如今，世界各地的組織正在收集、存儲(chǔ)和管理不斷增加的數(shù)據(jù)。許多人決定將這些數(shù)據(jù)存儲(chǔ)在云中，因?yàn)閷?shù)據(jù)保存在自己的數(shù)據(jù)中心是不可持續(xù)的。但隨后發(fā)生了難以想象的事情，很多組織從黑客那里收到贖金郵件，通知他們已經(jīng)掌握了云中組織數(shù)據(jù)的控制權(quán)，并且要求為他們的數(shù)據(jù)支付大量贖金。那么該怎么辦?

首先，需要向其他具有豐富公共經(jīng)驗(yàn)的企業(yè)學(xué)習(xí)。例如，如果Uber公司在2016年為其數(shù)據(jù)泄露支付了贖金，并希望永遠(yuǎn)不會(huì)出現(xiàn)攻擊的話，那么這將會(huì)導(dǎo)致客戶失去信任。此外，它可能會(huì)公開(kāi)展示一個(gè)漏洞，并吸引其他黑客試圖攻擊實(shí)施另一次劫持。不幸的是，對(duì)于Uber公司而言，這次網(wǎng)絡(luò)襲擊事件于2017年底公開(kāi)，他們現(xiàn)在面臨憤怒的客戶、利益相關(guān)者和監(jiān)管機(jī)構(gòu)的質(zhì)疑和批評(píng)。他們將如何處理?組織可以做些什么來(lái)防止這種大規(guī)模的數(shù)據(jù)泄露事件發(fā)生?

[[241728]]

企業(yè)需要做的最重要的事情之一就是要及時(shí)了解他們面臨的各種威脅。人們正處于IT環(huán)境正在經(jīng)歷戲劇性數(shù)字化轉(zhuǎn)型的時(shí)代，傳統(tǒng)基礎(chǔ)設(shè)施被現(xiàn)代基于云計(jì)算的解決方案所取代。隨著云計(jì)算解決方案的日益普及，一種新型的企業(yè)安全威脅正在出現(xiàn)，它依賴于勒索軟件的浪潮：它被稱為“泄漏的云存儲(chǔ)桶”。

什么是泄漏的云存儲(chǔ)桶?

當(dāng)數(shù)據(jù)暴露在公共云上時(shí)，通常是由于存儲(chǔ)桶配置錯(cuò)誤導(dǎo)致的，它被稱為泄漏的云存儲(chǔ)桶事件。

每個(gè)公共云存儲(chǔ)服務(wù)都提供存儲(chǔ)桶，這是AWS為存儲(chǔ)云上數(shù)據(jù)對(duì)象的存儲(chǔ)庫(kù)創(chuàng)造的術(shù)語(yǔ)(Azure稱他們?yōu)?blob')。企業(yè)客戶能夠以他們選擇的任何方式配置存儲(chǔ)桶，其中包括維護(hù)存儲(chǔ)桶的區(qū)域，存儲(chǔ)桶中對(duì)象的生命周期規(guī)則，一般訪問(wèn)權(quán)限等等。

在過(guò)去的一年里，出現(xiàn)了一系列此類事件，這些事件困擾著很多組織，如Uber、Verizon、Viacom、道瓊斯，甚至美國(guó)的軍事組織。

那么誰(shuí)應(yīng)該受到責(zé)備?是客戶、云計(jì)算提供商、存儲(chǔ)供應(yīng)商還是黑客?事實(shí)證明，問(wèn)題的根本原因不在于涉及的云計(jì)算提供商，無(wú)論是AWS、Microsoft、IBM還是Google，還有企業(yè)管理員正在配置和使用這些存儲(chǔ)桶的方式。最終，大多數(shù)情況都可以解決用戶錯(cuò)誤的原始問(wèn)題。

這真的很令人驚訝嗎?讓人們不要忘記，調(diào)研機(jī)構(gòu)Gartner公司預(yù)測(cè)95%的云計(jì)算安全故障將是客戶的錯(cuò)。

