摘要:所有這些措施都應(yīng)該成為所有組織隱私議程的首要任務(wù),只有這樣�����,他們才有機(jī)會(huì)保護(hù)自己免受許多泄漏的云存儲(chǔ)桶受害者所遭受的命運(yùn)���。
如今,世界各地的組織正在收集����、存儲(chǔ)和管理不斷增加的數(shù)據(jù)。許多人決定將這些數(shù)據(jù)存儲(chǔ)在云中�����,因?yàn)閷?shù)據(jù)保存在自己的數(shù)據(jù)中心是不可持續(xù)的。但隨后發(fā)生了難以想象的事情�����,很多組織從黑客那里收到贖金郵件��,通知他們已經(jīng)掌握了云中組織數(shù)據(jù)的控制權(quán)���,并且要求為他們的數(shù)據(jù)支付大量贖金����。那么該怎么辦�����?
首先�����,需要向其他具有豐富公共經(jīng)驗(yàn)的企業(yè)學(xué)習(xí)�����。例如,如果Uber公司在2016年為其數(shù)據(jù)泄露支付了贖金�,并希望永遠(yuǎn)不會(huì)出現(xiàn)攻擊的話,那么這將會(huì)導(dǎo)致客戶失去信任�。此外,它可能會(huì)公開(kāi)展示一個(gè)漏洞���,并吸引其他黑客試圖攻擊實(shí)施另一次劫持����。不幸的是����,對(duì)于Uber公司而言,這次網(wǎng)絡(luò)襲擊事件于2017年底公開(kāi)���,他們現(xiàn)在面臨憤怒的客戶�����、利益相關(guān)者和監(jiān)管機(jī)構(gòu)的質(zhì)疑和批評(píng)。他們將如何處理�����?組織可以做些什么來(lái)防止這種大規(guī)模的數(shù)據(jù)泄露事件發(fā)生?
企業(yè)需要做的最重要的事情之一就是要及時(shí)了解他們面臨的各種威脅��。人們正處于IT環(huán)境正在經(jīng)歷戲劇性數(shù)字化轉(zhuǎn)型的時(shí)代�����,傳統(tǒng)基礎(chǔ)設(shè)施被現(xiàn)代基于云計(jì)算的解決方案所取代��。隨著云計(jì)算解決方案的日益普及��,一種新型的企業(yè)安全威脅正在出現(xiàn)�����,它依賴于勒索軟件的浪潮:它被稱為“泄漏的云存儲(chǔ)桶”����。
什么是泄漏的云存儲(chǔ)桶?
當(dāng)數(shù)據(jù)暴露在公共云上時(shí)����,通常是由于存儲(chǔ)桶配置錯(cuò)誤導(dǎo)致的,它被稱為泄漏的云存儲(chǔ)桶事件�。
每個(gè)公共云存儲(chǔ)服務(wù)都提供存儲(chǔ)桶,這是AWS為存儲(chǔ)云上數(shù)據(jù)對(duì)象的存儲(chǔ)庫(kù)創(chuàng)造的術(shù)語(yǔ)(Azure稱他們?yōu)椋lob')。企業(yè)客戶能夠以他們選擇的任何方式配置存儲(chǔ)桶�,其中包括維護(hù)存儲(chǔ)桶的區(qū)域,存儲(chǔ)桶中對(duì)象的生命周期規(guī)則��,一般訪問(wèn)權(quán)限等等�。
在過(guò)去的一年里,出現(xiàn)了一系列此類事件�,這些事件困擾著很多組織,如Uber���、Verizon��、Viacom����、道瓊斯����,甚至美國(guó)的軍事組織。
那么誰(shuí)應(yīng)該受到責(zé)備����?是客戶�、云計(jì)算提供商、存儲(chǔ)供應(yīng)商還是黑客��?事實(shí)證明,問(wèn)題的根本原因不在于涉及的云計(jì)算提供商���,無(wú)論是AWS����、Microsoft�、IBM還是Google,還有企業(yè)管理員正在配置和使用這些存儲(chǔ)桶的方式�。最終,大多數(shù)情況都可以解決用戶錯(cuò)誤的原始問(wèn)題�。
這真的很令人驚訝嗎?讓人們不要忘記�����,調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè)95%的云計(jì)算安全故障將是客戶的錯(cuò)���。
IT行業(yè)人士通常都知道用戶或管理員的錯(cuò)誤一直困擾著IT組織���。這是泄漏的云存儲(chǔ)桶面臨的情況。
這些存儲(chǔ)桶有兩個(gè)主要屬性不應(yīng)忽略�。首先,云存儲(chǔ)和存儲(chǔ)桶是駐留在私有云和防火墻邊界之外的共享服務(wù)。其次�����,云存儲(chǔ)桶基于對(duì)象存儲(chǔ)�,它不會(huì)強(qiáng)制組織多年來(lái)使用的文件系統(tǒng)訪問(wèn)控制列表(ACL)來(lái)定義文件級(jí)粒度權(quán)限。
與傳統(tǒng)IT或傳統(tǒng)存儲(chǔ)的數(shù)十年企業(yè)IT體驗(yàn)相比���,云計(jì)算存儲(chǔ)管理的固有缺點(diǎn)加上云存儲(chǔ)管理的不成熟���,導(dǎo)致存儲(chǔ)的數(shù)據(jù)沒(méi)有得到保護(hù),可能成為黑客的獵物���,而黑客經(jīng)常運(yùn)行掃描搜索下一個(gè)受害者�。
該怎么做才能避免泄漏云存儲(chǔ)桶����?
