研究表明雲中21%的檔案包含敏感資料
全球知名的資訊保安廠商McAfee公司日前釋出了雲採用和風險報告,該報告分析了匿名客戶在雲平臺執行所遭遇的數十億個安全事件,以評估雲端計算部署的當前狀態,並發現風險。該報告顯示,雲中近四分之一的資料可歸類為敏感資料,如果資料被盜或洩露,組織將面臨風險。
雲中的資料
這個研究發現,雖然組織積極採用公共云為其客戶建立新的數字體驗,但通常每個企業的基礎設施即服務(IaaS)和平臺即服務(PaaS)每月遭遇2,200多次錯誤配置事件。
雲端計算服務提供商主要關注雲平臺本身的安全性,而不是客戶資料或客戶對其基礎設施和平臺的使用。組織始終負責保護他們無處不在的資料,因此強調需要部署跨越整個雲平臺範圍的雲安全解決方案,從SaaS(軟體即服務)到基礎設施即服務(IaaS)和平臺即服務(PaaS)。
McAfee公司雲端計算安全業務高階副總裁Rajiv Gupta表示,“在雲中運營業務已經成為組織的新常態,以至於企業員工在雲中儲存和共享敏感資料時沒有謹慎考慮。SaaS雲服務中的意外共享、協作錯誤、IaaS/PaaS雲服務中的配置錯誤以及威脅都在增加。為了繼續加速業務發展,企業需要採用雲原生並且沒有不良影響的方式持續保護其資料,並防禦各種SaaS、IaaS和PaaS中的威脅。”
雲協作是一種祝福也是一種詛咒
雲端計算服務通過快速擴充套件的能力為組織業務發展提供了一個重要的機會,使企業能夠靈活地利用其資源,並提供新的協作機會。像Box這樣的雲端計算服務和Office 365等生產力套件用於提高協作的流動性和有效性。但是,協作意味著共享,不受控制的共享可能會暴露敏感資料。調查結果表明:
•22%的雲端計算使用者在外部共享檔案,同比增長21%。
•通過開放、可公開訪問的連結共享敏感資料,同比增長了23%。
•傳送到個人電子郵件地址的敏感資料也同比增長12%。
為了保護雲端儲存、檔案共享和協作應用程式中的敏感資料,組織必須首先了解其正在使用的雲服務,儲存其敏感資料,以及如何共享這些資料以及與誰共享。一旦組織獲得了這種可見性,他們就可以執行適當的安全策略,禁止將高度敏感的資料儲存在未經批准的雲服務中,並提供防護措施,防止不合規地共享來自獲得批准的雲端計算服務的敏感資料,例如與個人電子郵件共享資料時地址或通過公開的公共連結。
IaaS和錯誤配置的風險
使用SaaS,保護資料、使用者身份和資料訪問主要是客戶的責任。通過IaaS,客戶可以承擔更大的安全責任,其中包括資料、身份、訪問、應用程式、網路控制和主機基礎設施。雖然這為客戶提供了更好地控制其雲端計算基礎設施的機會,但它也增加了組織的安全風險表面積以及他們對此的責任。IaaS提供商(如AWS)提供多種基礎設施和平臺服務,每種服務都具有深入而複雜的安全設定。放大IaaS/PaaS安全挑戰的事實是,組織使用多個IaaS/PaaS供應商的服務執行每個供應商產品的多個例項。McAfee公司的調查研究發現:
•使用IaaS/PaaS服務中,94%採用的是AWS公司的雲平臺,但使用IaaS/PaaS的組織中,78%的企業同時擁有AWS和Azure的雲平臺。
•企業平均每次執行14個配置錯誤的IaaS /PaaS例項,導致每月發生2,200多個單獨的配置錯誤事件。
•五分之一的AWS S3儲存桶具有全域性讀取許可權,使其對公眾開放。
McAfee公司建議,組織需要不斷稽核和監控其AWS、微軟Azure、谷歌雲平臺和其他IaaS /PaaS配置,同時保護儲存在IaaS/PaaS平臺中的資料。作為本地資料中心的替代方案,IaaS /PaaS的使用量正在迅速增長。在遭遇安全事件之前,企業需要盡到他們的安全責任,採取資料保護和威脅防禦措施,就像他們對SaaS雲端計算服務以及IaaS/PaaS雲端計算服務的配置合規性和安全保護工作負載一樣。
雲端計算威脅將會持續增長
使用者帳戶和企業內部遭遇的威脅
企業在雲中資料的大多數威脅都來自受損帳戶和內部威脅。平均每個月在雲中產生超過32億個安全事件。此外:
•雲中的威脅事件(如受感染的帳戶、特權使用者或內部威脅)同比增長27.7%。
•80%的組織每月至少經歷一次受到破壞的帳戶威脅。
•在Dark Web上92%的企業盜取了雲端計算憑證。
•Office 365中的威脅同比增長了63%。
企業為了應對組合帳戶和內部威脅,應該瞭解如何使用雲端計算服務。它們還應識別異常行為,例如同一使用者同時從不同位置訪問雲平臺時,這可能表示帳戶受到威脅。
作為保護雲中資料的第一步,應實施雲端計算訪問安全代理(CASB)。雲端計算訪問安全代理(CASB)是雲原生服務,可為雲服務實施安全性、合規性和治理策略。它們可以幫助組織在適當的情況下利用和擴充套件現有的安全控制,並在適當的時候定義和部署新的雲本地安全控制,以使企業能夠始終如一地保護其資料並防禦SaaS、IaaS和PaaS中的各種威脅。