IT行業(yè)人士通常都知道用戶或管理員的錯(cuò)誤一直困擾著IT組織。這是泄漏的云存儲(chǔ)桶面臨的情況。

這些存儲(chǔ)桶有兩個(gè)主要屬性不應(yīng)忽略。首先，云存儲(chǔ)和存儲(chǔ)桶是駐留在私有云和防火墻邊界之外的共享服務(wù)。其次，云存儲(chǔ)桶基于對(duì)象存儲(chǔ)，它不會(huì)強(qiáng)制組織多年來(lái)使用的文件系統(tǒng)訪問(wèn)控制列表(ACL)來(lái)定義文件級(jí)粒度權(quán)限。

與傳統(tǒng)IT或傳統(tǒng)存儲(chǔ)的數(shù)十年企業(yè)IT體驗(yàn)相比，云計(jì)算存儲(chǔ)管理的固有缺點(diǎn)加上云存儲(chǔ)管理的不成熟，導(dǎo)致存儲(chǔ)的數(shù)據(jù)沒(méi)有得到保護(hù)，可能成為黑客的獵物，而黑客經(jīng)常運(yùn)行掃描搜索下一個(gè)受害者。

該怎么做才能避免泄漏云存儲(chǔ)桶?

幸運(yùn)的是，有一些簡(jiǎn)單的預(yù)防措施可以確保數(shù)據(jù)在組織的邊界內(nèi)得到保護(hù)：

(1)加密數(shù)據(jù)并將鑰匙放在口袋里

如果IT人員遵循一個(gè)簡(jiǎn)單的規(guī)則：如果企業(yè)的數(shù)據(jù)存儲(chǔ)在外部環(huán)境，則必須被加密，那么IT人員才能放心。正如沒(méi)有人在沒(méi)有VPN的情況下可以通過(guò)公共Wi-Fi訪問(wèn)敏感信息一樣，企業(yè)不應(yīng)該在沒(méi)有適當(dāng)加密的情況下使用公共云存儲(chǔ)。如果數(shù)據(jù)在空閑時(shí)加密，并且只有某些工作人員可以訪問(wèn)加密密鑰，則無(wú)需擔(dān)心存儲(chǔ)桶是否泄露：加密數(shù)據(jù)對(duì)任何未授權(quán)的用戶都是無(wú)用的。這是一種至關(guān)重要的保險(xiǎn)措施，可以防止有一天發(fā)生錯(cuò)誤的概率，無(wú)論其大小如何。

(2)管理訪問(wèn)權(quán)限

使用多層訪問(wèn)控制系統(tǒng)，該系統(tǒng)從存儲(chǔ)桶本身的訪問(wèn)權(quán)限一直到相關(guān)工作負(fù)載的文件級(jí)別，保留權(quán)限并將它們連接到中央目錄身份驗(yàn)證系統(tǒng)。

(3)投資數(shù)據(jù)丟失預(yù)防(DLP)

利用DLP軟件監(jiān)控?cái)?shù)據(jù)訪問(wèn)模式，并找出可以檢測(cè)數(shù)據(jù)泄漏的偏差。這些工具還可以阻止策略違規(guī)，從而可以阻止用戶在企業(yè)的防護(hù)措施之外發(fā)送敏感數(shù)據(jù)。

(4)鎖定端點(diǎn)和辦公室

使用企業(yè)移動(dòng)管理(EMM ) 移動(dòng)設(shè)備管理(MDM)工具消除影子IT，在企業(yè)提供的和BYOD設(shè)備中創(chuàng)建安全的生產(chǎn)力空間。

(5)定期滲透測(cè)試

在向網(wǎng)絡(luò)添加新基礎(chǔ)設(shè)施(例如云存儲(chǔ))時(shí)，滲透測(cè)試至關(guān)重要。但是，這種優(yōu)良的作法是定期進(jìn)行測(cè)試以評(píng)估組織的安全狀況，并確保不會(huì)出現(xiàn)新的泄漏。

所有這些措施都應(yīng)該成為所有組織隱私議程的首要任務(wù)，只有這樣，他們才有機(jī)會(huì)保護(hù)自己免受許多泄漏的云存儲(chǔ)桶受害者所遭受的命運(yùn)。