對(duì)于企業(yè)CIO來說，是否上云已經(jīng)不是選擇題，而是通往數(shù)字化的必由之路。不過，隨著業(yè)務(wù)加速云化，一些企業(yè)的安全團(tuán)隊(duì)卻仍然停留在原有的思維定式，忽視了對(duì)新業(yè)務(wù)部署時(shí)的風(fēng)險(xiǎn)控制。事實(shí)上，云應(yīng)用和基礎(chǔ)架構(gòu)層面的數(shù)據(jù)泄露事件已經(jīng)發(fā)生多起，而且勒索病毒和其他各類惡意軟件的數(shù)量也在顯著增加。

在新冠肺炎疫情期間，許多企業(yè)都試圖加快采用云技術(shù)。“事實(shí)上，Gartner近期進(jìn)行的一項(xiàng)調(diào)查顯示，新冠肺炎疫情造成業(yè)務(wù)中斷之后，如今采用云服務(wù)的企業(yè)之中的近70%計(jì)劃增加在云技術(shù)方面的支出。”但是，由于目前90%的云工作負(fù)載均由Linux支持，而X-Frand報(bào)告表明，過去十年中與Linux相關(guān)的惡意軟件系列增加了500%，因此，云環(huán)境可能成為威脅源的主要攻擊媒介。

Vmware在一份調(diào)查中提到，越來越多的攻擊者正試圖繞過傳統(tǒng)安全解決方案。在分析的2000個(gè)攻擊樣本中，90%以上都出現(xiàn)了防御規(guī)避行為。勒索軟件在過去一年內(nèi)明顯復(fù)蘇，在占分析樣本95%的勒索軟件中，防御規(guī)避行為繼續(xù)發(fā)揮關(guān)鍵作用。這些勒索軟件重點(diǎn)攻擊能源、政府和制造業(yè)部門，表明勒索軟件的復(fù)蘇已成為地緣政治緊張局勢(shì)下的不良“副產(chǎn)品”。

這意味著，攻擊者正變得善于規(guī)避安全解決方案，攻擊質(zhì)量提升，而在指揮和控制方面變得更加隱秘，通用類的安全監(jiān)測(cè)很難察覺。同時(shí)，應(yīng)用層、協(xié)議級(jí)的攻擊正在成為主要威脅，攻擊者可以發(fā)起多維的向量攻擊。調(diào)查顯示，在DDoS保護(hù)服務(wù)遇到的攻擊中有86%以上使用了兩個(gè)或多個(gè)威脅媒介，其中8%包含五個(gè)或多個(gè)媒介。

LinkedIn曾經(jīng)做過一項(xiàng)調(diào)查：49%的CIO和企業(yè)認(rèn)為，影響他們上云的主要原因是擔(dān)心數(shù)據(jù)的丟失和泄漏，59%的人認(rèn)為，傳統(tǒng)的網(wǎng)絡(luò)安全工具在云端具有局限性。事實(shí)上，盡管當(dāng)前各廠商在設(shè)計(jì)架構(gòu)時(shí)更重視IaaS層的資源隔離，不過PaaS層和SaaS層仍儲(chǔ)存了大量的用戶數(shù)據(jù)。之所以出現(xiàn)這些問題，一方面是上云業(yè)務(wù)與原有IT架構(gòu)的安全組件集成度不夠，另一方面也是企業(yè)客戶過于追求成本效益，忽視了安全因素。

通常來說，云安全可以通過網(wǎng)狀的大量客戶端對(duì)網(wǎng)絡(luò)軟件行為進(jìn)行異常監(jiān)測(cè)，獲取互聯(lián)網(wǎng)中木馬、惡意程序的最新信息，推送到服務(wù)端進(jìn)行自動(dòng)分析和處理，再把病毒和木馬的解決方案分發(fā)到每一個(gè)客戶端。不過，隨著開放網(wǎng)絡(luò)和業(yè)務(wù)共享場(chǎng)景愈發(fā)多變，新型的攻擊方式也是不斷涌現(xiàn)。多云供應(yīng)、資源虛擬化、數(shù)據(jù)所有權(quán)分離等問題難以從根本上解決，更不用說云服務(wù)中包含了很多軟件應(yīng)用，更是暴露出潛在風(fēng)險(xiǎn)。

隨著開源惡意軟件的增加，IBM通過評(píng)估發(fā)現(xiàn)，攻擊者可能正在尋找提高利潤(rùn)率的方法，即他們可能會(huì)通過降低成本、提高效率、創(chuàng)造機(jī)會(huì)來發(fā)起收益更高的攻擊。該報(bào)告強(qiáng)調(diào)，多家威脅組織(如APT28、APT29和Carbanak)均轉(zhuǎn)向開源惡意軟件，這表明該趨勢(shì)會(huì)導(dǎo)致新一年出現(xiàn)更多云環(huán)境攻擊。

