雲端計算內部威脅風險及緩解措施
安全性通常是計劃投資基於雲的技術時最優先考慮的問題。當然,在雲環境中,技術通常處於企業的網路邊界外部,因此使用者可以利用資源,而不能使用物理機架、伺服器、電力系統和其他相關裝置。可以肯定的一個重要問題是,關鍵資料(如客戶資料、醫療記錄)和智慧財產權不會受其他客戶系統和資料檔案的影響。本文中,我們將研究企業雲環境的另一個安全性問題:內部威脅。我們將探討基於雲的關鍵資源的蓄意攻擊和意外破壞。
探討雲端計算的內部威脅
調查內部威脅主要的問題時,攻擊者已經存在於內部。從本文目的出發,我們假設“內部人士”為雲服務廠商工作,並且有一個或多個客戶端環境。內部人士可以協調客戶資訊的保密性、完整性和可用性。
蓄意攻擊的型別包括資訊竊取、資料破壞或者資料毀滅、服務於特定客戶的系統受到損害、使用者使用的軟體和服務遭到損害、破壞和欺詐。儘管很難想象無意的雲端計算內部威脅,但是由於錯誤的指令,這種威脅經常發生,從而對客戶系統、服務和資料產生負面影響。然而,也可能是由於缺乏管理客戶系統、服務和資料的培訓。例如,一個操作員或者技術人員可能會收到特殊服務的命令,或者可能是更新特定服務的命令,並且,由於缺乏特殊活動的培訓,就會輸入錯誤的資料。一個數據庫管理員可能意外地訪問了錯誤的客戶資料庫,輸入錯誤的命令,以至於損壞了整個資料庫。
雲端計算內部威脅:研究風險及風險的緩解措施
事實上,看似惡意的內部活動可能是完全偶然的。然而這樣的事件卻引發了這樣的問題:如果有人知道如何安全訪問並使用複雜的基於雲的系統和服務,“事故”還會發生嗎?
因此,我們要關注蓄意攻擊,關注蓄意攻擊的潛在影響以及如何防止或者減輕其影響。假設犯罪者具有安全許可,對於一個企業來說,資訊或智慧財產權竊取則是一場噩夢。商業祕密、工程檔案、財務資料、客戶資料和許多其他有價值的資產可以被複制,並出售給出價最高的人或者是任何地方的人。這些可能正在悄悄地發生。
一旦資料被破壞或者毀滅,內部人士就可以獲取關鍵的客戶檔案和資料庫並且刪除資料,引入病毒或蠕蟲,或者引入邏輯炸彈來破壞/擦除資料。如果這些關鍵資料沒有備份/或者沒有複製到其他位置,那麼其損失將會導致公司破產。
公司如果使用被惡意操縱、更改的基於雲的系統和服務,就會突然發現他們重要的面向客戶型的應用程式出現故障或者不能執行。這意味著,他們的客戶可能無法正常辦理業務,從而導致訴訟,業務和聲譽遭受損失。重新獲得客戶信任,可能會很困難,甚至不可能,尤其是如果面向客戶型的系統已經嚴重損壞。
上述情況可能是一種蓄意行為,正如許多內部攻擊。基於雲的服務組織的人員可能對組織不滿或者對特定的公司抱有個人恩怨,而這個人恰好是雲服務組織的一個客戶。這個人具有安全許可,只要他喜歡,他幾乎可以做任何事情,來慢慢破壞目標組織和公司。使用各種技術來竊取資訊,建立虛假財務資料或者破壞出現執行“中斷”的組織,但總的來說,這可能是更大的、更險惡破壞計劃的一部分。
最後,像許多其他惡意行為一樣,在雲環境中也經常發生欺詐行為。然而公司內部的犯罪者可能只能夠獲取該公司的資源,而在雲環境,犯罪者可以訪問許多組織。例如,我們聽到的關於內部人士操縱金融系統的事件,比如臭名昭著的興業銀行欺詐事件,導致數百萬損失,不然的話就會使組織受害,導致數十億美元的損失。在雲環境中,犯罪者可以安全訪問多個客戶系統和資料,並且只會受到他或她的計算機技能的限制。
防止內部威脅:需要詢問的問題
一個惡意的內部人士可能是一個系統的管理員或者其他技術人才。這樣的人進行的非法攻擊可能被稱為“流氓”管理員或技術人員。計劃使用基於雲資源的組織,必須積極評估雲服務廠商的安全態勢。需要解決的問題包括以下幾點:
雲系統管理員和技術人員的訪問許可權,多長時間被稽核並重新確認一次?保證與廠商坐下來不只是聽其解釋的過程,也要把它寫下來。理想情況下,組織每年進行幾次內部訪問的重新認證過程。
如何仔細審查未來的可以訪問客戶系統和資料的系統管理員和技術人員?要保證新僱傭的員工不能立即訪問敏感的客戶系統和資料。在委託新員工管理你的賬戶之前,廠商應該要求新員工證明他們自己能夠勝任並且是值得信賴的。
