上云安全指南：横亘在企业数字化面前的风险

对于企业CIO来说，是否上云已经不是选择题，而是通往数字化的必由之路。不过，随着业务加速云化，一些企业的安全团队却仍然停留在原有的思维定式，忽视了对新业务部署时的风险控制。事实上，云应用和基础架构层面的数据泄露事件已经发生多起，而且勒索病毒和其他各类恶意软件的数量也在显著增加。

在新冠肺炎疫情期间，许多企业都试图加快采用云技术。“事实上，Gartner近期进行的一项调查显示，新冠肺炎疫情造成业务中断之后，如今采用云服务的企业之中的近70%计划增加在云技术方面的支出。”但是，由于目前90%的云工作负载均由Linux支持，而X-Frand报告表明，过去十年中与Linux相关的恶意软件系列增加了500%，因此，云环境可能成为威胁源的主要攻击媒介。

Vmware在一份调查中提到，越来越多的攻击者正试图绕过传统安全解决方案。在分析的2000个攻击样本中，90%以上都出现了防御规避行为。勒索软件在过去一年内明显复苏，在占分析样本95%的勒索软件中，防御规避行为继续发挥关键作用。这些勒索软件重点攻击能源、政府和制造业部门，表明勒索软件的复苏已成为地缘政治紧张局势下的不良“副产品”。

这意味着，攻击者正变得善于规避安全解决方案，攻击质量提升，而在指挥和控制方面变得更加隐秘，通用类的安全监测很难察觉。同时，应用层、协议级的攻击正在成为主要威胁，攻击者可以发起多维的向量攻击。调查显示，在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介，其中8%包含五个或多个媒介。

LinkedIn曾经做过一项调查：49%的CIO和企业认为，影响他们上云的主要原因是担心数据的丢失和泄漏，59%的人认为，传统的网络安全工具在云端具有局限性。事实上，尽管当前各厂商在设计架构时更重视IaaS层的资源隔离，不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题，一方面是上云业务与原有IT架构的安全组件集成度不够，另一方面也是企业客户过于追求成本效益，忽视了安全因素。

通常来说，云安全可以通过网状的大量客户端对网络软件行为进行异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。不过，随着开放网络和业务共享场景愈发多变，新型的攻击方式也是不断涌现。多云供应、资源虚拟化、数据所有权分离等问题难以从根本上解决，更不用说云服务中包含了很多软件应用，更是暴露出潜在风险。

随着开源恶意软件的增加，IBM通过评估发现，攻击者可能正在寻找提高利润率的方法，即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调，多家威胁组织(如APT28、APT29和Carbanak)均转向开源恶意软件，这表明该趋势会导致新一年出现更多云环境攻击。

IBM X-Force威胁情报指数报告指出，攻击者正在利用云环境提供的可扩展处理能力，将大量云使用费用转嫁给受害企业。Intezer在2020年观察到，超过13%的Linux加密挖掘恶意软件中出现了从未被发现过的新代码。

由于攻击者的目标锁定在云上，所以，X-Force建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件，以帮助保护最敏感的数据。通过对使用中的数据进行加密，企业可以减少恶意攻击者可利用的漏洞，确保即使他们能够访问企业的敏感环境，也会一无所获。

对于云安全网关服务商或者风控人士来说，要想在云安全领域分得一杯羹，或许可以从五个方面找到方法。

第一，对异常数据或欺诈活动进行监测和拦截。一般来说，客户代表对客户信息的访问在单位时间内有数值波动不大，如果突然出现爆发式的访问或下载记录，说活动非常可疑。此时，CSG解决方案提供商必须准备必要的检测和通知机制。

第二，检测和防御固然重要，但相关人员更要知道“5W1H”，并为此做出可视化的深度分析报告。这样一来，未经验证的云程序可以提升其被预测性，在企业云迁移时加强安全风控。

第三，在线工作平台的流行加速了恶意软件的传播，用户在上传、分享、下载文件的过程中很难察觉到位于云存储系统的插件，为黑客访问敏感数据创造了便利条件。因此，CSG有必要在识别、隔离、消除恶意软件方面多下功夫。

第四，保护好用户的机密信息。数据泄露并非都是源于黑客窃取，一些不谨慎的员工在不经意间会将企业数据丢失，其中涉及个人信息或者知识产权方面的文件。通常情况下，传统预防措施(如DLP,Data leakage prevention)难以顾及云应用与平台之间数据迁移，使得CSG需要提供专门的云端DLP覆盖能力。

