667
網絡犯罪組織正在伺機而動,我們該如何保護雲端安全?
過去,很多企業高管都是把所有數據存儲在數據中心,或是存放在電腦中。但是,隨著雲服務的廣泛應用,企業數據已經不再單一存儲於固定位置,而是分布到智能終端、雲應用等地方,導致企業邊界的概念逐漸消失。而這對於黑客而言,便成為了一個好機會。黑客隻需要盯緊擁有特殊權限企業高管或者管理員,然後通過釣魚郵件等攻擊手段成功獲取到帳號信息,便能如願以償的竊取企業機密信息,獲得巨大利益。
雲端安全威脅給企業CIOs帶來了巨大挑戰
雲端安全給企業CIO們帶來了極大的挑戰,他們擔心企業無法及時有效的應對雲端攻擊。對於企業而言,雲中的相關數據,應用和訪問人員權限,在過去監管是比較鬆散的。麵對日益複雜的安全威脅,企業的雲端安全防護能力亟待提高。
2017年7月,賽門鐵克針對企業雲應用狀態和雲安全問題,麵向CIO、CISO進行了調查。絕大部分CIO認為企業在使用雲應用方麵的數量大概隻有30到40個左右,但實際上調查數據顯示,企業實際所采用的雲應用數量高達928個。此外,企業所使用的雲應用中,平均30%是未經批準的應用,也就是所謂的“影子應用”。其中,不明確的、沒有通過IT準許的影子數據達25%;包含漏洞的網站有占76%;在雲端產生高風險行為的用戶數量高達66%。
賽門鐵克公司大中華區首席運營官羅少輝表示,之所以企業CIO、CISO估計的雲應用數量與實際數量存在如此大的差距,原因在於:
賽門鐵克公司大中華區首席運營官羅少輝
一方麵,企業CIO、CISO對雲應用存在誤解。他們隻看重企業的SaaS服務或者基礎架構方麵的服務,但是iCould、微博、WeChat應用等都沒有計算進去。因此,他建議企業對雲方麵的應用要更認真去思考,尋找一些第三方的相關工具到自己的環境中去調查到底有多少雲使用在企業內部運用。
另一方麵,很多用戶都會使用同步功能,就是把某個文檔直接同步到雲盤上麵。所以很多企業的內部數據就會放到一個所謂的“影子應用”裏麵,這種做法將給企業帶了很大的風險。如果是讓用戶通過所謂“影子使用”或影子數據,將企業中很多內部重要的文檔放到公有雲上,對於數據安全來講是一個很大的漏洞。如果黑客攻破某一雲盤的帳號,就能夠輕鬆盜取大量數據。
企業內部所麵臨的六大安全挑戰
我們身邊圍繞著太多的安全威脅,不僅僅隻有雲安全。對於企業安全來說,羅少輝認為,企業主要麵臨六大安全挑戰:
◆許多IT部門無法在製定雲策略時定期召集業務部門及管理人員加入。
◆許多企業不了解公司當前所使用的雲服務於數據。企業中的雲應用實際使用數量為預計輸了的二十倍之多。
◆大多數企業無法在應用中識別、分類和精細化控製訪問病管理敏感數據,無法對於合規性相關的數據進行保密處理。
◆大多數企業無法監測雲端威脅,例如:惡意軟件、賬戶盜用、數據泄漏以及數據破壞。
◆大多數企業傾向於獎相同的管理應用於所有雲端數據,無視數據類型、合規性要求以及數據敏感度。
◆大多數企業都忽視了對威脅監測,持續監控以及時候相應的迫切需求。
賽門鐵克提出集成網絡防禦策略,提升安全產品聯動性,讓安全防護更全麵
針對企業麵臨的這些安全挑戰,賽門鐵克提出了集成網絡防禦策略,推出了集成式網絡防護平台。
據羅少輝介紹,賽門鐵克按照不同的應用場景,對用戶、信息、網頁的傳輸會做相關保護。如果企業對應用做一些關聯和聯動分析時,可能沒有相關網絡安全專業人才協作他們去進行網絡安全服務,賽門鐵克可以提供相關服務,根據企業內部安全措施的資料幫助用戶進行網絡安全管控。比如:24×7小時的遠程監控,確保當惡意程序和一些安全隱患出現的時候,企業能夠第一時間實現響應,攔截威脅。
羅少輝表示,在與眾多的企業高管溝通的過程中,他了解到,麵對安全威脅,很多企業選擇采用了多種多樣的來自於不同廠商的安全產品,例如:某些銀行所使用安全產品類型、類別高達20、30個,這當中有些是針對特殊應用場景的,比如加密管理,有些是比較通用的,像安全網關。企業對於這些不同的安全產品,首先是采購費用很高,其次是難以找到專業的安全產品管理人士。因此,賽門鐵克將客戶這些不同安全產品、服務連在一起,構建一個網絡安全防禦平台,讓不同的安全產品實現聯動。
記者了解到,企業用戶可以通過這個集成式網絡防護平台平台與第三方產品和服務進行整合。一方麵,對於整個網絡環境的平台,企業首先可以利用賽門鐵克的產品確保它們能實現聯動。另一方麵,企業也可以通過API方式跟第三方做接口,實現第三方的聯動。
此外,針對雲端安全威脅,賽門鐵克通過實現識別、發現、保護、應對以及修複五大環節的雲安全威脅生命周期的管理,幫助CISOs實現最大化的雲安全投資。
雲端安全防護建議
最後,羅少輝建議,針對雲端安全的防護企業應該做到以下幾點:
1、建立符合企業業務與安全要求的雲安全計劃;
2、采取“安全第一”的針對雲安全的態度,定期讓用戶參與持續的加強安全意識的工作環節,利用更多的應用培訓機會;
3、通過集成本地與基於雲的數據防泄漏(DLP)解決方案,將敏感數據監控策略與工作流程拓展至基於雲的服務;
4、將多重認證解決方案、雲應用與CASB相集成,利用設備與行為分析來阻止具有風險性的登錄嚐試。
本文作者:杜美潔
來源:51CTO
最後更新:2017-11-02 16:04:28