今年 7月，賽門鐵克的調(diào)研人員照例去跟大公司的  CIO、CISO們套瓷（做調(diào)研），了解企業(yè)中的云應用狀態(tài)。不出意料的是，絕大部分 CIO 又“被蒙在了鼓里”。他們認為，自家企業(yè)在使用云應用方面的數(shù)量大概只有 30 到 40 個，實際上這個數(shù)字高達 900 個。

除了影子應用，云端安全還遭受了諸多威脅。

最近，賽門鐵克召開了一場媒體溝通會，針對調(diào)研收集的云端安全威脅信息，賽門鐵克宣布推出集成網(wǎng)絡防御策略產(chǎn)品。

“與很多企業(yè)高管溝通時，發(fā)現(xiàn)他們所使用的安全產(chǎn)品和廠商多種多樣，有一個客戶曾表示，光是筆記本上運行的所謂安全管理程序就達到六個，有做終端管理，有些是防惡意程序的。如果一些大的銀行，他們所使用安全產(chǎn)品類型、類別高達20、30個，當中有些是針對特殊應用場景的，比如，加密管理，有些是比較通用的，像安全網(wǎng)關(guān)。企業(yè)對于這些不同的安全產(chǎn)品，首先是采購費用很高，其次是難以找到專業(yè)的安全產(chǎn)品管理人士?！辟愰T鐵克大中華區(qū)首席運營官羅少輝對雷鋒網(wǎng)說。

簡單的說，就是按照不同的應用場景，對用戶、信息、網(wǎng)頁的傳輸做相關(guān)保護。將用戶的不同安全產(chǎn)品、服務連在一起，構(gòu)建一個網(wǎng)絡安全防御平臺，這個平臺能實現(xiàn)對不同的產(chǎn)品的聯(lián)動。

比如，憑借安全網(wǎng)關(guān)和終端防御產(chǎn)品能夠?qū)⒐襞c威脅攔截，安全事件發(fā)生時，安全網(wǎng)關(guān)可以發(fā)現(xiàn)，而安全網(wǎng)關(guān)和終端防御產(chǎn)品和相關(guān)服務進行溝通后，提醒終端安全管理，提醒其一旦碰到類似這種文檔，無論是通過郵件進來還是通過 USB 反攻擊進來的，都要做及時阻斷。這樣做的最大好處在于這些程序都能自動化發(fā)生，確保安全風險不會因為管理員的失誤而成為安全事件。

雷鋒網(wǎng)了解到，目前賽門鐵克該產(chǎn)品通過API接口實現(xiàn)第三方安全產(chǎn)品的集成，并把不同的安全產(chǎn)品設備的日志導入 SIEM平臺上進行大數(shù)據(jù)安全分析。

以下是羅少輝《保護云端安全》的部分演講內(nèi)容，雷鋒網(wǎng)編輯整理。

－－

威脅一：影子應用和影子數(shù)據(jù)

為什么企業(yè)高管對云端應用的理解有落差？

首先，大家對云方面的概念理解有誤，有些人認為云應用只是SaaS服務，比如BOX、dropbox、百度云等。但我們將其他的 web 應用，比如，郵箱和iCloud等也歸納為云應用，因為它們當中很多數(shù)據(jù)和管理都在云端實現(xiàn)管理，大部分被歸納在公有云體系內(nèi)。很多企業(yè)的CIO、CISO對云應用的誤解在于，他們只看重企業(yè)的 SaaS 服務或者基礎架構(gòu)方面的服務。

其次，很多用戶都會使用同步功能，就是把某個文檔直接同步到云盤上，很多企業(yè)的內(nèi)部數(shù)據(jù)就會放到一個所謂的“影子應用”里。這對于企業(yè)有什么風險？像亞馬遜，因為第三方在數(shù)據(jù)操作流程上面有些錯誤，導致有些第三方能訪問到敏感數(shù)據(jù)，如一些企業(yè)重要數(shù)據(jù)和個人隱私數(shù)據(jù)。

如果是讓用戶通過所謂“影子應用”或影子數(shù)據(jù)，將企業(yè)中很多內(nèi)部重要的文檔放到公有云上，對于數(shù)據(jù)安全是一個很大的漏洞。如果黑客攻破某一云盤的帳號，就能輕松盜取大量數(shù)據(jù)。一個星期前，美國一家叫Equfax的個人信息查詢服務的公司丟失了將近1億5千萬的個人隱私資料，而這些信息之后被曝光到網(wǎng)上。對于消費者來說，黑客拿走了包括個人姓名、地址、電話號碼等重要的個人數(shù)據(jù)，很容易在網(wǎng)上找到社交帳號，從而實行欺詐行為。

威脅二:企業(yè)內(nèi)部所謂的邊界概念

過去，很多企業(yè)高管都是把所有數(shù)據(jù)放在數(shù)據(jù)中心，或是放在用戶的電腦中，但隨著移動應用和云的發(fā)展，大部分數(shù)據(jù)已經(jīng)分別存儲在不同位置，企業(yè)邊界的概念逐漸消失。

