云計(jì)算—人是企業(yè)安全最大的漏洞

云計(jì)算最典型的大眾應(yīng)用無疑是社交網(wǎng)絡(luò)，當(dāng)今最火爆的網(wǎng)絡(luò)服務(wù)如國(guó)外有Youtube、Facebook、Twitter、Flickr等，國(guó)內(nèi)有微博、開心網(wǎng)、優(yōu)酷等。由于社交網(wǎng)絡(luò)以人際關(guān)系為紐帶，以實(shí)時(shí)共享和互動(dòng)為核心，徹底改變了傳統(tǒng)互聯(lián)網(wǎng)信息廣播的單向結(jié)構(gòu)，為黑客實(shí)施社會(huì)工程學(xué)犯罪、乃至商業(yè)機(jī)構(gòu)之間的網(wǎng)絡(luò)諜戰(zhàn)提供了絕佳環(huán)境。例如，前不久奧巴馬在白宮安全顧問的一再督促下，被迫宣布關(guān)閉其Youtube賬戶，奧巴馬稱Youtube對(duì)其隱私構(gòu)成威脅。

如今，大型企業(yè)的員工也大多是社交網(wǎng)絡(luò)的使用者，這為黑客“人肉”特定企業(yè)的員工提供了新的渠道。RSA2011大會(huì)上，反黑客專家一致認(rèn)為黑客已經(jīng)開始把目光轉(zhuǎn)向大型企業(yè)員工，與會(huì)專家稱之為高級(jí)持續(xù)性攻擊模式，黑客通過企業(yè)員工進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，即使企業(yè)有再多的防護(hù)也沒有用。例如黑客曾經(jīng)給歐盟網(wǎng)絡(luò)的一名員工的電腦中植入木馬，順利攻陷歐盟27個(gè)國(guó)家的碳排放交易網(wǎng)絡(luò)，黑客從中竊取了兩千多萬歐元交易額，其中捷克損失1870萬歐元，奧地利損失700多萬歐元。

可以看到，信息安全的成功，對(duì)終端用戶的依賴越來越大。信息安全管理也需要比以往任何時(shí)候更加關(guān)注終端用戶的安全意識(shí)和安全行為。云計(jì)算的滔天大浪從未像今天這般迫近，那些呆在海邊日光浴的企業(yè)必須采取有效行動(dòng)來自我救贖。

云計(jì)算本身的安全更多要依靠大型的云計(jì)算提供商以及技術(shù)合作商，即使大型組織和行業(yè)企業(yè)開始擁有私有云，但核心的安全技術(shù)還是依賴于平臺(tái)提供商（自從2011年微軟的云計(jì)算爆出安全漏洞以來，云安全本身也并非萬無一失。）

對(duì)于企業(yè)來說，云安全和終端安全方案的保護(hù)傘只能避免“天災(zāi)”，但是“人禍”依然是阿喀琉斯之踵。沒有布拉德利-曼寧的里應(yīng)外合，就沒有WikiLeaks的“輝煌”；沒有針對(duì)特定工廠員工的“社會(huì)工程學(xué)”行動(dòng)，就不會(huì)有“震網(wǎng)蠕蟲病毒”（Stunext）的輝煌戰(zhàn)果。

云計(jì)算服務(wù)—隨處可見的“裸體公司”

云通訊、云郵件、云存儲(chǔ)、云程序等云計(jì)算服務(wù)，將伴隨移動(dòng)設(shè)備的蜂擁而至如狂濤駭浪般沖擊企業(yè)IT信息安全管理系統(tǒng)，企業(yè)內(nèi)網(wǎng)的“馬其頓防線”正在被推倒，傳統(tǒng)的重點(diǎn)依靠網(wǎng)絡(luò)安全技術(shù)控制手段來保護(hù)公司的關(guān)鍵信息資產(chǎn)的方法面臨挑戰(zhàn)。每一位CIO和企業(yè)信息安全專家，無論所在企業(yè)是否主動(dòng)擁抱云計(jì)算，都將面臨前所未有的考驗(yàn)：企業(yè)圍墻已經(jīng)被推倒，單純依賴信息安全技術(shù)的傳統(tǒng)思路不再適用。

索尼公司不久前經(jīng)歷了一次非常嚴(yán)重的黑客事件，其次世代主機(jī)PS3的核心密鑰被黑客攻破，直接威脅到其每年上億張正版游戲的銷售。21歲的新澤西黑客George Hotz，首次完整破解了PS3主機(jī)，他在網(wǎng)站上公布了代碼，并在YouTube上演示了越獄。索尼隨后采取了全面封殺的做法，該公司律師據(jù)稱向轉(zhuǎn)貼越獄方法的網(wǎng)站發(fā)出了大量DMCA刪除通知。

但是非常戲劇性的是，索尼公司主管PS3業(yè)務(wù)的一位高管在黑客“博友”的誘騙下，在自己的twitter賬戶上“銳推”了這串要命的代碼。事后該高管雖然火速刪掉了該微博，但早已經(jīng)被新聞媒體拷屏傳播，淪為業(yè)界笑談。在黑客的社交工程伎倆下，即使是信息技術(shù)行業(yè)的資深人士，也會(huì)不經(jīng)意間犯下大錯(cuò)：輕則泄露商業(yè)隱私，重則威脅公司生存。

移動(dòng)互聯(lián)網(wǎng)+社交網(wǎng)絡(luò)的普及，將過去碎片化的人際關(guān)系晶體粘合在一起，變成一塊塊通透的棱鏡，大多數(shù)的企業(yè)、甚至政府機(jī)構(gòu)都即將或者已經(jīng)成為“赤裸公司”。在實(shí)時(shí)的，無所不在的信息共享模式下，越來越多的企業(yè)發(fā)現(xiàn)，花錢購(gòu)置并部署昂貴的安全系統(tǒng)并不能在云時(shí)代換來安全保障，社會(huì)化媒體以及公共云計(jì)算的使用者——每一位員工，才是如今信息安全治理的問題核心。

越來越多的企業(yè)發(fā)現(xiàn)，防火墻、入侵檢測(cè)及防御或者安全加密并不能確保他們的關(guān)鍵系統(tǒng)和數(shù)據(jù)，他們中有些人甚至?xí)J(rèn)為，這些技術(shù)控制純粹是在浪費(fèi)金錢。

云計(jì)算時(shí)代網(wǎng)絡(luò)接入點(diǎn)無處不在，只要有進(jìn)入系統(tǒng)的權(quán)限，人們可以在任何時(shí)間，任何地方自由地獲取、處理和分享各類機(jī)密的商業(yè)數(shù)據(jù)。

【編輯推薦】

1. 淺析云計(jì)算的安全性
2. 云計(jì)算的風(fēng)險(xiǎn)大于其收益
3. 現(xiàn)代云計(jì)算安全企業(yè)應(yīng)更看重什么