今年 7月,赛门铁克的调研人员照例去跟大公司的 CIO、CISO们套瓷(做调研),了解企业中的云应用状态。不出意料的是,绝大部分 CIO 又“被蒙在了鼓里”。他们认为,自家企业在使用云应用方面的数量大概只有 30 到 40 个,实际上这个数字高达 900 个。
除了影子应用,云端安全还遭受了诸多威胁。
最近,赛门铁克召开了一场媒体沟通会,针对调研收集的云端安全威胁信息,赛门铁克宣布推出集成网络防御策略产品。
“与很多企业高管沟通时,发现他们所使用的安全产品和厂商多种多样,有一个客户曾表示,光是笔记本上运行的所谓安全管理程序就达到六个,有做终端管理,有些是防恶意程序的。如果一些大的银行,他们所使用安全产品类型、类别高达20、30个,当中有些是针对特殊应用场景的,比如,加密管理,有些是比较通用的,像安全网关。企业对于这些不同的安全产品,首先是采购费用很高,其次是难以找到专业的安全产品管理人士。”赛门铁克大中华区首席运营官罗少辉对雷锋网说。
简单的说,就是按照不同的应用场景,对用户、信息、网页的传输做相关保护。将用户的不同安全产品、服务连在一起,构建一个网络安全防御平台,这个平台能实现对不同的产品的联动。
比如,凭借安全网关和终端防御产品能够将攻击与威胁拦截,安全事件发生时,安全网关可以发现,而安全网关和终端防御产品和相关服务进行沟通后,提醒终端安全管理,提醒其一旦碰到类似这种文档,无论是通过邮件进来还是通过 USB 反攻击进来的,都要做及时阻断。这样做的最大好处在于这些程序都能自动化发生,确保安全风险不会因为管理员的失误而成为安全事件。
雷锋网了解到,目前赛门铁克该产品通过API接口实现第三方安全产品的集成,并把不同的安全产品设备的日志导入 SIEM平台上进行大数据安全分析。
以下是罗少辉《保护云端安全》的部分演讲内容,雷锋网编辑整理。
--
为什么企业高管对云端应用的理解有落差?
首先,大家对云方面的概念理解有误,有些人认为云应用只是SaaS服务,比如BOX、dropbox、百度云等。但我们将其他的 web 应用,比如,邮箱和iCloud等也归纳为云应用,因为它们当中很多数据和管理都在云端实现管理,大部分被归纳在公有云体系内。很多企业的CIO、CISO对云应用的误解在于,他们只看重企业的 SaaS 服务或者基础架构方面的服务。
其次,很多用户都会使用同步功能,就是把某个文档直接同步到云盘上,很多企业的内部数据就会放到一个所谓的“影子应用”里。这对于企业有什么风险?像亚马逊,因为第三方在数据操作流程上面有些错误,导致有些第三方能访问到敏感数据,如一些企业重要数据和个人隐私数据。
如果是让用户通过所谓“影子应用”或影子数据,将企业中很多内部重要的文档放到公有云上,对于数据安全是一个很大的漏洞。如果黑客攻破某一云盘的帐号,就能轻松盗取大量数据。一个星期前,美国一家叫Equfax的个人信息查询服务的公司丢失了将近1亿5千万的个人隐私资料,而这些信息之后被曝光到网上。对于消费者来说,黑客拿走了包括个人姓名、地址、电话号码等重要的个人数据,很容易在网上找到社交帐号,从而实行欺诈行为。
过去,很多企业高管都是把所有数据放在数据中心,或是放在用户的电脑中,但随着移动应用和云的发展,大部分数据已经分别存储在不同位置,企业边界的概念逐渐消失。
就我个人而言,我习惯用手机下载很多公司的重要数据,包括邮件和其他工作文档。随着我去不同的地方拜访,去不同的客户,随时在设备中访问工作资料并进行交流。同时,数据也会随着我的手机和我所使用的云应用慢慢分布到不同的位置。
所以,如今的企业数据已经不再单一存储于固定位置,这对黑客而言便成为了一个好机会。
很多企业对云安全的概念还比较模糊,而企业高管,特别是管理员用户能通过特定权限获取企业的财务数据等等,于是黑客便会对这些用户发送带有恶意链接的邮件、短信、微信等,将其定向到一个虚假网站,要求输入或更改密码。过去在一些媒体活动中,我跟大家分享过不同的诱骗诈骗行为,有些是偷取用户账户,然后连到诈骗网站,类似这种方法对黑客来说,成本并不高。因为做一个假网站和恶意邮件非常容易,他们只需要盯住某些重要领导和关键员工就可以发动相关攻击。
对黑客来说,发动攻击而获取到的帐号,对他们有着巨大的利益诱惑,后续他们便能用同样的帐号密码访问不同的网站。比如,尝试用同样的账号密码登录微博等社交帐号,把重要的数据,包括邮件内容和企业内部敏感数据偷走。
现在针对性攻击和高级威胁攻击非常多,过去有些大规模的国家跟国家间的攻击。我们也看到,有些黑客利用国家的名义影响竞选的结果。在云安全世界里,企业与消费者都可能面临不同类型的攻击手段。对于企业来说,云中的相关数据,应用和访问人员权限,在过去监管是比较松散的。
云方面,如今企业面对的云不再是单一云。中国有很多不同类型的云,包括华为云,也有BAT所构建的云,还有很多像Amazon、Azure等国外的厂商所构建的云平台。除了我们所提到的基础架构服务以外,还有SaaS云服务。
对企业管理云来说,在云应用上面所遇到最大的挑战:到底应该选择哪家云供应商?哪家云供应商是最可靠的?