就我個人而言，我習慣用手機下載很多公司的重要數(shù)據(jù)，包括郵件和其他工作文檔。隨著我去不同的地方拜訪，去不同的客戶，隨時在設備中訪問工作資料并進行交流。同時，數(shù)據(jù)也會隨著我的手機和我所使用的云應用慢慢分布到不同的位置。

所以，如今的企業(yè)數(shù)據(jù)已經(jīng)不再單一存儲于固定位置，這對黑客而言便成為了一個好機會。

很多企業(yè)對云安全的概念還比較模糊，而企業(yè)高管，特別是管理員用戶能通過特定權(quán)限獲取企業(yè)的財務數(shù)據(jù)等等，于是黑客便會對這些用戶發(fā)送帶有惡意鏈接的郵件、短信、微信等，將其定向到一個虛假網(wǎng)站，要求輸入或更改密碼。過去在一些媒體活動中，我跟大家分享過不同的誘騙詐騙行為，有些是偷取用戶賬戶，然后連到詐騙網(wǎng)站，類似這種方法對黑客來說，成本并不高。因為做一個假網(wǎng)站和惡意郵件非常容易，他們只需要盯住某些重要領導和關(guān)鍵員工就可以發(fā)動相關(guān)攻擊。

對黑客來說，發(fā)動攻擊而獲取到的帳號，對他們有著巨大的利益誘惑，后續(xù)他們便能用同樣的帳號密碼訪問不同的網(wǎng)站。比如，嘗試用同樣的賬號密碼登錄微博等社交帳號，把重要的數(shù)據(jù)，包括郵件內(nèi)容和企業(yè)內(nèi)部敏感數(shù)據(jù)偷走。

威脅三：APT 攻擊

現(xiàn)在針對性攻擊和高級威脅攻擊非常多，過去有些大規(guī)模的國家跟國家間的攻擊。我們也看到，有些黑客利用國家的名義影響競選的結(jié)果。在云安全世界里，企業(yè)與消費者都可能面臨不同類型的攻擊手段。對于企業(yè)來說，云中的相關(guān)數(shù)據(jù)，應用和訪問人員權(quán)限，在過去監(jiān)管是比較松散的。

挑戰(zhàn)：到底應該選擇哪家云供應商

云方面，如今企業(yè)面對的云不再是單一云。中國有很多不同類型的云，包括華為云，也有BAT所構(gòu)建的云，還有很多像Amazon、Azure等國外的廠商所構(gòu)建的云平臺。除了我們所提到的基礎架構(gòu)服務以外，還有SaaS云服務。

對企業(yè)管理云來說，在云應用上面所遇到最大的挑戰(zhàn)：到底應該選擇哪家云供應商？哪家云供應商是最可靠的？

現(xiàn)在很多公有云提供商號稱他們有很多不同的安全相關(guān)服務和安全網(wǎng)絡的DDoS服務，但是很多企業(yè)沒有關(guān)注到一點：雖然在這些公有云平臺上，有很多與網(wǎng)絡安全基礎相關(guān)的數(shù)據(jù)，但一旦把云計算能力放到公有云平臺上，當中的應用相關(guān)保障和數(shù)據(jù)的安全都是企業(yè)客戶要承擔的責任。

企業(yè)到底有多少數(shù)據(jù)放到云平臺上的？哪些是放在傳統(tǒng)IDG上面的，要分割得 比較清楚。不然的話一不小心把很多敏感的數(shù)據(jù)放到公有云上面的話，就可能有些第三方操作的時候有一些權(quán)限攻擊，或者有些用戶有意圖的去惡意登陸，一旦黑客能登陸到公有云平臺上的話，很多企業(yè)數(shù)據(jù)都會受到損失。   

面對不同的云，應該進行怎樣的連接也是很多企業(yè) CIO/CISO 的一個困惑點。企業(yè)不可能只用單一的云平臺，他們會用不同的公有云平臺和不同的 SaaS 服務，在這當中云安全的整體可用性到底多高？服務水平到底怎么樣？這些都是需要關(guān)注的問題。

企業(yè)從過去通過總部實現(xiàn)網(wǎng)絡連接的數(shù)據(jù)訪問慢慢擴大到不同區(qū)域的用戶可以使用公用或私人設備直接連到公有云上。傳統(tǒng)的企業(yè)如果做相關(guān)數(shù)據(jù)的保護，一般是通過在不同的連接里面實現(xiàn)加密，希望通過加密或者在企業(yè)終端加入很多不同的安全類型產(chǎn)品，比如，WAF和其他不同類型網(wǎng)關(guān)，像其他網(wǎng)上行為管理和不同類型的安全產(chǎn)品，對用戶行為進行管理。但是對于不同的場景，無論是從企業(yè)進行控制還是到不同的地區(qū)辦公室和個人設備上進行管控都不十分可靠，因為及時企業(yè)能夠?qū)崿F(xiàn) SSL 加密，黑客同樣可以實現(xiàn)攻擊。很多企業(yè)只是用了SSL加密，黑客可以反過來利用加密的渠道作為發(fā)動攻擊的手段。