第五，对结构化和非结构化数据加密。为数据“上锁”的必要性在于，加大黑客售卖信息的难度，从而降低窃取动机。事实上，企业主更喜欢采用第三方CSG的存储和管理密钥，并通过云平台自带的加密功能进行过滤和防护。从某种程度上来说，这种外包的方式会带来额外的时间和经济成本，因此企业内部有能力解决往往更好。

体来说，云端数据迁移时先要打包整体的数据源，关注部分数据可能会导致最终处理时失真。其次，数据迁移的对象范围和规模要给出预估，充分利用边缘化的存储。再者，自动化流程往往比人工干预要更有效率。涉及到具体的数据传输加密过程，可以结合客户端/应用加密、链路/网络加密、代理加密三种模式。企业部署云计算不是一蹴而就，初期部署一些轻量化业务上云测试是必要的。除了要选择熟悉的云服务商，还要实时监控数据中心和云端业务的运行情况，并且在出现问题时迅速决定投入哪些资源来抵御攻击。

什么是慢速连接攻击？我们该如何防护 - 知乎

上云安全指南：横亘在企业数字化面前的风险相关推荐

517电信日丨联通沃云携全新“上云引擎”，助力企业数字化转型
2020年5月17日是第51个世界电信和信息社会日. 与往年相比不同寻常的是,在这下一个十年的开端之日,国际电信联盟(ITU)用主题给未来十年定调--"连通目标2030:利用ICT促进可持续 ...
瑞康医药的上云之旅：企业数字化转型首先要选好平台
作为一家传统企业,应该如何通过数字化转型和云服务的运用,来实现降本增效并推动业务创新? 作为国内医药流通行业的领军企业,瑞康医药的上云之旅,无疑可以为广大传统企业提供一个极佳的参考范例. 上云之前的痛 ...
企业数字化转型与中台建设全攻略：什么阶段进行?有哪些方法?
导读:企业应在什么阶段进行数字化转型.采用什么样的方法进行转型,这是我们必须思考和不断在实践中优化的. 作者:阿里云智能-全球技术服务部来源:大数据DT(ID:bigdatadt) 01 云化云化 ...
企业数字化转型与中台建设全攻略：什么阶段进行？采用哪些方法？
导读:企业应在什么阶段进行数字化转型.采用什么样的方法进行转型,这是我们必须思考和不断在实践中优化的. 作者:阿里云智能-全球技术服务部来源:大数据DT(ID:bigdatadt) 01 云化云化 ...
BA-业务架构_优化“价值主张画布”,助力企业数字化赋能
关于价值主张画布(Value Proposition Canvas),2014年在作者:Alexander Osterwalder,Yves Pigneur等出版书籍<Value Proposi ...
体制机制建设是集团建筑施工企业数字化转型的重要保障
随着建筑业进入稳定增长阶段,传统模式已无法满足行业高质量发展需求.面对着力推动互联网和实体经济深度融合的机遇,我国大型企业发展在数字化转型的潮流中进入新阶段,建筑类企业数字化转型升级应运而生.推动经营 ...
施工企业数字化转型解决方案设计思路
建筑施工企业进行数字化转型的过程中,企业顶层的战略部署尤为重要.那么企业在进行数字化转型的规划与方案设计时会受到哪些关键要素的影响和制约,又该如何规划设计呢? 从" 十四五"规划来 ...
阿里云安全肖力：安全基础建设是企业数字化转型的基石
2019独角兽企业重金招聘Python工程师标准>>> 企业在享受数字化转型带来利好的同时,其面临的安全问题也愈发复杂.一方面,外部威胁不断升级,近期利用海量移动设备发起DDoS攻击 ...
企业数字化转型本质上是“人”的转型和“组织”的转型
2021年是机遇与挑战并存的一年.这场数字化变革摆在所有人面前,每个企业都必须重视起来,也不得不重视起了,因为数字化已经成为企业的起跑线了. 说起数字化,很多企业都认为是技术问题,认为企业数字化转型就 ...

上云安全指南：横亘在企业数字化面前的风险

上云安全指南：横亘在企业数字化面前的风险相关推荐

最新文章

热门文章