【2020年4月9 日香港訊】全球網絡資訊保安方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）發布的雲端資訊保安研究指出，人為錯誤及複雜的部署環境是各種網絡威脅的主要突破口。

根據Gartner報告指出，至2021年超過75% 的中大型企業將會導入多重雲端環境或混合IT策略¹ 。隨著雲端平台的日益普及，IT 和 DevOps 團隊在保護雲端運算單元時正面臨更多疑慮與不確定性。

這份由趨勢科技研究團隊（Trend Micro Research）最新發布的報告再次證實，組態設定錯誤是導致雲端資訊保安問題的首要原因。事實上，Trend Micro Cloud One – Conformity 平均每天都偵測到 2 億 3000 萬次組態設定錯誤，證明這項風險十分常見及普遍。

趨勢科技港澳區顧問總監李浩然表示：「雲端運作已經成為常態，網絡犯罪集團也因此開始利用組態設定錯誤或管理不當的雲端環境來犯案。我們相信，透過移轉至雲端可重新定義企業 IT 周邊範圍與端點，並為資訊保安問題提供絕佳的解決之道，但這需要企業落實做好自身在雲端應該負起的共同資訊保安責任才能達成。掌握雲端資料的所有權，是雲端資料保護的首要工作，我們的角色就是要協助企業成功達成目標。」

這項研究在數個雲端運算關鍵領域中發現多項資訊保安威脅和弱點。歹徒可利用組態設定錯誤來對企業發動攻擊，包括勒索程式、虛擬貨幣挖礦、電子盜卡及竊取資料等。

不僅如此，還有一些含有誤導資訊的線上教學也加劇了企業的風險，導致雲端登入密碼及憑證管理不當。報告總結表示，IT 團隊可利用一些雲端原生工具來協助降低這類風險，但不能只依賴這些工具。

趨勢科技建議採取以下最佳實務原則來提升雲端部署的安全：

• 採用最低授權權限原則：僅開放給真正需要的人士進行存取。
• 了解雲端資訊保安共同分擔的責任：雖然雲端服務商已內建許多資訊保安措施，但客戶仍須負責保護自己的資料。
• 監控是否有組態設定錯誤和暴露風險的系統：像 Conformity 這樣的工具可協助企業迅速輕鬆發掘雲端環境中的組態設定錯誤。
• 將資訊保安融入 DevOps 文化中：資訊保安應該從一開始就融入 DevOps 流程中。

參考報告請至：https://www.trendmicro.com/vinfo/hk/security/news/virtualization-and-cloud/exploring-common-threats-to-cloud-security
 

¹ Integrating Security Into the DevSecOps Toolchain, Published 15 November 2019 - ID G00377293 – Gartner