在我們的報告里面可以看到，現(xiàn)在有很多黑客是用通過加密的方式和漏洞派送一些惡意程序到不同企業(yè)的內(nèi)部網(wǎng)站里，這些惡意程序能通過云的方式派送到用戶。

企業(yè)用戶面臨挑戰(zhàn)有幾大關(guān)鍵點：

第一點，現(xiàn)在許多IT部門，在做云策略時，并沒有與內(nèi)部相關(guān)部門進行交流，所以企業(yè)中存在很多影子應用和影子數(shù)據(jù)。   

第二點，對企業(yè)內(nèi)部，特別是IT主管對總體云應用數(shù)量的認知與實際有比較大的偏差。   

第三點，在很多企業(yè)無法在應用中識別、分類和精細化控制訪問并管理敏感數(shù)據(jù)，只是單一處理，無法對與合規(guī)性相關(guān)的數(shù)據(jù)進行保密處理。就像剛才提到的案例，很多應用如果跑到云上，可視性便會降低，到底有多少相關(guān)的影子數(shù)據(jù)到公有云上面？其實企業(yè)內(nèi)部很難去進行準確的判斷。所以如何去保護和做相關(guān)內(nèi)容和數(shù)據(jù)的防泄漏和加密對他來說也是一個很大的挑戰(zhàn)。

第四點，云端方面的威脅，比如惡意軟件獲取到一些重要人員和管理員帳號密碼，企業(yè)用戶一定是非常難在云上面去尋找到的，更別說還要做相關(guān)的保護。   

第五點，企業(yè)的數(shù)據(jù)合規(guī)性也非常重要，特別是中國這邊，現(xiàn)在已經(jīng)開始實行《網(wǎng)絡安全法》，不同的國家都會有對客戶數(shù)據(jù)隱私保護的要求，到底將多少數(shù)據(jù)放到公有云上還是放到本地，企業(yè)需要搞清楚。不然，數(shù)據(jù)泄露一旦發(fā)生，后果是無法控制的，這會對企業(yè)造成巨大的災難。而對于企業(yè)自身的品牌和客戶對他的信任度都會受到影響。

第六點，剛才提了很多安全威脅的檢測，這也是非常重要的?？蛻袈龔囊粋€傳統(tǒng)的IDC概念邁向虛擬化，再走向云的平臺上。企業(yè)是否有足夠的能力把所有不同的應用，無論是在本地的，在云端的還是在相關(guān)公有云上面的數(shù)據(jù)做一個比較好的聯(lián)通。

第七點，現(xiàn)在很多企業(yè)在與我溝通時，都表現(xiàn)出對安全事件的重視。比如5月份Wannacry這種大規(guī)模安全事件發(fā)生以后，一些企業(yè)開始評估自身數(shù)據(jù)的安全性以及保護措施，比如終端防御是否到位，企業(yè)是否需要打補丁。當這類安全事件發(fā)生時，整個相應流程和人員分配等都是需要企業(yè)多多關(guān)注的。

關(guān)于云安全戰(zhàn)略，首席信息官應該問自己這四點： 

第一，總體網(wǎng)絡安全和云安全，他們確實需要第三方安全顧問提供相應服務，比如，評估他們現(xiàn)有的網(wǎng)絡安全的架構(gòu)和影子數(shù)據(jù)的情況到底有多嚴重。

第二，對于這些企業(yè)應用中，到底有哪些相關(guān)企業(yè)內(nèi)部應用和云應用風險是比較高的。比如，他們的云系統(tǒng)和CRM系統(tǒng)或者ERP之類，企業(yè)內(nèi)部很多相關(guān)關(guān)鍵應用如果萬一出現(xiàn)一些安全事故，有風險的話，他們首先要做一些相關(guān)評估。   

第三，更重要的就是數(shù)據(jù)。中國的《網(wǎng)絡安全法》和國外相關(guān)國家對個人隱私的控管，都有比較嚴格的法規(guī)。如果不小心有一些威脅情況出現(xiàn)，對企業(yè)無論是本身的名譽還是客戶的都有很嚴重的影響。   

第四，對用戶來說，在企業(yè)內(nèi)部有多少他們是能做出評估的，風險是高、中、還是低？如果能評估出來的話，他們的應用使用云和不同的應用的時候風險水平有多高？你也可以做相關(guān)的措施，比如保護的機制。比如很多訪問可以進行動態(tài)密碼的保護，以確保一旦用戶帳號被竊取，黑客也無法騙取他的相關(guān)動態(tài)密碼，從而無法訪問關(guān)鍵數(shù)據(jù)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。