文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

上云安全指南:横亘在企业数字化面前的风险

2024-12-03 01:23

关注
[[412466]]

在新冠肺炎疫情期间,许多企业都试图加快采用云技术。“事实上,Gartner近期进行的一项调查显示,新冠肺炎疫情造成业务中断之后,如今采用云服务的企业之中的近70%计划增加在云技术方面的支出。”但是,由于目前90%的云工作负载均由Linux支持,而X-Frand报告表明,过去十年中与Linux相关的恶意软件系列增加了500%,因此,云环境可能成为威胁源的主要攻击媒介。

Vmware在一份调查中提到,越来越多的攻击者正试图绕过传统安全解决方案。在分析的2000个攻击样本中,90%以上都出现了防御规避行为。勒索软件在过去一年内明显复苏,在占分析样本95%的勒索软件中,防御规避行为继续发挥关键作用。这些勒索软件重点攻击能源、政府和制造业部门,表明勒索软件的复苏已成为地缘政治紧张局势下的不良“副产品”。

这意味着,攻击者正变得善于规避安全解决方案,攻击质量提升,而在指挥和控制方面变得更加隐秘,通用类的安全监测很难察觉。同时,应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。

LinkedIn曾经做过一项调查:49%的CIO和企业认为,影响他们上云的主要原因是担心数据的丢失和泄漏,59%的人认为,传统的网络安全工具在云端具有局限性。事实上,尽管当前各厂商在设计架构时更重视IaaS层的资源隔离,不过PaaS层和SaaS层仍储存了大量的用户数据。之所以出现这些问题,一方面是上云业务与原有IT架构的安全组件集成度不够,另一方面也是企业客户过于追求成本效益,忽视了安全因素。

通常来说,云安全可以通过网状的大量客户端对网络软件行为进行异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。不过,随着开放网络和业务共享场景愈发多变,新型的攻击方式也是不断涌现。多云供应、资源虚拟化、数据所有权分离等问题难以从根本上解决,更不用说云服务中包含了很多软件应用,更是暴露出潜在风险。

随着开源恶意软件的增加,IBM通过评估发现,攻击者可能正在寻找提高利润率的方法,即他们可能会通过降低成本、提高效率、创造机会来发起收益更高的攻击。该报告强调,多家威胁组织(如APT28、APT29和Carbanak)均转向开源恶意软件,这表明该趋势会导致新一年出现更多云环境攻击。

IBM X-Force威胁情报指数报告指出,攻击者正在利用云环境提供的可扩展处理能力,将大量云使用费用转嫁给受害企业。Intezer在2020年观察到,超过13%的Linux加密挖掘恶意软件中出现了从未被发现过的新代码。

由于攻击者的目标锁定在云上,所以,X-Force建议企业应该考虑针对其安全策略采用零信任方法。企业还应将保密计算作为其安全基础设施的核心组件,以帮助保护最敏感的数据。通过对使用中的数据进行加密,企业可以减少恶意攻击者可利用的漏洞,确保即使他们能够访问企业的敏感环境,也会一无所获。

对于云安全网关服务商或者风控人士来说,要想在云安全领域分得一杯羹,或许可以从五个方面找到方法。

第一,对异常数据或欺诈活动进行监测和拦截。一般来说,客户代表对客户信息的访问在单位时间内有数值波动不大,如果突然出现爆发式的访问或下载记录,说活动非常可疑。此时,CSG解决方案提供商必须准备必要的检测和通知机制。

第二,检测和防御固然重要,但相关人员更要知道“5W1H”,并为此做出可视化的深度分析报告。这样一来,未经验证的云程序可以提升其被预测性,在企业云迁移时加强安全风控。

第三,在线工作平台的流行加速了恶意软件的传播,用户在上传、分享、下载文件的过程中很难察觉到位于云存储系统的插件,为黑客访问敏感数据创造了便利条件。因此,CSG有必要在识别、隔离、消除恶意软件方面多下功夫。

第四,保护好用户的机密信息。数据泄露并非都是源于黑客窃取,一些不谨慎的员工在不经意间会将企业数据丢失,其中涉及个人信息或者知识产权方面的文件。通常情况下,传统预防措施(如DLP,Data leakage prevention)难以顾及云应用与平台之间数据迁移,使得CSG需要提供专门的云端DLP覆盖能力。

第五,对结构化和非结构化数据加密。为数据“上锁”的必要性在于,加大黑客售卖信息的难度,从而降低窃取动机。事实上,企业主更喜欢采用第三方CSG的存储和管理密钥,并通过云平台自带的加密功能进行过滤和防护。从某种程度上来说,这种外包的方式会带来额外的时间和经济成本,因此企业内部有能力解决往往更好。

体来说,云端数据迁移时先要打包整体的数据源,关注部分数据可能会导致最终处理时失真。其次,数据迁移的对象范围和规模要给出预估,充分利用边缘化的存储。再者,自动化流程往往比人工干预要更有效率。涉及到具体的数据传输加密过程,可以结合客户端/应用加密、链路/网络加密、代理加密三种模式。企业部署云计算不是一蹴而就,初期部署一些轻量化业务上云测试是必要的。除了要选择熟悉的云服务商,还要实时监控数据中心和云端业务的运行情况,并且在出现问题时迅速决定投入哪些资源来抵御攻击。

 

来源:中关村在线内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