對(duì)于云計(jì)算中的數(shù)據(jù)，最主要的風(fēng)險(xiǎn)通常在于外部攻擊者可利用的漏洞，但安全團(tuán)隊(duì)認(rèn)為來(lái)自其內(nèi)部企業(yè)的威脅同樣可怕。

提起內(nèi)部人員威脅這個(gè)關(guān)鍵詞，可能大家都會(huì)想起斯諾登事件，即內(nèi)部人員公開(kāi)數(shù)據(jù)給媒體而引起廣泛關(guān)注?，F(xiàn)實(shí)情況是，類似于斯諾登事件還只是冰山一角，內(nèi)部威脅可能是因?yàn)榇中牡膯T工或者惡意內(nèi)部人員試圖謀取個(gè)人利益。在過(guò)去一年中雖然只有17%的安全專業(yè)人士知道其企業(yè)內(nèi)的內(nèi)部人員威脅，但Skyhigh最新云部署和風(fēng)險(xiǎn)報(bào)告的數(shù)據(jù)顯示，85%的企業(yè)存在異?；顒?dòng)可能意味著內(nèi)部威脅。

[[127125]]

云計(jì)算極大地?cái)U(kuò)展了企業(yè)的內(nèi)部威脅的范圍，云計(jì)算應(yīng)用程序的數(shù)量之多(超過(guò)8000)以及不成熟的審計(jì)和管理控制，導(dǎo)致企業(yè)對(duì)這些應(yīng)用程序缺乏可視性和管理。

下面讓我們來(lái)看看云計(jì)算內(nèi)部威脅的一些可怕情況：

1、銷售人員跳槽

在最常見(jiàn)的內(nèi)部威脅情況中，銷售代表離開(kāi)公司，帶著銷售線索去競(jìng)爭(zhēng)對(duì)手公司。在各行各業(yè)，這種情況都很普遍，特別是在競(jìng)爭(zhēng)激烈的市場(chǎng)。并且，竊取銷售線索很難被發(fā)現(xiàn)。

與物理地竊取信息相比，云計(jì)算服務(wù)讓這種事情更加無(wú)法察覺(jué)。銷售團(tuán)隊(duì)提供了大量銷售線索以供員工訪問(wèn)，而且員工只需輕松點(diǎn)擊按鈕即可獲取。在允許數(shù)千名銷售人員登錄的企業(yè)，面臨的挑戰(zhàn)是在日?；顒?dòng)中發(fā)現(xiàn)異常情況。

2、當(dāng)管理員成為內(nèi)部威脅

企業(yè)各級(jí)員工都依賴于云服務(wù)來(lái)完成他們的工作，包括C級(jí)管理人員。然而，特權(quán)用戶有著獨(dú)特的權(quán)力：對(duì)存儲(chǔ)在云服務(wù)中的數(shù)據(jù)的管理訪問(wèn)權(quán)限。

有些大型科技公司擔(dān)心內(nèi)部管理員對(duì)CRM軟件的操作權(quán)限。這些管理員負(fù)責(zé)管理用戶的權(quán)限和安全政策。與此同時(shí)，他們可以訪問(wèn)云服務(wù)中的業(yè)務(wù)數(shù)據(jù)，這可能構(gòu)成安全風(fēng)險(xiǎn)。又如：云計(jì)算存儲(chǔ)服務(wù)的管理員可以訪問(wèn)僅高管可查看的財(cái)務(wù)預(yù)測(cè)，以及機(jī)密信息。

3、來(lái)自內(nèi)部的危險(xiǎn)

內(nèi)部人員威脅通常指的是企業(yè)員工，但云服務(wù)提供商的員工也可能從內(nèi)部滲出數(shù)據(jù)。例如，云服務(wù)由人力資源部?jī)?nèi)部使用，云服務(wù)提供商的員工而言訪問(wèn)該服務(wù)中托管的機(jī)密企業(yè)數(shù)據(jù)。根據(jù)用戶協(xié)議，云服務(wù)提供商可能甚至不需要為丟失數(shù)據(jù)負(fù)責(zé)。這種情況說(shuō)明企業(yè)云使用必須包含一定水平的安全控制，來(lái)同時(shí)抵御外部和內(nèi)部威脅。

4、數(shù)據(jù)與第三方分享

云服務(wù)可實(shí)現(xiàn)全球協(xié)作，但這也意味著數(shù)據(jù)可能傳輸?shù)讲粦?yīng)該出現(xiàn)的地方。例如，某公司的開(kāi)發(fā)人員外包自己的工作給中國(guó)同行，他付給中國(guó)工人錢來(lái)完成他的工作，并保持自己的利潤(rùn)率。先不談合法性，這種創(chuàng)造性的做法讓其雇主可能面臨安全風(fēng)險(xiǎn)，因?yàn)槠髽I(yè)數(shù)據(jù)被與第三方公開(kāi)共享。

5、黑幕服務(wù)

違反企業(yè)云計(jì)算使用政策構(gòu)成另一種內(nèi)部威脅類型，這可能包括不正當(dāng)使用Facebook到非法文件共享。在更糟糕的情況中，員工上傳數(shù)據(jù)到開(kāi)發(fā)網(wǎng)站，例如CodeHaus，該網(wǎng)站在其用戶協(xié)議條款中確定了上傳知識(shí)產(chǎn)權(quán)的所有權(quán)。發(fā)送數(shù)據(jù)到這些服務(wù)可能會(huì)產(chǎn)生法律后果，如果敏感知識(shí)產(chǎn)權(quán)信息被泄露，甚至可能會(huì)傷害到企業(yè)。

6、好心辦壞事

并不是所有內(nèi)部威脅都來(lái)自于惡意肇事者。企業(yè)中豐富的消費(fèi)級(jí)應(yīng)用程序讓員工可能無(wú)意地泄露數(shù)據(jù)。在某個(gè)金融服務(wù)機(jī)構(gòu)的倒霉的員工意外上傳敏感數(shù)據(jù)到Facebook，這絕對(duì)要比在社交媒體“過(guò)度分享”更嚴(yán)重 。

原文鏈接：http://security.zdnet.com.cn/security_zone/2015/0202/3045599.shtml