云计算—人是企业安全最大的漏洞
云计算最典型的大众应用无疑是社交网络,当今最火爆的网络服务如国外有Youtube、Facebook、Twitter、Flickr等,国内有微博、开心网、优酷等。由于社交网络以人际关系为纽带,以实时共享和互动为核心,彻底改变了传统互联网信息广播的单向结构,为黑客实施社会工程学犯罪、乃至商业机构之间的网络谍战提供了绝佳环境。例如,前不久奥巴马在白宫安全顾问的一再督促下,被迫宣布关闭其Youtube账户,奥巴马称Youtube对其隐私构成威胁。
如今,大型企业的员工也大多是社交网络的使用者,这为黑客“人肉”特定企业的员工提供了新的渠道。RSA2011大会上,反黑客专家一致认为黑客已经开始把目光转向大型企业员工,与会专家称之为高级持续性攻击模式,黑客通过企业员工进入企业内部网络,即使企业有再多的防护也没有用。例如黑客曾经给欧盟网络的一名员工的电脑中植入木马,顺利攻陷欧盟27个国家的碳排放交易网络,黑客从中窃取了两千多万欧元交易额,其中捷克损失1870万欧元,奥地利损失700多万欧元。
可以看到,信息安全的成功,对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。云计算的滔天大浪从未像今天这般迫近,那些呆在海边日光浴的企业必须采取有效行动来自我救赎。
云计算本身的安全更多要依靠大型的云计算提供商以及技术合作商,即使大型组织和行业企业开始拥有私有云,但核心的安全技术还是依赖于平台提供商(自从2011年微软的云计算爆出安全漏洞以来,云安全本身也并非万无一失。)
对于企业来说,云安全和终端安全方案的保护伞只能避免“天灾”,但是“人祸”依然是阿喀琉斯之踵。没有布拉德利-曼宁的里应外合,就没有WikiLeaks的“辉煌”;没有针对特定工厂员工的“社会工程学”行动,就不会有“震网蠕虫病毒”(Stunext)的辉煌战果。
云计算服务—随处可见的“裸体公司”
云通讯、云邮件、云存储、云程序等云计算服务,将伴随移动设备的蜂拥而至如狂涛骇浪般冲击企业IT信息安全管理系统,企业内网的“马其顿防线”正在被推倒,传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战。每一位CIO和企业信息安全专家,无论所在企业是否主动拥抱云计算,都将面临前所未有的考验:企业围墙已经被推倒,单纯依赖信息安全技术的传统思路不再适用。
索尼公司不久前经历了一次非常严重的黑客事件,其次世代主机PS3的核心密钥被黑客攻破,直接威胁到其每年上亿张正版游戏的销售。21岁的新泽西黑客George Hotz,首次完整破解了PS3主机,他在网站上公布了代码,并在YouTube上演示了越狱。索尼随后采取了全面封杀的做法,该公司律师据称向转贴越狱方法的网站发出了大量DMCA删除通知。
但是非常戏剧性的是,索尼公司主管PS3业务的一位高管在黑客“博友”的诱骗下,在自己的twitter账户上“锐推”了这串要命的代码。事后该高管虽然火速删掉了该微博,但早已经被新闻媒体拷屏传播,沦为业界笑谈。在黑客的社交工程伎俩下,即使是信息技术行业的资深人士,也会不经意间犯下大错:轻则泄露商业隐私,重则威胁公司生存。
移动互联网+社交网络的普及,将过去碎片化的人际关系晶体粘合在一起,变成一块块通透的棱镜,大多数的企业、甚至政府机构都即将或者已经成为“赤裸公司”。在实时的,无所不在的信息共享模式下,越来越多的企业发现,花钱购置并部署昂贵的安全系统并不能在云时代换来安全保障,社会化媒体以及公共云计算的使用者——每一位员工,才是如今信息安全治理的问题核心。
越来越多的企业发现,防火墙、入侵检测及防御或者安全加密并不能确保他们的关键系统和数据,他们中有些人甚至会认为,这些技术控制纯粹是在浪费金钱。
云计算时代网络接入点无处不在,只要有进入系统的权限,人们可以在任何时间,任何地方自由地获取、处理和分享各类机密的商业数据。
【编辑推荐】