最近的研究數(shù)據(jù)紛至沓來。Thales 2022年全球云安全研究發(fā)現(xiàn)，在過去12個(gè)月中，有45%的企業(yè)經(jīng)歷了云數(shù)據(jù)泄露或未能進(jìn)行審計(jì)（希望這個(gè)數(shù)字可以細(xì)分）。如果您一直在關(guān)注這個(gè)領(lǐng)域，您會(huì)發(fā)現(xiàn)這與前一年只有5%的差距。是什么原因?qū)е铝诉@樣的情況呢？

總體而言，我們正面臨一系列問題：對(duì)云安全投資不足、對(duì)基于云平臺(tái)的重度依賴以及缺乏云安全人才。許多企業(yè)不得不雇傭資質(zhì)較低的專家，再加上惡意行為者利用生成式人工智能等新工具不斷升級(jí)，導(dǎo)致大部分企業(yè)無法妥善應(yīng)對(duì)新挑戰(zhàn)。

數(shù)據(jù)失控

其中一個(gè)更重要的擔(dān)憂是影子數(shù)據(jù)的增長(zhǎng)。影子數(shù)據(jù)是指在企業(yè)IT基礎(chǔ)設(shè)施內(nèi)創(chuàng)建、存儲(chǔ)或傳輸?shù)臄?shù)據(jù)，而企業(yè)IT部門沒有知情或控制權(quán)。這些數(shù)據(jù)通常存在于未經(jīng)批準(zhǔn)和監(jiān)控的系統(tǒng)之外，包括存儲(chǔ)在員工設(shè)備、云服務(wù)或其他未經(jīng)批準(zhǔn)和不知名的應(yīng)用程序上的數(shù)據(jù)。

如果您曾經(jīng)將包含敏感業(yè)務(wù)數(shù)據(jù)的文檔從企業(yè)云數(shù)據(jù)庫(kù)復(fù)制到一個(gè)便攜式存儲(chǔ)設(shè)備上以便在家里繼續(xù)工作，或者在出差前將一個(gè)基于SaaS的應(yīng)用程序中的客戶名單通過電子郵件發(fā)給自己，那么您正在使用影子數(shù)據(jù)。影子數(shù)據(jù)可能包含敏感或機(jī)密信息，其不受限制的性質(zhì)會(huì)對(duì)數(shù)據(jù)安全、合規(guī)性和治理性帶來風(fēng)險(xiǎn)。

這更多是一個(gè)培訓(xùn)問題，而不是云安全問題。您可以對(duì)使用這些數(shù)據(jù)設(shè)置所有限制，甚至監(jiān)控使用情況，但歸根結(jié)底，如果數(shù)據(jù)可以在屏幕上看到，就有可能變成不安全的影子數(shù)據(jù)。

IT安全專業(yè)人員習(xí)慣于通過工具和技術(shù)來解決這個(gè)問題，但這可能會(huì)給人一種虛假的安全感。我們需要一場(chǎng)關(guān)于如何處理數(shù)據(jù)的培訓(xùn)，而IT部門可能認(rèn)為這是其他部門的問題。通常這個(gè)責(zé)任被推給了人力資源部門，這就使得問題很少得到解決。

配置錯(cuò)誤

配置問題通常是云數(shù)據(jù)最重要的風(fēng)險(xiǎn)，也是最容易被忽視的。給我一個(gè)數(shù)據(jù)泄露事件，我會(huì)告訴你是哪些愚蠢的事情導(dǎo)致了它的發(fā)生。最近有一個(gè)大型汽車制造商由于云存儲(chǔ)系統(tǒng)的配置錯(cuò)誤，導(dǎo)致超過兩百萬客戶數(shù)據(jù)被暴露。

正確配置的安全系統(tǒng)很少會(huì)被繞過以獲取數(shù)據(jù)訪問權(quán)限。通常情況下，存儲(chǔ)系統(tǒng)沒有得到保護(hù)或數(shù)據(jù)庫(kù)需要更多加密措施。在為基于云的系統(tǒng)和數(shù)據(jù)存儲(chǔ)配置安全性時(shí)，有人并不完全了解他們所做的事情，這與我之前提到的人才短缺有關(guān)。如果我們?cè)馐芰舜笠?guī)模損失，往往會(huì)以這種方式發(fā)生。

其他威脅

我們還面臨著新興的威脅，例如不太安全的API。如果您在基于云的平臺(tái)上構(gòu)建和部署應(yīng)用，API是您工作中的主要驅(qū)動(dòng)力。API不僅由云供應(yīng)商提供，還內(nèi)置在業(yè)務(wù)應(yīng)用程序中。它們提供了對(duì)業(yè)務(wù)數(shù)據(jù)的開放訪問點(diǎn)，并常常被作為“鑰匙”留下。

其他新興威脅包括使用生成式AI系統(tǒng)來偽造信息。正如我在這里所提到的，這些受AI驅(qū)動(dòng)的攻擊正在發(fā)生。隨著惡意行為者在利用AI系統(tǒng)方面變得更加熟練（通常通過免費(fèi)云服務(wù)），我們將看到可以繞過最復(fù)雜安全系統(tǒng)的自動(dòng)化攻擊。要防御這些新穎的攻擊方式將會(huì)很困難。

事實(shí)上，利用生成式人工智能按需創(chuàng)建惡意應(yīng)用程序代碼，僅憑可以生成和啟動(dòng)的攻擊軟件系統(tǒng)數(shù)量之多，攻擊成功只是時(shí)間問題。況且，大多數(shù)企業(yè)IT領(lǐng)導(dǎo)者無法以與攻擊者相同的速度升級(jí)自己的防御能力。

我們能做些什么？

要解決這個(gè)問題，云安全負(fù)責(zé)人需要采取一些行動(dòng)。建立一個(gè)更安全的云平臺(tái)的最佳途徑是打牢基礎(chǔ)。這意味著采用零信任安全策略和最佳云安全工具。通過這樣做，您將建立起更好的防御體系，使其他企業(yè)變得更具吸引力，從而減少成為攻擊目標(biāo)的可能性。這就像放置了一個(gè)更牢固的鎖，使得別人更愿意去盜竊沒有鎖的摩托車。

解決如此嚴(yán)重的漏洞需要整個(gè)公司共同努力，提升員工對(duì)云安全的認(rèn)知。我認(rèn)為有兩個(gè)關(guān)鍵領(lǐng)域：首先，從銷售主管到行政助理等普通用戶必須改進(jìn)安全實(shí)踐。他們需要接受培訓(xùn)和治理，并對(duì)違反合規(guī)性使用數(shù)據(jù)負(fù)責(zé)任。

其次是提升企業(yè)雇用的安全人才水平。這意味著為招聘最優(yōu)秀的安全專家提供薪資支持，并支付持續(xù)培訓(xùn)費(fèi)用，并優(yōu)先考慮參加培訓(xùn)所需時(shí)間。我經(jīng)常聽到缺乏培訓(xùn)演習(xí)的故事，因?yàn)榘踩藛T不得不應(yīng)對(duì)突發(fā)事件。請(qǐng)猜猜為什么這些突發(fā)事件會(huì)發(fā)生？如果您認(rèn)為是缺乏培訓(xùn)，那您就走對(duì)了路。