IBM公司最近公布了一項(xiàng)全球范圍的研究結(jié)果,該研究發(fā)現(xiàn)2021年的數(shù)據(jù)泄露事件使這些受害的企業(yè)平均損失424萬(wàn)美元����。對(duì)于IBM公司來(lái)說(shuō),這是其發(fā)布年度調(diào)查報(bào)告17年來(lái)統(tǒng)計(jì)的最高成本�。
網(wǎng)絡(luò)攻擊者時(shí)刻致力于破解企業(yè)和個(gè)人的系統(tǒng)并破壞和竊取數(shù)據(jù)。在許多情況下�,企業(yè)內(nèi)部員工無(wú)意中導(dǎo)致數(shù)據(jù)泄露或遭受網(wǎng)絡(luò)攻擊。
大多數(shù)企業(yè)發(fā)生數(shù)據(jù)泄露的事件都是簡(jiǎn)單的錯(cuò)誤配置或人為錯(cuò)誤�����。當(dāng)安全管理員或最終用戶未能正確設(shè)置某些安全屬性時(shí),就會(huì)發(fā)生這種情況��。因此�,對(duì)云中的計(jì)算服務(wù)器或存儲(chǔ)服務(wù)器的訪問(wèn)是完全開放的,并且容易受到破壞�����。
網(wǎng)絡(luò)安全服務(wù)商McAfee公司在最近的一份調(diào)查報(bào)告中���,將云計(jì)算漏洞的興起與多云采用的狀態(tài)聯(lián)系起來(lái)���。調(diào)查發(fā)現(xiàn),近年來(lái)��,將近70%的數(shù)據(jù)泄露的文件(總計(jì)54億條)是由于云服務(wù)配置錯(cuò)誤導(dǎo)致的無(wú)意泄露造成的��。
更令人擔(dān)憂的是��,McAfee公司發(fā)現(xiàn)這些錯(cuò)誤配置中的大多數(shù)都未被報(bào)告��,并且在許多情況下未被注意到��。這表明其核心問(wèn)題是內(nèi)部人員錯(cuò)誤配置或無(wú)意泄露,很容易受到網(wǎng)絡(luò)攻擊�����。更重要的是�����,當(dāng)發(fā)現(xiàn)錯(cuò)誤時(shí)��,它們往往會(huì)被忽視或掩蓋�,因?yàn)檫@會(huì)導(dǎo)致糟糕的公關(guān)���,或者是員工為了避免受到紀(jì)律處分���。
云安全中人為錯(cuò)誤的原因
那么,企業(yè)的員工在設(shè)置云安全時(shí)會(huì)犯哪些錯(cuò)誤呢?導(dǎo)致錯(cuò)誤的原因有很多���,以下是最常見的兩個(gè):
(1)缺乏網(wǎng)絡(luò)安全方面的培訓(xùn)或安全經(jīng)驗(yàn)
很明顯���,大多數(shù)無(wú)意中泄露數(shù)據(jù)或錯(cuò)誤配置和其他錯(cuò)誤可以追溯到員工對(duì)安全設(shè)置如何工作缺乏了解。這甚至包括缺乏關(guān)于如何重新配置默認(rèn)安全參數(shù)的知識(shí)���,這些知識(shí)通常足以阻止外部入侵者的攻擊����。
換句話說(shuō),網(wǎng)絡(luò)攻擊者通�����?梢岳@過(guò)云計(jì)算提供商創(chuàng)建的默認(rèn)安全設(shè)置來(lái)暴露數(shù)據(jù)��。保留默認(rèn)安全參數(shù)(有時(shí)是文字)相當(dāng)于使用“admin”作為密碼的行為�。
這將是一個(gè)持續(xù)存在的問(wèn)題,因?yàn)樾枰瓢踩寄艿目杖甭毼惶����,而合格的?yīng)聘者很少。在許多情況下���,企業(yè)雇用了一些經(jīng)驗(yàn)較少����、未經(jīng)培訓(xùn)的員工����。其結(jié)果是�,此類錯(cuò)誤將變得更加普遍����。
(2)云計(jì)算供應(yīng)商服務(wù)更新很快
由于按需提供云計(jì)算服務(wù),并且云計(jì)算供應(yīng)商不斷改進(jìn)他們的云計(jì)算服務(wù)����,包括安全性,因此安全設(shè)置的工作方式經(jīng)常發(fā)生變化�。但企業(yè)的員工經(jīng)常忽略更新他們的知識(shí)和軟件,通常是因?yàn)樗麄兠τ谄渌ぷ鞫鴽]有足夠的時(shí)間關(guān)注���。
