yíng)效率低下和網(wǎng)絡(luò)停機(jī),從而導(dǎo)致超支,但主要的安全問(wèn)題是無(wú)意中產(chǎn)生的網(wǎng)絡(luò)“黑點(diǎn)”。該術(shù)語(yǔ)指的是云網(wǎng)絡(luò)或基礎(chǔ)設(shè)施中監(jiān)控工具經(jīng)常遺漏的區(qū)域,從而使這些部分處于開(kāi)放狀態(tài)并面臨安全漏洞。
錯(cuò)誤的網(wǎng)絡(luò)管理等同于向所有潛在的黑客揮手歡迎,因?yàn)榫W(wǎng)絡(luò)犯罪分子可以使用自動(dòng)化工具掃描云應(yīng)用、服務(wù)器和基礎(chǔ)設(shè)施中的漏洞,從而導(dǎo)致安全漏洞。更糟糕的是,企業(yè)通常不會(huì)意識(shí)到由于網(wǎng)絡(luò)黑暗而實(shí)時(shí)遭到破壞,從而導(dǎo)致大量數(shù)據(jù)丟失和補(bǔ)救成本。
3、合規(guī)問(wèn)題
必須遵守的法規(guī)取決于所在的行業(yè)或提供的服務(wù)。關(guān)于云計(jì)算的兩個(gè)最廣泛、最相關(guān)的立法是歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)和1996年健康保險(xiǎn)流通與責(zé)任法案(HIPAA)。
當(dāng)企業(yè)不遵守最小特權(quán)原則(PoLP)或同時(shí)遵循多項(xiàng)合規(guī)法規(guī)時(shí),可能會(huì)出現(xiàn)與合規(guī)相關(guān)的問(wèn)題,從而導(dǎo)致在如何保存信息方面出現(xiàn)重疊或模糊。違反合規(guī)法律可能會(huì)導(dǎo)致犯罪方面臨巨額罰款和律師費(fèi)。
4、數(shù)據(jù)丟失
盡管使用云計(jì)算的主要原因之一是保護(hù)數(shù)據(jù)和資產(chǎn),但也不能避免數(shù)據(jù)丟失。
數(shù)據(jù)丟失的一個(gè)重要原因是數(shù)據(jù)備份和恢復(fù)不足。許多初創(chuàng)企業(yè)所有者和企業(yè)家對(duì)云過(guò)于信任,這意味著他們沒(méi)有足夠的計(jì)劃和資源來(lái)進(jìn)行數(shù)據(jù)恢復(fù)。如果沒(méi)有定期備份和應(yīng)急計(jì)劃,在發(fā)生物理?yè)p壞、網(wǎng)絡(luò)攻擊或內(nèi)部威脅時(shí),數(shù)據(jù)可能會(huì)永久丟失。
5、數(shù)據(jù)泄露
令人驚訝的是,數(shù)據(jù)泄露的最大原因是人為錯(cuò)誤。根據(jù)Verizon的《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》,74%的數(shù)據(jù)泄露涉及人為因素,無(wú)論是有意還是無(wú)意。
此外,人類數(shù)據(jù)泄露的首要原因是憑證薄弱或被盜。GoodFirms對(duì)IT專家和網(wǎng)絡(luò)安全人員進(jìn)行的一項(xiàng)調(diào)查發(fā)現(xiàn),30%的受訪者因憑證薄弱而經(jīng)歷過(guò)數(shù)據(jù)泄露,36%的人將密碼寫在紙上,53%的人將密碼與同事、家人和朋友分享。所有這些做法都是導(dǎo)致違規(guī)的原因。
因此,當(dāng)一些IT專業(yè)人員甚至不遵守自己的網(wǎng)絡(luò)安全協(xié)議時(shí),非IT員工不能承擔(dān)數(shù)據(jù)泄露的所有責(zé)任。
6、賬戶劫持
這其實(shí)并不是什么新聞了,但是,如果用戶寫下其云帳戶密碼或與他人共享,其云帳戶被劫持的可能性就會(huì)增加。由于這種疏忽,黑客可以訪問(wèn)員工的電子郵件,并從那里輕松訪問(wèn)整個(gè)云帳戶。
帳戶劫持對(duì)網(wǎng)絡(luò)犯罪分子尤其有吸引力,因?yàn)?3%的企業(yè)文件夾對(duì)所有人開(kāi)放,而且當(dāng)與網(wǎng)絡(luò)可見(jiàn)性弱點(diǎn)和選擇不當(dāng)?shù)拿艽a混合在一起時(shí),帳戶劫持變得更加容易。因此,網(wǎng)絡(luò)犯罪分子可以輕松劫持帳戶,甚至在入門級(jí)員工賬戶上也能找到有價(jià)值的數(shù)據(jù)。
7、內(nèi)部威脅
真正的威脅其實(shí)是:內(nèi)部威脅。這些人可能是現(xiàn)任或前任員工、行為魯莽或疏忽的員工,或者是贏得了天真的員工信任的威脅行為者。
Proofpoint的《2022年內(nèi)部威脅成本全球報(bào)告》發(fā)現(xiàn),26%的內(nèi)部威脅都是內(nèi)部犯罪分子所為,而且事件數(shù)量在短短兩年內(nèi)增加了44%,令人震驚。這一增長(zhǎng)可能是由于遠(yuǎn)程工作人員、自帶設(shè)備(BYOD)政策或就業(yè)前景受到疫情影響的前員工的增加。
因此,雖然云計(jì)算面臨著各種威脅的風(fēng)險(xiǎn),有些是偶然的,有些不是,但一切都還沒(méi)有結(jié)束,因?yàn)槠髽I(yè)仍然可以遵循一些最佳實(shí)踐,使云計(jì)算盡可能安全。
云的安全性如何?
