安全漏洞隨著公有云使用量的增加也在快速增長

責任編輯:cres

作者:Taryn Plumb

2023-02-01 14:08:50

來源:企業(yè)網D1Net

原創(chuàng)

行業(yè)專家表示,公有云中工作流程的增加可能會增加更多的安全漏洞。企業(yè)在其公有云環(huán)境中正在經歷數據爆炸式增長,這將導致擴展的數據攻擊面,可能導致數據違規(guī)或合規(guī)性失敗的情況。

云計算的應用如今正在爆炸式增長,云中存儲的數據量同樣也在爆炸式增長。
 
而且,由于具有低成本、簡單性、可靠性和靈活性以及其他特性,公有云或者包含它的混合云或多云成為企業(yè)業(yè)務運營環(huán)境的首選。
 
行業(yè)專家表示,但是任何事物都有自己的缺點。值得注意的是,公有云中工作流程的增加可能會增加更多的安全漏洞。
 
Dig Security公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Dan Benjamin表示:“企業(yè)在其公有云環(huán)境中正在經歷數據爆炸式增長,這將導致擴展的數據攻擊面,可能導致數據違規(guī)或合規(guī)性失敗的情況。”
 
數據:動態(tài)、復雜而且易受攻擊
 
使用公有云模型,所有服務器、存儲、硬件、軟件和其他支持基礎設施都由云計算提供商擁有和管理。并且,這些信息與其他組織或“租戶”共享。
 
截至2022年,60%以上的企業(yè)數據存儲在云端。這一比例在2015年就達到了30%,并且隨著企業(yè)尋求提高可靠性和靈活性,這一比例還在繼續(xù)增長。
 
預計2023年公有云市場的收入將達到5256億美元,復合年增長率接近14%。毫無疑問,這個市場只會繼續(xù)增長(而且將會加快),到2027年的市場收入將超過8810億美元。
 
根據調研機構Gartner公司的估計,到2026年,公有云支出將超過所有企業(yè)IT支出的45%,2021年的這一比例還不到17%。
 
Benjamin指出,像Uber和LastPass公司出現(xiàn)的令人矚目的數據泄露事件已經證明了云數據存儲是多么脆弱,即使對于了解網絡安全并投資于數據保護的企業(yè)也是如此。
 
他說,“數據是動態(tài)和復雜的,它以各種形式存在,并不斷被收集,因此它在公有云上不斷變化。”
 
他解釋說,云計算環(huán)境通常是復雜生態(tài)系統(tǒng)的一部分,其中包括多個公有云和內部部署設施。此外,許多企業(yè)同時運行多個SaaS應用程序、虛擬機、容器和云實例,從而增加了更多的抽象層。
 
他表示,隨著數據在這些資產之間傳輸,發(fā)現(xiàn)數據并繪制數據流是一項挑戰(zhàn),因此很容易失去控制。
 
關注影子數據
 
云安全機構Solvo公司的首席執(zhí)行官兼聯(lián)合創(chuàng)始人Shira Shamban解釋說,隨著企業(yè)快速行動并更快地交付到生產,他們將大量權力交給了IT或開發(fā)運營以外的領域。
 
她說,“當然,他們在無意中創(chuàng)建了沒有遵循安全最佳實踐的影子數據。”
 
影子數據是指IT團隊未主動管理的數據。Benjamin解釋說,它可以包括用于開發(fā)和測試目的的快照、備份和數據副本。它主要存在于電子表格、數據庫的本地副本、電子郵件、演示文稿和個人設備上。
 
安全控制和策略通常沒有應用于這些數據,這使得跟蹤、管理和監(jiān)控更加困難。Benjamin表示,這也使它容易受到未經授權的訪問和泄露。
 
他說,這在數據安全和合規(guī)性方面都帶來了重大風險,而沒有遵守這些法規(guī)可能會導致罰款和聲譽損害,削弱的數據安全態(tài)勢會在多個層面上泄露企業(yè)的數據。造成的損害會降低客戶的信任,并導致聲譽損害、罰款、法律費用和知識產權盜竊。
 
Benjamin表示,公有云的性質使得創(chuàng)建新的數據存儲很容易,但安全團隊很難監(jiān)控該數據存儲的內容,因此,企業(yè)必須改變他們對數據安全的看法。
 
復雜的數據環(huán)境
 
行業(yè)專家表示,從整體來看,保護云計算數據既關鍵又具有挑戰(zhàn)性——無論是私有云、公有云、混合云還是多云。
 
Shamban表示,在云端最常見的網絡攻擊與在內部部署設施遭遇的網絡攻擊沒有什么不同。在通常情況下,會遭遇憑證盜竊。云中的獨特攻擊向量與云計算技術的錯誤配置有關。
 
Benjamin認為有多種方法可以滲透到云計算環(huán)境中,網絡攻擊者通常利用軟件漏洞、泄露的憑證或錯誤配置進行訪問。但是,無論云計算環(huán)境是如何被滲透的,網絡攻擊者的目標總是竊取或破壞數據以獲得經濟或其他利益。
 
Benjamin說,“這就是為什么專注于保護數據如此重要的原因。”
 
可見性很重要
 
企業(yè)有很多工具來保護自己,其中常見的一個工具是云安全態(tài)勢管理(CSPM)。這通過可見性的自動化、不間斷監(jiān)控、威脅檢測和補救工作流程來識別和補救風險。它在不同的云計算環(huán)境和基礎設施(包括軟件即服務、基礎設施即服務和平臺即服務)中搜索錯誤配置。
 
Gartner公司最近引入了數據安全態(tài)勢管理(DSPM)的概念。
 
Gartner公司的副總裁分析師Patrick Hevesi表示,數據安全態(tài)勢管理(DSPM)包括幾個方面:
 
•合規(guī)評估
•風險識別
•運行監(jiān)測
•DevSecOps集成
•策略實施
•威脅保護
 
正如Benjamin所解釋的那樣,這種方法可以與類似的數據檢測和響應(DDR)新概念一起工作,數據檢測和響應(DDR)提供實時監(jiān)控、檢測和響應。
 
他說:“人們越來越意識到存在的風險,并朝著更好地治理和監(jiān)控數據資產的方向發(fā)展。數據安全態(tài)勢管理、云數據丟失預防、數據檢測和響應的功能可以幫助企業(yè)應對挑戰(zhàn)。”
 
工具和文化的混合
 
最終,企業(yè)必須培訓他們的開發(fā)人員和研發(fā)團隊,讓安全在他們的思維中根深蒂固,Shamban表示,他們還必須配備正確的工具,以幫助自動化一些日常決策和補救任務,因為這將為他們騰出時間進行更復雜的項目。
 
Shamban 說,“我們不能停止使用云計算服務,這就是我們應該學習如何更有效、更安全地使用它的原因。”
 
Benjamin對此表示認同,并承認企業(yè)由于公有云具有眾多優(yōu)勢而不會放棄使用。
 
他說,“云計算具有無與倫比的靈活性、性能和速度。”
 
關于企業(yè)網D1net(m.r5u5c.cn):
 
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運營19個IT行業(yè)公眾號(微信搜索D1net即可關注)。
 
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號