計世網

云安全的三宗罪,你犯了哪些?
作者:劉沙 | 來源:計算機世界
2019-10-28
沒有一個系統是安全的!無論這個系統是在哪里、還是以什么樣的形式存在。

 

  由四個年輕人構成的黑客組織CLAY(Clowns laugh at you小丑在笑你),抱著想在黑客江湖中揚名立腕的目的,用各種手段攻擊了政黨會議、股票系統、醫藥公司,還通過翻垃圾找線索、發釣魚郵件竊取密碼等方式黑掉了德國聯邦情報局的打印系統,并留下了一句話:沒有一個系統是安全的!

  這是1994年上映的德國電影《我是誰》中的情節,也是很多網絡犯罪事件的真實寫照。它道出了一個殘酷的真相:沒有一個系統是安全的!無論這個系統是在哪里、還是以什么樣的形式存在。

電影《我是誰》劇照


  在各種信息技術飛速發展的今天也是如此,云計算、大數據、物聯網、移動互聯網、人工智能等技術,在給人們、企業、社會帶來便利的同時,也帶來了管理的復雜性和更多的風險性。

  尤其是在全球眾多企業中已經普及應用的云計算,自從該技術誕生之日起,關于云計算安全性的各種討論和質疑聲就一直不絕于耳。如今,隨著數字化轉型加速,云安全更成了每個企業都必須面對的話題。

  企業認知存在偏差

  “其實很多企業對云安全的認知情況與專業人士的認知完全不一樣。” Palo Alto Networks(派拓網絡)大中華區總裁陳文俊告訴《計算機世界》記者。

Palo Alto Networks(派拓網絡)大中華區總裁陳文俊


  近日,派拓網絡聯合市場調研機構Ovum Research發布了一份關于亞太地區大型企業云安全現狀的報告,調查了澳大利亞、中國、中國香港、印度和新加坡共500位受訪者,他們來自不同行業中員工數量超過200人的企業。

  報告中指出,目前最困擾上云企業的主要問題是不安全的接口、云上數據丟失,已知和未知的攻擊和威脅。但是,這些大型企業并沒有做好應對云網絡安全威脅的準備,他們會假設公有云是默認安全的。在中國,有78%的安全決策者認為云供應商提供的安全足以保護其免受云威脅的傷害。認為自己工作的SaaS環境高度安全的中國企業有82%,認為IaaS和PaaS安全的企業則分別高達67%和61%。

  對此,陳文俊指出,企業需要認識到,云安全是一種共同的責任。云供應商應該負責其基礎設施的安全,但確保存儲在基礎設施之上的數據和應用安全,則是企業自身的責任。“就像我們在大樓里租了一個房間,大樓要保證大門的門禁安全,而房間里的財產安全則是需要由我們自己來保護的。”

  Palo Alto Networks(派拓網絡)亞太區域首席安全官Kevin O'Leary也強調,如果完全依靠云服務商提供解決方案,實際上并不能很好的解決安全問題。

Palo Alto Networks(派拓網絡)亞太區域首席安全官Kevin O'Leary


  沒有安全工具的統一視圖

  事實上,那些為了保障云安全,已經部署了安全工具的大型企業的情況也不樂觀。在參與調查的企業中,有76% 企業在自己的基礎設施中部署了10個以上的安全工具以實現云安全。但是,過多的安全工具也造成了安全態勢的碎片化,尤其是當企業在多云環境中運行的時候,使云安全管理變得更加復雜。

  對此,Kevin O'Leary表示,管理復雜對于安全來講是一個非常致命的弱點,因為復雜性意味著對安全很難做到及時的響應和處理。

  Ovum亞太區咨詢服務總監Andrew Milroy也指出,“大型企業需要對所有云原生服務形成統一視圖,最好能配備一個中央控制面板,利用人工智能等技術來及時防御已知和未知的惡意威脅。”

  “通過這次調查,我們發現,很多企業都缺乏整體的安全策略和輿情。”Kevin O'Leary談到,他非常贊同企業應該用一個統一的安全管理平臺,打開這樣的控制平臺,就可以一目了然的看到云上整個安全策略的運行情況和資產情況,可以對威脅進行及時的響應和處理,而不需要登陸到不同的平臺上去管理安全。“如果我們能夠讓企業內部的安全產品相互協同工作,這能在很大程度上節省企業的IT開支,這種開支既包括人力成本,也包括產品成本。這就是為什么說統一的安全管理平臺才是企業最好的安全方案。”

  缺少審核與培訓

  報告還顯示,有66%的企業不能做到每年進行一次網絡安全態勢的審核,有26% 企業的審核并不包括對云安全的評估。除了審核,有45%的中國企業無法做到每年對IT安全人員進行安全培訓,有64%的非IT人員無法每年接受網絡安全培訓。

  Kevin O'Leary指出,實際上,云安全問題不只是由技術層面導致的,也有因為安全意識薄弱造成的。因為人的天性是按照自己的習慣去做事,而不是從安全的角度去考慮。所以,如果員工缺乏定期的安全系統培訓,也容易造成錯誤的配置。

  陳文俊建議,要實現云安全,企業需要認識到云安全最佳實踐的重要性,包括:

  其一,企業上云的時候,一開始就要考慮到安全,把安全集成到云環境里,安全才會成為上云的推動者;

  其二,要在各類云部署中創建統一的安全策略,能對所有云資產及其所面臨的威脅形成統一的視圖;

  陳文俊補充到,作為專業的、中立的安全供應商,派拓網絡可以支持公有云、私有云,甚至是混合云的多云環境,可以提供一個統一的工具,幫助企業部署統一的安全策略。目前派拓網絡已經與阿里云達成了合作,可以在阿里云上提供其產品和服務。

  其三,要允許多云環境的平滑部署和輕松擴展,減少安全團隊與研發團隊之間的差距,實現多云環境里的安全保障;

  其四,要加強對IT和非IT人員的審核與培訓;

  其五,要多借助大數據、機器學習、人工智能等技術,實現自動化的防御和防控,避免人工導致的錯誤。“因為很多黑客都是通過機器進行攻擊的,如果只通過人手去防御,反應是遠遠不足的。”
 

責任編輯:劉沙