與更傳統(tǒng)的方法相比,例如將數(shù)據(jù)存儲(chǔ)在計(jì)算機(jī)上,在云中存儲(chǔ)數(shù)據(jù)通常是更安全的選擇。由于數(shù)據(jù)保存在云端,企業(yè)數(shù)據(jù)不再局限于單個(gè)設(shè)備,從而使勒索軟件等攻擊變得無(wú)效。此外,云數(shù)據(jù)只能通過(guò)數(shù)字密鑰訪問(wèn),全天候監(jiān)控,并通過(guò)云平臺(tái)提供商進(jìn)行端到端加密。
然而,云平臺(tái)并非堅(jiān)不可摧。惡意行為者可能會(huì)使用社會(huì)工程方案來(lái)繞過(guò)數(shù)據(jù)加密預(yù)防措施來(lái)獲取登錄憑據(jù)。員工也可能會(huì)犯人為錯(cuò)誤,例如有人在不使用云帳戶時(shí)忘記注銷,從而允許黑客通過(guò)其設(shè)備滲透系統(tǒng)。
由于超過(guò)60%的企業(yè)數(shù)據(jù)存儲(chǔ)在云端,這些平臺(tái)成為網(wǎng)絡(luò)犯罪分子的巨大目標(biāo),這意味著云安全是一個(gè)持續(xù)的挑戰(zhàn)。
如何最大限度地降低云計(jì)算的風(fēng)險(xiǎn)?
理想情況下,網(wǎng)絡(luò)安全專家可以推薦針對(duì)所有云計(jì)算風(fēng)險(xiǎn)的一站式軟件。但是,這個(gè)解決方案現(xiàn)在并不存在,而且很可能永遠(yuǎn)不會(huì)存在。
那么,企業(yè)可以采取哪些措施來(lái)降低云計(jì)算的安全風(fēng)險(xiǎn)呢?以下是一些解決方案:
多重身份驗(yàn)證(MFA):根據(jù)Microsoft的說(shuō)法,這種要求密碼和指紋或面部掃描的相對(duì)簡(jiǎn)單的解決方案可以阻止超過(guò)99.9%的帳戶泄露。網(wǎng)絡(luò)分段:這種做法減少了許多企業(yè)遵循的全訪問(wèn)方法。為每個(gè)網(wǎng)段啟用嚴(yán)格的規(guī)則意味著只允許特定的操作,并且選定數(shù)量的批準(zhǔn)用戶將被授予訪問(wèn)權(quán)限。虛擬專用網(wǎng)絡(luò)(VPN):VPN隱藏用戶的IP地址,并創(chuàng)建加密其在線流量的安全隧道。其使用應(yīng)該是辦公室內(nèi)的標(biāo)準(zhǔn)做法,并且遠(yuǎn)程員工在使用云帳戶和訪問(wèn)工作文件和數(shù)據(jù)時(shí)可以隨時(shí)使用它們。云審計(jì):此評(píng)估不僅可以確定云的計(jì)算性能,還可以檢查有關(guān)身份和訪問(wèn)管理、數(shù)據(jù)備份和恢復(fù)以及供應(yīng)商管理的既定控制和最佳實(shí)踐。審計(jì)可以掃描潛在的未經(jīng)授權(quán)的訪問(wèn),并確保每個(gè)人都遵守合規(guī)規(guī)則。如果把云計(jì)算比作開(kāi)車,那么遵守速度限制、系好安全帶并安全駕駛——所有這些都可以降低發(fā)生事故的風(fēng)險(xiǎn)。但是,沒(méi)有什么可以消除事故仍然可能發(fā)生的可能性。同樣的道理也適用于商業(yè)領(lǐng)袖和云計(jì)算。我們應(yīng)該了解云計(jì)算的主要風(fēng)險(xiǎn),并建立安全協(xié)議和最佳實(shí)踐來(lái)保護(hù)業(yè)務(wù)、數(shù)據(jù)和員工,并降低發(fā)生安全事件的風(fēng)險(xiǎn)。這并不能保護(hù)所有情況,但至少不會(huì)成為一個(gè)魯莽的駕駛員。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 400G:骨干網(wǎng)的最新趨勢(shì)
- 三大運(yùn)營(yíng)商11月成績(jī)單:用戶數(shù)據(jù)增幅放緩
- 2025年數(shù)字錢包:重塑金融生態(tài)的領(lǐng)先應(yīng)用
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- 什么是聚合交換機(jī)?
- 電池技術(shù)如何影響車輛性能
- 千家早報(bào)|庫(kù)克稱蘋果從未考慮過(guò)AI收費(fèi);OpenAI GPT-5“難產(chǎn)”:訓(xùn)練6個(gè)月花費(fèi)5億美元,已落后原計(jì)劃半年——2024年12月23日
- 中國(guó)電信再次出讓三家金融機(jī)構(gòu)股權(quán) 價(jià)值規(guī)模近10億
- 中國(guó)移動(dòng)無(wú)源器件產(chǎn)品集采:規(guī)模為1807.93萬(wàn)件
- 中國(guó)移動(dòng)分天線產(chǎn)品集采:規(guī)模為1588.82萬(wàn)面
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。