為什么云中有那么多企業(yè)遭遇安全漏洞？

很多人被告知云計(jì)算是安全的。確實(shí)如此，但前提是妥善采用云計(jì)算服務(wù)。很多企業(yè)已經(jīng)將他們的工作負(fù)載轉(zhuǎn)移到云端，并認(rèn)為所有工作都已完成。他們經(jīng)常忘記以往在內(nèi)部部署設(shè)施中的安全措施在云中并不起作用?，F(xiàn)實(shí)情況是，企業(yè)的云計(jì)算資產(chǎn)需要適當(dāng)?shù)陌踩?，然后需要持續(xù)監(jiān)控和分析以確保其安全。

人們都聽說過雅虎、LinkedIn、Facebook等知名企業(yè)在過去幾年中所經(jīng)歷網(wǎng)絡(luò)泄露的違規(guī)行為。但如果認(rèn)為只有這些大公司才會(huì)受到攻擊，那么就錯(cuò)了。

根據(jù)《2021年泰雷茲全球云安全研究報(bào)告》，40%的企業(yè)在過去一年內(nèi)經(jīng)歷過基于云的數(shù)據(jù)泄露事件。盡管發(fā)生了這些事件，但絕大多數(shù)(83%)企業(yè)存儲(chǔ)在云中的敏感數(shù)據(jù)至少有一半仍然沒有加密。在最近的一項(xiàng)研究中，Sysdig公司發(fā)現(xiàn)75%的運(yùn)行容器(在云中)的企業(yè)存在高風(fēng)險(xiǎn)或嚴(yán)重的漏洞，這些漏洞可以通過補(bǔ)丁修復(fù)，但卻沒有修復(fù)。

網(wǎng)絡(luò)安全人員對(duì)此并不感到驚訝，但如果企業(yè)(即使是小公司)對(duì)此無動(dòng)于衷，他們將有一半的機(jī)會(huì)成為下一個(gè)被攻擊的目標(biāo)。如果企業(yè)的云計(jì)算資產(chǎn)配置不正確、不進(jìn)行持續(xù)監(jiān)控和更新，那么業(yè)務(wù)可能會(huì)受到攻擊。

那么，企業(yè)如何確保云資產(chǎn)安全？以下是五個(gè)主要的提示。

1.構(gòu)建安全的云基礎(chǔ)設(shè)施

如果企業(yè)沒有正確構(gòu)建和配置IT基礎(chǔ)設(shè)施，就會(huì)容易受到網(wǎng)絡(luò)攻擊。但是，構(gòu)建安全的云計(jì)算基礎(chǔ)設(shè)施的復(fù)雜性超越了傳統(tǒng)的IT基礎(chǔ)設(shè)施，傳統(tǒng)的IT基礎(chǔ)設(shè)施完全是關(guān)于在辦公室訪問的企業(yè)網(wǎng)絡(luò)。遠(yuǎn)程工作和云計(jì)算技術(shù)意味著網(wǎng)絡(luò)的每個(gè)部分都需要安全和保護(hù)——從基礎(chǔ)設(shè)施、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)到端點(diǎn)。

每個(gè)人都將使用云計(jì)算服務(wù)，因此企業(yè)在構(gòu)建其云計(jì)算基礎(chǔ)設(shè)施時(shí)，讓所有部門參與并了解他們將如何使用云計(jì)算服務(wù)，以及這可能對(duì)安全性產(chǎn)生什么影響是關(guān)鍵。IT團(tuán)隊(duì)習(xí)慣于使用防病毒軟件管理和更新其內(nèi)部部署IT基礎(chǔ)設(shè)施并實(shí)施最新補(bǔ)丁，但云計(jì)算安全性不同，IT部門需要認(rèn)識(shí)到這一點(diǎn)。企業(yè)在確保其云計(jì)算基礎(chǔ)設(shè)施安全時(shí)，員工如何訪問網(wǎng)絡(luò)和使用他們的應(yīng)用程序是關(guān)鍵考慮因素。