當(dāng)某些事情發(fā)生變化并且需要更新設(shè)置時(shí),它們不會(huì)得到更新����。這導(dǎo)致客戶無(wú)法跟上云計(jì)算供應(yīng)商對(duì)其安全功能和設(shè)置的更新,而出現(xiàn)數(shù)據(jù)泄露的風(fēng)險(xiǎn)���。
例如在一個(gè)數(shù)據(jù)泄露事件中���,云計(jì)算供應(yīng)商的客戶自動(dòng)選擇退出加密,并沒有仔細(xì)閱讀并接受協(xié)議。黑客利用了大多數(shù)客戶最初關(guān)閉加密功能的事實(shí)�����,他們發(fā)現(xiàn)可以輕松訪問(wèn)基于云的數(shù)據(jù)����。
有人提出,云計(jì)算供應(yīng)商應(yīng)該放慢軟件或云計(jì)算服務(wù)的更新速度���,讓客戶的安全人員跟上其發(fā)展步伐�。這種方法會(huì)產(chǎn)生一系列問(wèn)題�,尤其是當(dāng)云計(jì)算供應(yīng)商對(duì)修復(fù)已知漏洞猶豫不決時(shí)。與其相反�,企業(yè)和云計(jì)算供應(yīng)商需要更好地協(xié)調(diào),以更好地適應(yīng)這些變化��。
如何防范云安全錯(cuò)誤
企業(yè)需要采取哪些措施來(lái)避免云安全配置錯(cuò)誤和其他可能導(dǎo)致違規(guī)的錯(cuò)誤���,其責(zé)任在于客戶��。
然而�,云計(jì)算供應(yīng)商還需要意識(shí)到他們?cè)诮鉀Q方案中扮演的角色����。最后��,需要更加耦合的協(xié)調(diào)來(lái)解決這個(gè)問(wèn)題����。
以下是企業(yè)可以關(guān)注的幾件事:
(1)同行認(rèn)可的配置
要求同行審查安全設(shè)置并確認(rèn)其正確性����。這意味著找到另一位云安全管理員來(lái)查看企業(yè)的安全措施并確保沒有遺漏任何內(nèi)容。
圍繞這一點(diǎn)的問(wèn)題包括同行可能比較熟悉的�����,從而忽視了真正審查設(shè)置�������;蛘哂行┚有牟涣嫉膯T工可能故意讓同事難堪���。
(2)自動(dòng)配置檢查和測(cè)試
一個(gè)更好的解決方案是使用自動(dòng)安全檢查和審計(jì)來(lái)發(fā)現(xiàn)設(shè)置和其他配置的問(wèn)題,從而將工作人員從流程中完全移除�����。
這樣做的好處是,這些配置檢查可以在不到一分鐘的時(shí)間內(nèi)完成�,并直接向最初負(fù)責(zé)配置錯(cuò)誤的人員報(bào)告。他們可以迅速解決問(wèn)題����,而無(wú)需通知其他人。
企業(yè)可以在DevOps的世界中找到許多此類工具�����,安全測(cè)試在其中很常見�����。這只是將DevOps測(cè)試?yán)砟顢U(kuò)展到安全配置以及應(yīng)用程序和數(shù)據(jù)��,確保刪除盡可能多的漏洞�����。但是��,企業(yè)必須在工具以及技能和培訓(xùn)方面進(jìn)行投資���。否則�,最終會(huì)遇到本應(yīng)解決的相同的問(wèn)題。
云安全最大的挑戰(zhàn)是什么?
如今��,企業(yè)的首席信息安全官和首席信息官一直擔(dān)憂網(wǎng)絡(luò)安全�����。然而�,圍繞系統(tǒng)安全的人為錯(cuò)誤是一個(gè)更大的問(wèn)題。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)�����,這是一個(gè)安全秘密����,因?yàn)榉稿e(cuò)的員工并不承認(rèn)錯(cuò)誤,并且在發(fā)現(xiàn)錯(cuò)誤時(shí)不報(bào)告�。這是根據(jù)上述調(diào)查得出的一些結(jié)論。
所以��,企業(yè)首先承認(rèn)有問(wèn)題�。接下來(lái)�,通過(guò)識(shí)別和理解核心問(wèn)題��,最終采取措施����。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
