云計算的信息安全海嘯你準備好了嗎?
云計算—人是企業安全最大的漏洞
云計算最典型的大眾應用無疑是社交網絡,當今最火爆的網絡服務如國外有Youtube、Facebook、Twitter、Flickr等,國內有微博、開心網、優酷等。由于社交網絡以人際關系為紐帶,以實時共享和互動為核心,徹底改變了傳統互聯網信息廣播的單向結構,為黑客實施社會工程學犯罪、乃至商業機構之間的網絡諜戰提供了絕佳環境。例如,前不久奧巴馬在白宮安全顧問的一再督促下,被迫宣布關閉其Youtube賬戶,奧巴馬稱Youtube對其隱私構成威脅。
如今,大型企業的員工也大多是社交網絡的使用者,這為黑客“人肉”特定企業的員工提供了新的渠道。RSA2011大會上,反黑客專家一致認為黑客已經開始把目光轉向大型企業員工,與會專家稱之為高級持續性攻擊模式,黑客通過企業員工進入企業內部網絡,即使企業有再多的防護也沒有用。例如黑客曾經給歐盟網絡的一名員工的電腦中植入木馬,順利攻陷歐盟27個國家的碳排放交易網絡,黑客從中竊取了兩千多萬歐元交易額,其中捷克損失1870萬歐元,奧地利損失700多萬歐元。
可以看到,信息安全的成功,對終端用戶的依賴越來越大。信息安全管理也需要比以往任何時候更加關注終端用戶的安全意識和安全行為。云計算的滔天大浪從未像今天這般迫近,那些呆在海邊日光浴的企業必須采取有效行動來自我救贖。
云計算本身的安全更多要依靠大型的云計算提供商以及技術合作商,即使大型組織和行業企業開始擁有私有云,但核心的安全技術還是依賴于平臺提供商(自從2011年微軟的云計算爆出安全漏洞以來,云安全本身也并非萬無一失。)
對于企業來說,云安全和終端安全方案的保護傘只能避免“天災”,但是“人禍”依然是阿喀琉斯之踵。沒有布拉德利-曼寧的里應外合,就沒有WikiLeaks的“輝煌”;沒有針對特定工廠員工的“社會工程學”行動,就不會有“震網蠕蟲病毒”(Stunext)的輝煌戰果。
云計算服務—隨處可見的“裸體公司”
云通訊、云郵件、云存儲、云程序等云計算服務,將伴隨移動設備的蜂擁而至如狂濤駭浪般沖擊企業IT信息安全管理系統,企業內網的“馬其頓防線”正在被推倒,傳統的重點依靠網絡安全技術控制手段來保護公司的關鍵信息資產的方法面臨挑戰。每一位CIO和企業信息安全專家,無論所在企業是否主動擁抱云計算,都將面臨前所未有的考驗:企業圍墻已經被推倒,單純依賴信息安全技術的傳統思路不再適用。
索尼公司不久前經歷了一次非常嚴重的黑客事件,其次世代主機PS3的核心密鑰被黑客攻破,直接威脅到其每年上億張正版游戲的銷售。21歲的新澤西黑客George Hotz,首次完整破解了PS3主機,他在網站上公布了代碼,并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法,該公司律師據稱向轉貼越獄方法的網站發出了大量DMCA刪除通知。
但是非常戲劇性的是,索尼公司主管PS3業務的一位高管在黑客“博友”的誘騙下,在自己的twitter賬戶上“銳推”了這串要命的代碼。事后該高管雖然火速刪掉了該微博,但早已經被新聞媒體拷屏傳播,淪為業界笑談。在黑客的社交工程伎倆下,即使是信息技術行業的資深人士,也會不經意間犯下大錯:輕則泄露商業隱私,重則威脅公司生存。
移動互聯網+社交網絡的普及,將過去碎片化的人際關系晶體粘合在一起,變成一塊塊通透的棱鏡,大多數的企業、甚至政府機構都即將或者已經成為“赤裸公司”。在實時的,無所不在的信息共享模式下,越來越多的企業發現,花錢購置并部署昂貴的安全系統并不能在云時代換來安全保障,社會化媒體以及公共云計算的使用者——每一位員工,才是如今信息安全治理的問題核心。
越來越多的企業發現,防火墻、入侵檢測及防御或者安全加密并不能確保他們的關鍵系統和數據,他們中有些人甚至會認為,這些技術控制純粹是在浪費金錢。
云計算時代網絡接入點無處不在,只要有進入系統的權限,人們可以在任何時間,任何地方自由地獲取、處理和分享各類機密的商業數據。
【編輯推薦】