建議任何在云平臺(tái)中運(yùn)營業(yè)務(wù)或?qū)I(yè)務(wù)遷移到云中的企業(yè)根據(jù)行業(yè)最佳實(shí)踐基準(zhǔn)進(jìn)行審計(jì)和評(píng)估，以評(píng)估其云計(jì)算漏洞。企業(yè)與了解所有可能的安全風(fēng)險(xiǎn)的云計(jì)算顧問合作是了解這一過程的好方法。

2.更新安全性使其適合云計(jì)算

一個(gè)典型的場景是，企業(yè)在將業(yè)務(wù)遷移到云平臺(tái)時(shí)保留現(xiàn)有的安全解決方案，并盡可能將其分層。這提供了某種形式的保護(hù)，但對(duì)整個(gè)環(huán)境的可見性降低了，因?yàn)樵破脚_(tái)的工作方式與內(nèi)部部署設(shè)施截然不同。例如，傳統(tǒng)上，內(nèi)部IT團(tuán)隊(duì)會(huì)每月或每季度對(duì)該環(huán)境進(jìn)行一次校準(zhǔn)。這在內(nèi)部部署服務(wù)中運(yùn)行良好，但是當(dāng)企業(yè)在云中快速向上和向下擴(kuò)展時(shí)，如果沒有正確調(diào)整，最終可能會(huì)造成空白。

擁有全天候管理和監(jiān)控整個(gè)云計(jì)算資產(chǎn)的正確安全性是幫助企業(yè)防止安全漏洞的唯一方法。現(xiàn)在有像托管端點(diǎn)檢測(cè)和響應(yīng)(MDR)這樣的軟件解決方案，可以在防病毒軟件的范圍之外持續(xù)監(jiān)控端點(diǎn)設(shè)備。它將持續(xù)監(jiān)控云資產(chǎn)中的異常或可疑活動(dòng)。如果檢測(cè)到事件，它可以全天候采取行動(dòng)，包括機(jī)器隔離或自動(dòng)化操作手冊(cè)。

3.持續(xù)測(cè)試、監(jiān)控和分析

如果企業(yè)沒有進(jìn)行全天候測(cè)試、監(jiān)控和分析其云計(jì)算資產(chǎn)，那么就會(huì)有漏網(wǎng)之魚。企業(yè)需要聘請(qǐng)第三方顧問來評(píng)估和測(cè)試其云計(jì)算資產(chǎn)，以幫助企業(yè)提供可操作的見解以提高安全性。這將使企業(yè)能夠與行業(yè)最佳實(shí)踐保持一致，并幫助企業(yè)了解存在的漏洞。

例如，一家這樣做的企業(yè)發(fā)現(xiàn)，他們可以通過從四個(gè)運(yùn)營區(qū)域遷移到兩個(gè)運(yùn)營區(qū)域、孤立未使用的云計(jì)算服務(wù)以及在不損失服務(wù)質(zhì)量的情況下減少存儲(chǔ)磁盤的容量來降低成本。他們的評(píng)估每年可以節(jié)省18000英鎊，相當(dāng)于每年的云計(jì)算服務(wù)成本節(jié)省了30%。最重要的是，審查強(qiáng)調(diào)他們的VPN處于“失敗”狀態(tài)，他們的WordPress網(wǎng)站不安全，因此兩者都需要立即更新以防止出現(xiàn)漏洞受到攻擊。這一評(píng)估促使該公司實(shí)施更強(qiáng)大的安全策略，并更好地與ISO27001保持一致。

