没有一个系统是安全的!无论这个系统是在哪里、还是以什么样的形式存在。
由四个年轻人构成的黑客组织CLAY(Clowns laugh at you小丑在笑你),抱着想在黑客江湖中扬名立腕的目的,用各种手段攻击了政党会议、股票系统、医药公司,还通过翻垃圾找线索、发钓鱼邮件窃取密码等方式黑掉了德国联邦情报局的打印系统,并留下了一句话:没有一个系统是安全的!
这是1994年上映的德国电影《我是谁》中的情节,也是很多网络犯罪事件的真实写照。它道出了一个残酷的真相:没有一个系统是安全的!无论这个系统是在哪里、还是以什么样的形式存在。
在各种信息技术飞速发展的今天也是如此,云计算、大数据、物联网、移动互联网、人工智能等技术,在给人们、企业、社会带来便利的同时,也带来了管理的复杂性和更多的风险性。
尤其是在全球众多企业中已经普及应用的云计算,自从该技术诞生之日起,关于云计算安全性的各种讨论和质疑声就一直不绝于耳。如今,随着数字化转型加速,云安全更成了每个企业都必须面对的话题。
“其实很多企业对云安全的认知情况与专业人士的认知完全不一样。” Palo Alto Networks(派拓网络)大中华区总裁陈文俊告诉《计算机世界》记者。
近日,派拓网络联合市场调研机构Ovum Research发布了一份关于亚太地区大型企业云安全现状的报告,调查了澳大利亚、中国、中国香港、印度和新加坡共500位受访者,他们来自不同行业中员工数量超过200人的企业。
报告中指出,目前最困扰上云企业的主要问题是不安全的接口、云上数据丢失,已知和未知的攻击和威胁。但是,这些大型企业并没有做好应对云网络安全威胁的准备,他们会假设公有云是默认安全的。在中国,有78%的安全决策者认为云供应商提供的安全足以保护其免受云威胁的伤害。认为自己工作的SaaS环境高度安全的中国企业有82%,认为IaaS和PaaS安全的企业则分别高达67%和61%。
对此,陈文俊指出,企业需要认识到,云安全是一种共同的责任。云供应商应该负责其基础设施的安全,但确保存储在基础设施之上的数据和应用安全,则是企业自身的责任。“就像我们在大楼里租了一个房间,大楼要保证大门的门禁安全,而房间里的财产安全则是需要由我们自己来保护的。”
Palo Alto Networks(派拓网络)亚太区域首席安全官Kevin O'Leary也强调,如果完全依靠云服务商提供解决方案,实际上并不能很好的解决安全问题。
事实上,那些为了保障云安全,已经部署了安全工具的大型企业的情况也不乐观。在参与调查的企业中,有76% 企业在自己的基础设施中部署了10个以上的安全工具以实现云安全。但是,过多的安全工具也造成了安全态势的碎片化,尤其是当企业在多云环境中运行的时候,使云安全管理变得更加复杂。
对此,Kevin O'Leary表示,管理复杂对于安全来讲是一个非常致命的弱点,因为复杂性意味着对安全很难做到及时的响应和处理。
Ovum亚太区咨询服务总监Andrew Milroy也指出,“大型企业需要对所有云原生服务形成统一视图,最好能配备一个中央控制面板,利用人工智能等技术来及时防御已知和未知的恶意威胁。”
“通过这次调查,我们发现,很多企业都缺乏整体的安全策略和舆情。”Kevin O'Leary谈到,他非常赞同企业应该用一个统一的安全管理平台,打开这样的控制平台,就可以一目了然的看到云上整个安全策略的运行情况和资产情况,可以对威胁进行及时的响应和处理,而不需要登陆到不同的平台上去管理安全。“如果我们能够让企业内部的安全产品相互协同工作,这能在很大程度上节省企业的IT开支,这种开支既包括人力成本,也包括产品成本。这就是为什么说统一的安全管理平台才是企业最好的安全方案。”
报告还显示,有66%的企业不能做到每年进行一次网络安全态势的审核,有26% 企业的审核并不包括对云安全的评估。除了审核,有45%的中国企业无法做到每年对IT安全人员进行安全培训,有64%的非IT人员无法每年接受网络安全培训。
Kevin O'Leary指出,实际上,云安全问题不只是由技术层面导致的,也有因为安全意识薄弱造成的。因为人的天性是按照自己的习惯去做事,而不是从安全的角度去考虑。所以,如果员工缺乏定期的安全系统培训,也容易造成错误的配置。
陈文俊建议,要实现云安全,企业需要认识到云安全最佳实践的重要性,包括:
其一,企业上云的时候,一开始就要考虑到安全,把安全集成到云环境里,安全才会成为上云的推动者;
其二,要在各类云部署中创建统一的安全策略,能对所有云资产及其所面临的威胁形成统一的视图;
陈文俊补充到,作为专业的、中立的安全供应商,派拓网络可以支持公有云、私有云,甚至是混合云的多云环境,可以提供一个统一的工具,帮助企业部署统一的安全策略。目前派拓网络已经与阿里云达成了合作,可以在阿里云上提供其产品和服务。
其三,要允许多云环境的平滑部署和轻松扩展,减少安全团队与研发团队之间的差距,实现多云环境里的安全保障;
其五,要多借助大数据、机器学习、人工智能等技术,实现自动化的防御和防控,避免人工导致的错误。“因为很多黑客都是通过机器进行攻击的,如果只通过人手去防御,反应是远远不足的。”
原文始发于微信公众号(信息安全与通信保密杂志社):云安全的三宗罪
评论