BetterCloud最近的一项调查发现,企业平均使用80个单独的第三方云应用程序来实现协作、通信、开发、管理合同和HR功能、授权签名以及支持处理和存储敏感数据的业务功能。这些类型的应用程序统称为SaaS(软件即服务)。
除此之外,企业组织还在公共平台(PaaS或平台即服务)和基础架构(IaaS或基础架构即服务)上部署应用程序和整个业务。数据显示,2020年有76%的企业在Amazon Web Server(AWS)上运行其应用程序,而63%的企业在Microsoft Azure上运行其应用程序。
Capital One顾问兼前CISOMichael Johnson表示,这些公共云服务都是必要且高效的,甚至有望比传统数据中心提供更安全的环境。但是,它们也为这些正在云中存储和处理的敏感数据带来了独特的风险,其中大多数风险都是由于用户在设置和管理这些服务时操作错误造成的。
据悉,Johnson曾在2019年的一次公开事件中参与指导Capital One公司完成响应过程,该事件当时暴露了8000万个人记录。在这起事件中,攻击者正是利用了配置不当的第三方云环境。好在Johnson及其团队及时遏制了这一漏洞,并借助强大的响应计划,与董事会和执行团队的透明性,以及与执法部门之间的既有关系,成功实现在数据被利用之前将数据窃取者抓捕归案。
制定响应计划以应对在云中放置敏感数据的风险,这应该是任何云安全策略必不可少的一部分。想要针对公共云环境部署数据保护策略,重要的是要知道如何暴露或窃取来自公共第三方服务的数据。
根据云安全联盟(CSA)的年度威胁报告指出,第三方云服务中的数据泄漏主要是由于配置错误和变更控制不充分(例如过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。而缺乏云安全策略或体系结构正是造成数据泄露的第二个最常见的原因,其次是身份和密钥管理不足,随后还有内部威胁、不安全的API、结构故障以及对云活动和安全控制的有限可见性等等。
云安全联盟CEO Jim Reavis表示:
“由于远程工作需要,SaaS在2021年已经成为我们的重要关注点。我们看到公有云采用率出现了惊人的增长,但是忙乱中,组织却忘记了将边缘网络保护到云中。例如,人们正在跨多个云服务重用其凭据,因此现在凭据填充攻击正在增加。” |
McAfee的一项调查显示,到2020年5月,思科WebEx的使用率增加了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。在最初匆忙开展远程工作时,Reavis就指出了许多可能导致数据泄露的问题:IT团队并未保护云中的存储桶,未实施安全的开发人员实践或协调身份和访问程序。如今,网络犯罪分子甚至已经在存储库中发现了一些硬编码的应用程序凭据。可怕的是,这些明明都是一些非常基础的东西。
专家建议,遵循下述3个最佳实践将显著降低在云中存储或处理数据的风险:
为大中型公司提供咨询的CISO Ian Poynter建议,应对云中数据威胁的最佳方法,是在任何涉及公共云服务的新计划的规划阶段,将云应用程序纳入控制并进行风险评估。CISO之间的共识是,用户的云实例并非都是获得授权的,而且很少针对公开数据进行有效地监控。这也是CISO需要成为执行团队成员的原因所在。他们需要这个权限去了解正在发生的事情,并且还要一个协作环境,在这样的环境中,业务经理能够直接与他们进行沟通,共享其正在运行的新项目或产品,然后让他们对其中涉及的云产品进行评估。
就一家公司而言,CISO甚至可以向财务发出警告,告知其哪些第三方云应用程序和平台可以报销。如果业务部门或个人用户在未经事先批准的情况下购买了报销范围以外的产品,则可以直接拒绝他们的报销申请。
这是强制执行云应用程序白名单的手动方式,但无疑也是有效的方式。云应用程序白名单和黑名单通常也是部署在公司控制的端点上,或通过零信任技术(例如浏览器隔离)来控制用户、企业和云应用程序之间的远程会话的强大技术控制。
Johnson建议,在组织已标准化的成熟云服务和应用程序中利用云原生安全产品。例如,应用AWS Inspector评估正在使用的应用程序的配置合规性,以及应用Amazon GuardDuty来检测恶意活动和未经授权的行为。采购产品之前,企业组织需要竭尽所能地对云提供商的声誉进行尽职调查,并尽量避开一些小的提供商。越大的提供商通常会在数据保护和可见性控制方面做得更好。
服务模型之间的原生安全性会有所不同。IaaS和PaaS供应商为购买者在其基础架构或平台中升级的应用程序提供安全性和配置工具。这些一般是本地提供的或是通过第三方付费提供的。对于SaaS应用程序(例如DocuSign、Slack或Box)而言,安全性多数是原生的。例如,Microsoft 356为Exchange、SharePoint和Azure(以及其他安全产品)Active Directory提供高级审核。
通过研究Box公司的cloud enterprise,我们可以窥见出入第三方提供商的敏感数据的处理方式。Box管理着多个应用程序,以支持工作流程、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。用户通过Box Shuttle将Box连接到其他云服务(例如具有完整数据传输功能的Facebook Workplace)时,Box中便出现了云。
Box安全、隐私和合规性产品副总裁Alok Ojha表示,随着越来越多的应用程序在Box世界中兴起,面向用户的嵌入式安全性和合规性工具集将成为关键的差异化因素。Ojha引用内容云(Content Cloud)作为Box用户在不同工作流中实现一致安全性和可视性的地方,以查看应用程序中正在处理哪些文件和数据,以及谁在访问数据及出于什么目的。
另一个原生工具Box Shield也可以配置来查找和分类敏感数据,并对分类后的数据进行适当的控制,以降低内部人员和恶意软件威胁的风险,同时还可以了解与数据相关的法规要求,并确保对监管机构进行审核跟踪。此外,他还建议重新关注身份和访问管理(IAM),尤其是对外部用户和合作伙伴使用多因素身份认证,而不要再使用可重用的密码组合。
Titaniam数据保护公司创始人兼CEO Arti Raman警告称,不要过度依赖身份和访问控制来防止数据泄漏,同时控件还需要直接关注通过公共云进行交易并存储在公共云中的数据。但是,从端点到企业再到云的数据保护非常困难,并且必须具有足够的灵活性以跨越所有这些边界,以便在整个生命周期内保护数据。
Raman认为,在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时,加密和数据保护应始终存在。这包括传统的加密技术以及新的可搜索技术,这些新技术是在其上使用传统加密来满足合规性标准。
最后,Box公司的Ojha补充道,数据终止(data kill)政策也很重要。根据企业和法规为数据设置的要求,最好可以自动删除不再需要在第三方应用程序和基础架构中存在的数据。[来源:FreeBuf]
【编辑推荐】安企神软件系统加密软件–企业文档图纸保密专家!防拷贝复制、防泄露泄密!轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。
未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...