幸運(yùn)的是,有一些簡(jiǎn)單的預(yù)防措施可以確保數(shù)據(jù)在組織的邊界內(nèi)得到保護(hù):
(1)加密數(shù)據(jù)并將鑰匙放在口袋里
如果IT人員遵循一個(gè)簡(jiǎn)單的規(guī)則:如果企業(yè)的數(shù)據(jù)存儲(chǔ)在外部環(huán)境����,則必須被加密,那么IT人員才能放心�����。正如沒(méi)有人在沒(méi)有VPN的情況下可以通過(guò)公共Wi-Fi訪問(wèn)敏感信息一樣�,企業(yè)不應(yīng)該在沒(méi)有適當(dāng)加密的情況下使用公共云存儲(chǔ)。如果數(shù)據(jù)在空閑時(shí)加密����,并且只有某些工作人員可以訪問(wèn)加密密鑰,則無(wú)需擔(dān)心存儲(chǔ)桶是否泄露:加密數(shù)據(jù)對(duì)任何未授權(quán)的用戶都是無(wú)用的�����。這是一種至關(guān)重要的保險(xiǎn)措施���,可以防止有一天發(fā)生錯(cuò)誤的概率�����,無(wú)論其大小如何�����。
(2)管理訪問(wèn)權(quán)限
使用多層訪問(wèn)控制系統(tǒng)��,該系統(tǒng)從存儲(chǔ)桶本身的訪問(wèn)權(quán)限一直到相關(guān)工作負(fù)載的文件級(jí)別��,保留權(quán)限并將它們連接到中央目錄身份驗(yàn)證系統(tǒng)����。
(3)投資數(shù)據(jù)丟失預(yù)防(DLP)
利用DLP軟件監(jiān)控?cái)?shù)據(jù)訪問(wèn)模式,并找出可以檢測(cè)數(shù)據(jù)泄漏的偏差�。這些工具還可以阻止策略違規(guī),從而可以阻止用戶在企業(yè)的防護(hù)措施之外發(fā)送敏感數(shù)據(jù)���。
(4)鎖定端點(diǎn)和辦公室
使用企業(yè)移動(dòng)管理(EMM ) 移動(dòng)設(shè)備管理(MDM)工具消除影子IT��,在企業(yè)提供的和BYOD設(shè)備中創(chuàng)建安全的生產(chǎn)力空間����。
(5)定期滲透測(cè)試
在向網(wǎng)絡(luò)添加新基礎(chǔ)設(shè)施(例如云存儲(chǔ))時(shí)���,滲透測(cè)試至關(guān)重要���。但是,這種優(yōu)良的作法是定期進(jìn)行測(cè)試以評(píng)估組織的安全狀況�,并確保不會(huì)出現(xiàn)新的泄漏。
所有這些措施都應(yīng)該成為所有組織隱私議程的首要任務(wù)����,只有這樣���,他們才有機(jī)會(huì)保護(hù)自己免受許多泄漏的云存儲(chǔ)桶受害者所遭受的命運(yùn)。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/5227.html
