合規與風險
企業雲端資安的最大挑戰以及解決之道
傳統的 IT 功能不斷移轉至雲端,為企業帶來了新的資安風險。本文探討當前雲端資安的三大挑戰,以及如何防範它們所帶來的財務、營運及商譽損害。
企業正不斷將傳統的 IT 功能移轉至雲端來追求靈活性和彈性。根據 Gartner指出,到了 2025 年,企業在應用程式與基礎架構軟體、業務流程服務,以及系統基礎架構上的支出,有一半以上 (51%) 將花在雲端。無可否認地,雲端移轉帶來了商業效益,但這樣的轉變也帶來了新的雲端資安挑戰。根據趨勢科技 2022 上半年網路資安報告指出,有三大日益興起的趨勢將對企業的財務、營運及商譽帶來風險:虛擬加密貨幣挖礦、經由雲端通道的攻擊,以及雲端軟體組態設定錯誤。
雲端資安挑戰之一:虛擬加密貨幣挖礦
2022 年加密虛擬貨幣(Cryptocurrency)幣也許跌跌撞撞,但依然能維持高獲利,而且它所提供的匿名性,對網路犯罪集團深具吸引力,所以駭客紛紛投入挖礦領域來幫自己「印鈔票」。由於虛擬加密貨幣挖礦需耗費龐大的運算效能,因此越來越多網路犯罪集團試圖占用企業的雲端資源來增加運算效能。
有何風險?
有別於其他類型的入侵,虛擬加密貨幣挖礦對企業的商譽風險相對較低,因為其主要目標並非中斷企業的服務或竊取機敏資料。但企業若未能及時發現,還是會讓一些按用量付費的資源費用暴增,進而蒙受巨大損失。根據趨勢科技估計,每台雲端機器每個月的虛擬加密貨幣挖礦損失可高達 130 美元,由於絕大多數企業都不只擁有一個雲端執行個體,因此全部加起來,損失就相當可觀。
此外,這些攻擊還會占用核心工作負載的運算資源,阻礙生產力。而且如果這些非法活動將資源的配額耗盡,那企業的服務就無法正常擴充,進而影響營業績效。
企業能做些什麼?
由於任何雲端資源都可用來從事虛擬加密貨幣挖礦,所以駭客通常會瞄準開發和測試環境,因為這類環境的資安防護通常比營運環境來得弱。強度不足的登入憑證或密碼,還有能讓駭客從遠端執行指令的漏洞,都是這類攻擊經常利用的途徑。
企業可將現有的自動化軟體工具進一步擴充,除了保護更多關鍵資源之外,同時也掃描開發環境的異常狀況。此外,設定雲端服務費用上限,以及將雲端區域限制在本地,也有助於管制開發環境,防止雲端資源遭到濫用。
雲端資安挑戰之二:經由雲端通道的攻擊
軟體與應用程式開發人員經常使用雲端通道 (Cloud Tunneling) 來暫時對外開放本地端系統,作為一種快速展示目前開發進度的方式。由於這類通道基本上等於避開了企業網路的存取管制,所以很可能讓駭客趁虛而入、滲透開發人員的電腦。
有何風險?
網路駭客一旦能夠進入開發人員的電腦,就能利用本機系統管理員權限或開發人員分享的工作內容來植入惡意程式。此外駭客還可盜用登入憑證來進入企業的雲端開發環境或其他系統,進而竊取機敏資訊,或在應用程式原始碼或開發流程當中植入漏洞。像這樣的入侵很不容易偵測,因為其網路活動都是透過開發人員的權限和身分來執行,因此看起來一切正常。
企業能做些什麼?
企業應盡可能利用資安組態設定來過濾對外連線,就像過濾對內連線那樣。即使企業完全禁用雲端通道,還是會有人試圖尋找其他替代方案,所以,制定明確的政策來規範可允許的雲端通道使用情境,對企業也同樣重要。此外,與其使用多個臨時 (ad hoc) 的雲端通道,企業應該只核准單一通道,並限制在企業內部,而非對網際網路開放。
雲端資安挑戰之三:組態設定錯誤
研究發現,在所有雲端資安挑戰當中,有 65% 至 70% 涉及軟體組態設定錯誤,為企業帶來將近 5 兆美元的損失。根據 Red Hat 的一份調查指出,有 53% 的受訪者曾在其容器和/或 Kubernetes部署環境發現組態設定錯誤。而這些漏洞之所以如此普遍,就是因為 IT 基礎架構的虛擬化和雲端化讓開發人員與基礎架構或資安團隊之間的責任劃分界線變得模糊。
有何風險?
組態設定錯誤的型態有很多,從不小心讓任何人都能讀取儲存裝置、機敏資訊暴露在外,到資安控管未正確落實等等,這些都會讓企業陷入各式各樣的潛在威脅:惡意程式、資料竊盜、儲存庫遭挾持、不肖的工作負載 (如虛擬加密貨幣挖礦) 等等。
企業能做些什麼?
良好的雲端資安狀態管理 (CSPM) 非常重要,這有助於建立明確的責任劃分:資安團隊負責制定政策,而應用程式與基礎架構開發團隊則負責在工作上確實遵守。CSPM 軟體工具除了讓企業資安團隊掌握可視性之外,還讓他們主動檢查及監控雲端資源的組態設定錯誤,預先發掘及矯正漏洞,不讓漏洞遭到攻擊。
採用一套全方位的方法來解決雲端資安挑戰
責任歸屬的問題,並不只侷限於企業內團隊。公有雲服務必須釐清企業與雲端業者之間的角色界線,以確保端對端的安全。在責任共同分擔的架構下,雲端業者的責任是確保其基礎架構、API 及資料在雲端內的儲存與處理安全。至於企業的責任,就是安全地使用雲端服務,而這牽涉到多個角色與功能層面:資安、雲端營運、DevOps 等等。
如果每個層面都要部署並維護自己的資安工具,尤其若企業的工作負載防護、容器防護及其他功能防護都採用不同工具的話,那情況將變得難以管理。因此,擁有一套涵蓋所有環境及技術的全方位資安平台 有其必要。
這一點對混合雲或多重雲端環境來說更是如此。採用涵蓋多重環境的單一平台、經由單一整合檢視來掌握整體狀況,可大幅簡化及強化資安。此外,一套具備延伸式偵測及回應 (XDR) 功能的全方位平台,再配合強大的 CSPM 軟體,就能實現上述能力。
或許最重要的是,任何解決雲端資安挑戰的方法都要能夠支援 (而非阻礙) 企業移轉至雲端的初衷。這意味著雲端防護本身就必須靈活、隨選,而且透過線上市集直接採購,並且要能隨企業雲端資源的擴充而擴充。
未來,企業採用的雲端技術只會更多且更加多元,因此採用一套對雲端友善的全方位資安方法至關重要。不僅如此,雲端威脅也會隨時間而演變,所以,隨時掌握最新研究、讓雲端資安隨時保持更新,對企業來說,也同樣重要。
下一步
如需有關雲端資安趨勢與風險管理的更多資訊,請參閱以下文章: