未來兩年的5個關(guān)鍵IT安全問題
上個月信息安全論壇發(fā)布了未來兩年10大信息安全威脅。雖然整個列表很有見地,但其中只有一半與云部署涉及的安全和合規(guī)挑戰(zhàn)有關(guān),在未來兩年內(nèi),對于利用云計算的人來說,需要注意下面5個關(guān)鍵安全問題:
1.服務(wù)提供商成為一個關(guān)鍵漏洞來源
從最近的新聞來看,這個問題已經(jīng)很明顯。從其業(yè)務(wù)性質(zhì)來看,服務(wù)提供商提供的服務(wù)是所有類型的敏感/有價值數(shù)據(jù)的“聚合”。網(wǎng)絡(luò)犯罪分子和黑客已經(jīng)認(rèn)識到這一點(diǎn),他們已經(jīng)開始將主要目標(biāo)轉(zhuǎn)移到服務(wù)提供商。想想看,如果攻擊者能夠成功滲透服務(wù)提供商的網(wǎng)絡(luò),他們將獲取信息寶庫。而事實(shí)上,在未來兩年,作為大量敏感數(shù)據(jù)的中央存儲庫的服務(wù)提供商仍然將繼續(xù)發(fā)展,這方面的威脅只會越來越大。為了應(yīng)對這個問題,企業(yè)必須采取措施來保護(hù)其最敏感和最重要的數(shù)據(jù),并決定哪些數(shù)據(jù)可以發(fā)送到公共云服務(wù)提供商。
2. 移動應(yīng)用成為泄露的主要途徑
隨著攜帶自己設(shè)備到工作場所(BYOD[注])技術(shù)的發(fā)展,員工開始越來越多的使用部署在平板電腦和手機(jī)等移動設(shè)備的移動應(yīng)用程序,而這讓IT部門非常難以控制其敏感數(shù)據(jù)在何時何地以何種方式被誰訪問。BYOD意味著很多頻繁使用的員工設(shè)備將用于工作環(huán)境,而實(shí)際上,這些設(shè)備通常沒有企業(yè)設(shè)備相同的安全技術(shù)。再加上云計算應(yīng)用程序(用于個人和企業(yè)),這更加提高了企業(yè)數(shù)據(jù)泄露的風(fēng)險。在這種情況下,IT和安全部門應(yīng)該部署安全技術(shù)來差異化對待其不同的數(shù)據(jù)類型,部署不同程度的限制,更好地保護(hù)最敏感的數(shù)據(jù)和知識產(chǎn)權(quán)。
3. 加密失效
加密是一個非常廣泛的說法,加密使用正在不斷增加,很多企業(yè)越來越依賴于加密來滿足其數(shù)據(jù)安全需求。如果有人問我這個說法是否正確:加密會失效?我不得不說,是的,有些加密會失效。這是因為并不是所有加密都是一樣的。企業(yè)需要明白,有些加密比其他加密更加強(qiáng)大,在加密技術(shù)的部署方面存在差異化。例如在某些公司,他們要求客戶部署最安全的FIPS 140-2驗證的加密技術(shù),同時物理地保存加密密鑰。這兩點(diǎn)對于成功的加密很重要。另外,企業(yè)還可以利用令牌,這是另一種安全方法。
4. 首席執(zhí)行官已經(jīng)了解云安全問題,現(xiàn)在你必須努力解決這個問題
我們現(xiàn)在都聽說云計算安全是一個董事會級的問題,這意味著,首席執(zhí)行官必須了解這方面的問題。我們現(xiàn)在已經(jīng)開始看到越來越多的預(yù)算被分配到云計算保護(hù)和安全項目,IT和安全部門具有比過去更多的資源來幫助抵御安全風(fēng)險。現(xiàn)在IT和安全部門需要找到最好的技術(shù)和解決方案來滿足其企業(yè)的獨(dú)特需求。
5.信息安全無法滿足新一代員工的需求
這可能是最重要的一點(diǎn)。干擾或阻止員工與云計算交互的安全解決方案將不會成功,為什么呢?因為員工總是會找到方法來解決。或者在另一種情況下,IT和安全團(tuán)隊將會收到最終用戶的投訴和操作問題,造成企業(yè)的分歧(例如,員工會說“這些人正在阻止我進(jìn)行工作”)以及降低生產(chǎn)效率。企業(yè)必須想辦法讓云數(shù)據(jù)控制網(wǎng)關(guān)對最終用戶保持透明和可見,讓他們可以根據(jù)需求利用云應(yīng)用程序,以及繼續(xù)執(zhí)行搜索數(shù)據(jù)等功能,即使當(dāng)數(shù)據(jù)已經(jīng)被加密。
相信這5個安全問題預(yù)測將幫助企業(yè)思考在未來幾年內(nèi)如何改善和鞏固其企業(yè)IT和安全政策。(鄒錚編譯)