IBM X-Force威脅情報(bào)指數(shù)報(bào)告指出，攻擊者正在利用云環(huán)境提供的可擴(kuò)展處理能力，將大量云使用費(fèi)用轉(zhuǎn)嫁給受害企業(yè)。Intezer在2020年觀察到，超過13%的Linux加密挖掘惡意軟件中出現(xiàn)了從未被發(fā)現(xiàn)過的新代碼。

由于攻擊者的目標(biāo)鎖定在云上，所以，X-Force建議企業(yè)應(yīng)該考慮針對(duì)其安全策略采用零信任方法。企業(yè)還應(yīng)將保密計(jì)算作為其安全基礎(chǔ)設(shè)施的核心組件，以幫助保護(hù)最敏感的數(shù)據(jù)。通過對(duì)使用中的數(shù)據(jù)進(jìn)行加密，企業(yè)可以減少惡意攻擊者可利用的漏洞，確保即使他們能夠訪問企業(yè)的敏感環(huán)境，也會(huì)一無所獲。

對(duì)于云安全網(wǎng)關(guān)服務(wù)商或者風(fēng)控人士來說，要想在云安全領(lǐng)域分得一杯羹，或許可以從五個(gè)方面找到方法。

第一，對(duì)異常數(shù)據(jù)或欺詐活動(dòng)進(jìn)行監(jiān)測(cè)和攔截。一般來說，客戶代表對(duì)客戶信息的訪問在單位時(shí)間內(nèi)有數(shù)值波動(dòng)不大，如果突然出現(xiàn)爆發(fā)式的訪問或下載記錄，說活動(dòng)非?？梢?。此時(shí)，CSG解決方案提供商必須準(zhǔn)備必要的檢測(cè)和通知機(jī)制。

第二，檢測(cè)和防御固然重要，但相關(guān)人員更要知道“5W1H”，并為此做出可視化的深度分析報(bào)告。這樣一來，未經(jīng)驗(yàn)證的云程序可以提升其被預(yù)測(cè)性，在企業(yè)云遷移時(shí)加強(qiáng)安全風(fēng)控。

第三，在線工作平臺(tái)的流行加速了惡意軟件的傳播，用戶在上傳、分享、下載文件的過程中很難察覺到位于云存儲(chǔ)系統(tǒng)的插件，為黑客訪問敏感數(shù)據(jù)創(chuàng)造了便利條件。因此，CSG有必要在識(shí)別、隔離、消除惡意軟件方面多下功夫。

第四，保護(hù)好用戶的機(jī)密信息。數(shù)據(jù)泄露并非都是源于黑客竊取，一些不謹(jǐn)慎的員工在不經(jīng)意間會(huì)將企業(yè)數(shù)據(jù)丟失，其中涉及個(gè)人信息或者知識(shí)產(chǎn)權(quán)方面的文件。通常情況下，傳統(tǒng)預(yù)防措施(如DLP,Data leakage prevention)難以顧及云應(yīng)用與平臺(tái)之間數(shù)據(jù)遷移，使得CSG需要提供專門的云端DLP覆蓋能力。

第五，對(duì)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)加密。為數(shù)據(jù)“上鎖”的必要性在于，加大黑客售賣信息的難度，從而降低竊取動(dòng)機(jī)。事實(shí)上，企業(yè)主更喜歡采用第三方CSG的存儲(chǔ)和管理密鑰，并通過云平臺(tái)自帶的加密功能進(jìn)行過濾和防護(hù)。從某種程度上來說，這種外包的方式會(huì)帶來額外的時(shí)間和經(jīng)濟(jì)成本，因此企業(yè)內(nèi)部有能力解決往往更好。

體來說，云端數(shù)據(jù)遷移時(shí)先要打包整體的數(shù)據(jù)源，關(guān)注部分?jǐn)?shù)據(jù)可能會(huì)導(dǎo)致最終處理時(shí)失真。其次，數(shù)據(jù)遷移的對(duì)象范圍和規(guī)模要給出預(yù)估，充分利用邊緣化的存儲(chǔ)。再者，自動(dòng)化流程往往比人工干預(yù)要更有效率。涉及到具體的數(shù)據(jù)傳輸加密過程，可以結(jié)合客戶端/應(yīng)用加密、鏈路/網(wǎng)絡(luò)加密、代理加密三種模式。企業(yè)部署云計(jì)算不是一蹴而就，初期部署一些輕量化業(yè)務(wù)上云測(cè)試是必要的。除了要選擇熟悉的云服務(wù)商，還要實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)中心和云端業(yè)務(wù)的運(yùn)行情況，并且在出現(xiàn)問題時(shí)迅速?zèng)Q定投入哪些資源來抵御攻擊。