管理背景的調查嗎?他們會定期更新並且/或者重做背景調查嗎?那些有犯罪記錄的人員應該進行進一步審查,或者從考慮的人選中完全排除掉。同樣,員工在過去為競爭對手工作過嗎?如果你是百事可樂的工作人員,你可能不希望以前可口可樂的工作人員來管理雲端計算的實現。
對於系統管理員和其他技術人員來說,什麼樣的初期培訓和在職安全培訓是有用的?假設安全管理員和其他技術人員瞭解資訊保安,並且通過仔細詢問和特殊技能的認證(如專業認證評估)證明了其具備能力,下一步就是確保他們全面瞭解了使用中的安全系統;你可以通過讓他們閱讀系統所使用的技術手冊、安全配置資料、與系統的製造商和/或分銷商討論安全系統,來增強他們的體驗。隨著安全系統新版本的實現以及軟體補丁的安裝,應該向管理人員和技術人員介紹這些變化。
為非技術雲服務公司的員工提供什麼樣的安全培訓呢?假設雲組織具有資訊保安政策,首先,要將政策散佈到所有員工,甚至可以讓已經閱讀過政策的員工簽字確認;接下來,安排定期的半小時關於安全活動的簡單會議,所有員工參加(或者至少包括那些能訪問客戶資訊和系統的員工);最後,準備一頁紙來總結關鍵資訊保安政策和公司所定義的良好的實踐。
從政策和程式的角度談到安全問題,尤其是關於資訊盜取,破壞、欺詐等問題,基於雲的服務廠商的態度積極主動嗎?作為供應商評估過程的一部分,要檢視雲服務廠商政策、指導方針和針對客戶端系統和資料保護活動實踐的證明;如果你準備一份提案請求作為雲服務廠商評價過程的一部分,請務必索要服務廠商如何保證在其環境下保護客戶資料的證明。
需要什麼樣的安全監測系統和程式?大多數雲服務廠商都具有安全監測系統和程式,具備一組正在使用中的系統,例如入侵檢測系統、入侵防禦系統、防火牆;要檢視他們安全監測的政策和程式,找出他們是如何檢測和糾正拒絕服務攻擊、惡意軟體和其他試圖破壞系統和資料/資料庫安全的軟體;最後要檢視之前所有安全漏洞以及如何發現和糾正這些漏洞的詳細記錄證明。
需要什麼樣的網路監控系統和程式?這與上述列表類似,除了他們關注的網路邊界、網際網路接入裝置,內部/外部的語音和資料網路服務和網路接入裝置(如路由器、交換機、負載平衡器)之外;其次,要檢視所有網路安全漏洞的證明以及他們是如何發現和糾正這些漏洞的。
雲服務廠商有過多少記錄的惡意內部行為?這可能是在評估潛在的雲服務廠商時,其中一個需要解決的最重要的問題,這應該是所有RFP和供應商準備提交事故記錄證明時的一部分。做好準備,你可能得不到答案,因為這可能會被認為是“公司機密;”當然,這個問題沒有答案是一個警示訊號。
如何解決攻擊的?任何雲供應商回答這類問題時,都應該包括事故的記錄總結以及事故是如何解決的,更重要的是,要看雲服務公司的安全政策和程式採取了什麼改進措施,來預防未來的事故並快速識別可疑行為。
雲服務公司曾經因為顧客遭到內部攻擊,被定罪嗎?其次,要做好準備,你可能需要去審查或者你根本得不到答案,因為對於雲服務廠商來說,這可能是一個敏感的問題,並且其可能被放在機密的地方;一個真正有信譽的雲服務公司應該勇於承認自己的錯誤,並且認為一個事故是如何幫助公司改善其客戶安全政策、實踐和能力的。
在與雲服務廠商簽訂合同之前(詢問他們關於你自己的內部IT組織問題和其他問題並不影響)。即使是最成功的以及備受尊敬的雲公司內部可能也存在這樣的人,他們在等待合適的時機,一旦時機到來,他們就會採取惡意行為來中飽私囊或來達到他們自己的利益。雖然要找出一個犯罪者幾乎是不可能的,除非一切為時已晚,發出了警告訊號。不滿、糟糕的績效考核、不加薪水、家庭問題、忙於工作並且偶爾發脾氣,這些都是警告訊號。看起來可能毫不重要,但是要確保你的廠商的人力資源團隊能夠協助員工篩選過程和員工績效的持續監控。在評估你的組織的安全態勢時,採取這些方法。就像你的供應商一樣,你的組織可能會成為內部威脅的目標。
在出現完全可靠的員工篩選、系統/網路監控、檢測預示內部攻擊的人類績效變化的方法之前,像許多其他的IT服務公司一樣,基於雲的服務廠商,不得不保持高水平的盡職調查和積極主動的工作監督,以防止惡意的內部攻擊。所以一定要考慮以上的建議。使廠商保持最高標準將有助於減少雲端計算內部威脅。