最近的研究數(shù)據(jù)紛至沓來�����。Thales 2022年全球云安全研究發(fā)現(xiàn)���,在過去12個月中,有45%的企業(yè)經(jīng)歷了云數(shù)據(jù)泄露或未能進行審計(希望這個數(shù)字可以細分)��。如果您一直在關(guān)注這個領(lǐng)域�,您會發(fā)現(xiàn)這與前一年只有5%的差距。是什么原因?qū)е铝诉@樣的情況呢�����?
總體而言����,我們正面臨一系列問題:對云安全投資不足��、對基于云平臺的重度依賴以及缺乏云安全人才。許多企業(yè)不得不雇傭資質(zhì)較低的專家��,再加上惡意行為者利用生成式人工智能等新工具不斷升級�����,導(dǎo)致大部分企業(yè)無法妥善應(yīng)對新挑戰(zhàn)���。
【資料圖】
數(shù)據(jù)失控
其中一個更重要的擔(dān)憂是影子數(shù)據(jù)的增長�����。影子數(shù)據(jù)是指在企業(yè)IT基礎(chǔ)設(shè)施內(nèi)創(chuàng)建���、存儲或傳輸?shù)臄?shù)據(jù),而企業(yè)IT部門沒有知情或控制權(quán)��。這些數(shù)據(jù)通常存在于未經(jīng)批準(zhǔn)和監(jiān)控的系統(tǒng)之外���,包括存儲在員工設(shè)備�����、云服務(wù)或其他未經(jīng)批準(zhǔn)和不知名的應(yīng)用程序上的數(shù)據(jù)����。
如果您曾經(jīng)將包含敏感業(yè)務(wù)數(shù)據(jù)的文檔從企業(yè)云數(shù)據(jù)庫復(fù)制到一個便攜式存儲設(shè)備上以便在家里繼續(xù)工作,或者在出差前將一個基于SaaS的應(yīng)用程序中的客戶名單通過電子郵件發(fā)給自己�����,那么您正在使用影子數(shù)據(jù)�����。影子數(shù)據(jù)可能包含敏感或機密信息��,其不受限制的性質(zhì)會對數(shù)據(jù)安全���、合規(guī)性和治理性帶來風(fēng)險�。
這更多是一個培訓(xùn)問題�����,而不是云安全問題����。您可以對使用這些數(shù)據(jù)設(shè)置所有限制,甚至監(jiān)控使用情況��,但歸根結(jié)底��,如果數(shù)據(jù)可以在屏幕上看到�����,就有可能變成不安全的影子數(shù)據(jù)���。
IT安全專業(yè)人員習(xí)慣于通過工具和技術(shù)來解決這個問題�,但這可能會給人一種虛假的安全感����。我們需要一場關(guān)于如何處理數(shù)據(jù)的培訓(xùn),而IT部門可能認(rèn)為這是其他部門的問題�����。通常這個責(zé)任被推給了人力資源部門���,這就使得問題很少得到解決���。
配置錯誤
配置問題通常是云數(shù)據(jù)最重要的風(fēng)險,也是最容易被忽視的����。給我一個數(shù)據(jù)泄露事件����,我會告訴你是哪些愚蠢的事情導(dǎo)致了它的發(fā)生���。最近有一個大型汽車制造商由于云存儲系統(tǒng)的配置錯誤�,導(dǎo)致超過兩百萬客戶數(shù)據(jù)被暴露���。
正確配置的安全系統(tǒng)很少會被繞過以獲取數(shù)據(jù)訪問權(quán)限��。通常情況下���,存儲系統(tǒng)沒有得到保護或數(shù)據(jù)庫需要更多加密措施。在為基于云的系統(tǒng)和數(shù)據(jù)存儲配置安全性時����,有人并不完全了解他們所做的事情,這與我之前提到的人才短缺有關(guān)����。如果我們遭受了大規(guī)模損失,往往會以這種方式發(fā)生����。
其他威脅
我們還面臨著新興的威脅���,例如不太安全的API����。如果您在基于云的平臺上構(gòu)建和部署應(yīng)用,API是您工作中的主要驅(qū)動力��。API不僅由云供應(yīng)商提供����,還內(nèi)置在業(yè)務(wù)應(yīng)用程序中。它們提供了對業(yè)務(wù)數(shù)據(jù)的開放訪問點��,并常常被作為“鑰匙”留下��。
其他新興威脅包括使用生成式AI系統(tǒng)來偽造信息����。正如我在這里所提到的,這些受AI驅(qū)動的攻擊正在發(fā)生�����。隨著惡意行為者在利用AI系統(tǒng)方面變得更加熟練(通常通過免費云服務(wù)),我們將看到可以繞過最復(fù)雜安全系統(tǒng)的自動化攻擊����。要防御這些新穎的攻擊方式將會很困難。
事實上�,利用生成式人工智能按需創(chuàng)建惡意應(yīng)用程序代碼,僅憑可以生成和啟動的攻擊軟件系統(tǒng)數(shù)量之多�����,攻擊成功只是時間問題���。況且��,大多數(shù)企業(yè)IT領(lǐng)導(dǎo)者無法以與攻擊者相同的速度升級自己的防御能力���。
我們能做些什么?
要解決這個問題��,云安全負責(zé)人需要采取一些行動��。建立一個更安全的云平臺的最佳途徑是打牢基礎(chǔ)����。這意味著采用零信任安全策略和最佳云安全工具��。通過這樣做���,您將建立起更好的防御體系,使其他企業(yè)變得更具吸引力�,從而減少成為攻擊目標(biāo)的可能性。這就像放置了一個更牢固的鎖���,使得別人更愿意去盜竊沒有鎖的摩托車。
解決如此嚴(yán)重的漏洞需要整個公司共同努力�����,提升員工對云安全的認(rèn)知���。我認(rèn)為有兩個關(guān)鍵領(lǐng)域:首先�����,從銷售主管到行政助理等普通用戶必須改進安全實踐�。他們需要接受培訓(xùn)和治理���,并對違反合規(guī)性使用數(shù)據(jù)負責(zé)任�。
其次是提升企業(yè)雇用的安全人才水平。這意味著為招聘最優(yōu)秀的安全專家提供薪資支持�����,并支付持續(xù)培訓(xùn)費用����,并優(yōu)先考慮參加培訓(xùn)所需時間。我經(jīng)常聽到缺乏培訓(xùn)演習(xí)的故事��,因為安全人員不得不應(yīng)對突發(fā)事件�。請猜猜為什么這些突發(fā)事件會發(fā)生?如果您認(rèn)為是缺乏培訓(xùn)��,那您就走對了路���。