企業(yè)一旦對(duì)其資產(chǎn)進(jìn)行了評(píng)估和測(cè)試，以確定是否存在漏洞并立即采取補(bǔ)救措施，接下來就是開展全天候監(jiān)控和分析活動(dòng)。有一些優(yōu)秀的云管理平臺(tái)可以為企業(yè)做到這一點(diǎn)，而且是免費(fèi)的。這些自動(dòng)化的安全和監(jiān)控解決方案會(huì)自動(dòng)應(yīng)用于現(xiàn)有和新的工作負(fù)載。他們掃描收集的數(shù)據(jù)，并包括圍繞安全事件的主動(dòng)監(jiān)控，讓企業(yè)在清晰易懂的警報(bào)中了解發(fā)生了什么，以及在需要時(shí)應(yīng)該在哪里采取行動(dòng)，其中包括反惡意軟件等關(guān)鍵領(lǐng)域。

4.教育員工

雖然企業(yè)可能擁有最好的云計(jì)算基礎(chǔ)設(shè)施和所有正確的安全和監(jiān)控工具，但用戶可能很少受過網(wǎng)絡(luò)安全方面的教育和培訓(xùn)。人為錯(cuò)誤仍然是網(wǎng)絡(luò)安全失敗的主要原因。最近，斯坦福大學(xué)的研究人員發(fā)現(xiàn)，員工錯(cuò)誤導(dǎo)致了大約88%的數(shù)據(jù)泄露事件。

為遠(yuǎn)程訪問、手機(jī)和BYOD、密碼使用以及數(shù)據(jù)傳輸和處置制定正確的安全策略至關(guān)重要。然后企業(yè)必須不斷地教育員工。每個(gè)人都需要理解并接受這樣的概念，即企業(yè)的網(wǎng)絡(luò)安全是關(guān)于共同責(zé)任的——不僅是IT部門或人力資源部門的責(zé)任，也是所有部門和所有員工的責(zé)任。

5.制定災(zāi)難恢復(fù)計(jì)劃

企業(yè)可能擁有最好的基礎(chǔ)設(shè)施以及監(jiān)控和分析工具，并且員工定期接受網(wǎng)絡(luò)安全培訓(xùn)。但這仍然不足以保證100%的安全，免受網(wǎng)絡(luò)安全漏洞的影響。這是不可能的。為確保企業(yè)在遭到破壞或攻擊時(shí)仍能正常運(yùn)營，需要制定適當(dāng)?shù)臑?zāi)難恢復(fù)計(jì)劃，并定期對(duì)其進(jìn)行測(cè)試。遠(yuǎn)程數(shù)據(jù)備份系統(tǒng)是所有企業(yè)的必備工具。80%受重大事件影響的企業(yè)在18個(gè)月內(nèi)沒有重新開業(yè)或倒閉，部分原因是他們沒有制定有效的災(zāi)難恢復(fù)計(jì)劃。

然而，41%的企業(yè)在過去六個(gè)月中沒有測(cè)試過他們的災(zāi)難恢復(fù)解決方案，或者不知道是否已經(jīng)過測(cè)試?，F(xiàn)在市場上有自主災(zāi)難恢復(fù)解決方案，包括安全保護(hù)和虛擬機(jī)的無中斷測(cè)試。由于這是在云中構(gòu)建的，因此與內(nèi)部部署災(zāi)難恢復(fù)解決方案相比，成本顯著降低，因?yàn)槠髽I(yè)只為使用的服務(wù)付費(fèi)。如果企業(yè)沒有制定好計(jì)劃并且沒有定期進(jìn)行測(cè)試，那么需要立即采取行動(dòng)，尋找可以改變這種情況的第三方的幫助。

中小企業(yè)很難跟上所有最新的監(jiān)管要求和其云計(jì)算資產(chǎn)中的潛在漏洞，并專注于成本優(yōu)化。與優(yōu)秀的云計(jì)算和安全托管服務(wù)提供商合作將使企業(yè)獲得深厚的專業(yè)知識(shí)，以改善其云計(jì)算資產(chǎn)管理、優(yōu)化云成本并測(cè)試資產(chǎn)的安全性。