现在很多公有云提供商号称他们有很多不同的安全相关服务和安全网络的DDoS服务,但是很多企业没有关注到一点:虽然在这些公有云平台上,有很多与网络安全基础相关的数据,但一旦把云计算能力放到公有云平台上,当中的应用相关保障和数据的安全都是企业客户要承担的责任。
企业到底有多少数据放到云平台上的?哪些是放在传统IDG上面的,要分割得 比较清楚。不然的话一不小心把很多敏感的数据放到公有云上面的话,就可能有些第三方操作的时候有一些权限攻击,或者有些用户有意图的去恶意登陆,一旦黑客能登陆到公有云平台上的话,很多企业数据都会受到损失。
面对不同的云,应该进行怎样的连接也是很多企业 CIO/CISO 的一个困惑点。企业不可能只用单一的云平台,他们会用不同的公有云平台和不同的 SaaS 服务,在这当中云安全的整体可用性到底多高?服务水平到底怎么样?这些都是需要关注的问题。
企业从过去通过总部实现网络连接的数据访问慢慢扩大到不同区域的用户可以使用公用或私人设备直接连到公有云上。传统的企业如果做相关数据的保护,一般是通过在不同的连接里面实现加密,希望通过加密或者在企业终端加入很多不同的安全类型产品,比如,WAF和其他不同类型网关,像其他网上行为管理和不同类型的安全产品,对用户行为进行管理。但是对于不同的场景,无论是从企业进行控制还是到不同的地区办公室和个人设备上进行管控都不十分可靠,因为及时企业能够实现 SSL 加密,黑客同样可以实现攻击。很多企业只是用了SSL加密,黑客可以反过来利用加密的渠道作为发动攻击的手段。
在我们的报告里面可以看到,现在有很多黑客是用通过加密的方式和漏洞派送一些恶意程序到不同企业的内部网站里,这些恶意程序能通过云的方式派送到用户。
第一点,现在许多IT部门,在做云策略时,并没有与内部相关部门进行交流,所以企业中存在很多影子应用和影子数据。
第二点,对企业内部,特别是IT主管对总体云应用数量的认知与实际有比较大的偏差。
第三点,在很多企业无法在应用中识别、分类和精细化控制访问并管理敏感数据,只是单一处理,无法对与合规性相关的数据进行保密处理。就像刚才提到的案例,很多应用如果跑到云上,可视性便会降低,到底有多少相关的影子数据到公有云上面?其实企业内部很难去进行准确的判断。所以如何去保护和做相关内容和数据的防泄漏和加密对他来说也是一个很大的挑战。
第四点,云端方面的威胁,比如恶意软件获取到一些重要人员和管理员帐号密码,企业用户一定是非常难在云上面去寻找到的,更别说还要做相关的保护。
第五点,企业的数据合规性也非常重要,特别是中国这边,现在已经开始实行《网络安全法》,不同的国家都会有对客户数据隐私保护的要求,到底将多少数据放到公有云上还是放到本地,企业需要搞清楚。不然,数据泄露一旦发生,后果是无法控制的,这会对企业造成巨大的灾难。而对于企业自身的品牌和客户对他的信任度都会受到影响。
第六点,刚才提了很多安全威胁的检测,这也是非常重要的。客户慢慢从一个传统的IDC概念迈向虚拟化,再走向云的平台上。企业是否有足够的能力把所有不同的应用,无论是在本地的,在云端的还是在相关公有云上面的数据做一个比较好的联通。
第七点,现在很多企业在与我沟通时,都表现出对安全事件的重视。比如5月份Wannacry这种大规模安全事件发生以后,一些企业开始评估自身数据的安全性以及保护措施,比如终端防御是否到位,企业是否需要打补丁。当这类安全事件发生时,整个相应流程和人员分配等都是需要企业多多关注的。
第一,总体网络安全和云安全,他们确实需要第三方安全顾问提供相应服务,比如,评估他们现有的网络安全的架构和影子数据的情况到底有多严重。
第二,对于这些企业应用中,到底有哪些相关企业内部应用和云应用风险是比较高的。比如,他们的云系统和CRM系统或者ERP之类,企业内部很多相关关键应用如果万一出现一些安全事故,有风险的话,他们首先要做一些相关评估。
第三,更重要的就是数据。中国的《网络安全法》和国外相关国家对个人隐私的控管,都有比较严格的法规。如果不小心有一些威胁情况出现,对企业无论是本身的名誉还是客户的都有很严重的影响。
第四,对用户来说,在企业内部有多少他们是能做出评估的,风险是高、中、还是低?如果能评估出来的话,他们的应用使用云和不同的应用的时候风险水平有多高?你也可以做相关的措施,比如保护的机制。比如很多访问可以进行动态密码的保护,以确保一旦用户帐号被窃取,黑客也无法骗取他的相关动态密码,从而无法访问关键数据。