BetterCloud最近的一项调查发现,企业平均使用80个单独的第三方云应用程序来实现协作、通信、开发、管理合同和HR功能、授权签名以及支持处理和存储敏感数据的业务功能。这些类型的应用程序统称为SaaS(软件即服务)。
除此之外,企业组织还在公共平台(PaaS或平台即服务)和基础架构(IaaS或基础架构即服务)上部署应用程序和整个业务。数据显示,2020年有76%的企业在Amazon Web Server(AWS)上运行其应用程序,而63%的企业在Microsoft Azure上运行其应用程序。
Capital One顾问兼前CISOMichael Johnson表示,这些公共云服务都是必要且高效的,甚至有望比传统数据中心提供更安全的环境。但是,它们也为这些正在云中存储和处理的敏感数据带来了独特的风险,其中大多数风险都是由于用户在设置和管理这些服务时操作错误造成的。
据悉,Johnson曾在2019年的一次公开事件中参与指导Capital One公司完成响应过程,该事件当时暴露了8000万个人记录。在这起事件中,攻击者正是利用了配置不当的第三方云环境。好在Johnson及其团队及时遏制了这一漏洞,并借助强大的响应计划,与董事会和执行团队的透明性,以及与执法部门之间的既有关系,成功实现在数据被利用之前将数据窃取者抓捕归案。
制定响应计划以应对在云中放置敏感数据的风险,这应该是任何云安全策略必不可少的一部分。想要针对公共云环境部署数据保护策略,重要的是要知道如何暴露或窃取来自公共第三方服务的数据。
根据云安全联盟(CSA)的年度威胁报告指出,第三方云服务中的数据泄漏主要是由于配置错误和变更控制不充分(例如过多的权限、默认凭据、配置不正确的AWS S3存储桶以及禁用的云安全控制)造成的。而缺乏云安全策略或体系结构正是造成数据泄露的第二个最常见的原因,其次是身份和密钥管理不足,随后还有内部威胁、不安全的API、结构故障以及对云活动和安全控制的有限可见性等等。
云安全联盟CEO Jim Reavis表示:
“由于远程工作需要,SaaS在2021年已经成为我们的重要关注点。我们看到公有云采用率出现了惊人的增长,但是忙乱中,组织却忘记了将边缘网络保护到云中。例如,人们正在跨多个云服务重用其凭据,因此现在凭据填充攻击正在增加。” |
McAfee的一项调查显示,到2020年5月,思科WebEx的使用率增加了600%,Zoom增长了350%,Microsoft Teams增长了300%,Slack增长了200%。在最初匆忙开展远程工作时,Reavis就指出了许多可能导致数据泄露的问题:IT团队并未保护云中的存储桶,未实施安全的开发人员实践或协调身份和访问程序。如今,网络犯罪分子甚至已经在存储库中发现了一些硬编码的应用程序凭据。可怕的是,这些明明都是一些非常基础的东西。
专家建议,遵循下述3个最佳实践将显著降低在云中存储或处理数据的风险:
为大中型公司提供咨询的CISO Ian Poynter建议,应对云中数据威胁的最佳方法,是在任何涉及公共云服务的新计划的规划阶段,将云应用程序纳入控制并进行风险评估。CISO之间的共识是,用户的云实例并非都是获得授权的,而且很少针对公开数据进行有效地监控。这也是CISO需要成为执行团队成员的原因所在。他们需要这个权限去了解正在发生的事情,并且还要一个协作环境,在这样的环境中,业务经理能够直接与他们进行沟通,共享其正在运行的新项目或产品,然后让他们对其中涉及的云产品进行评估。
就一家公司而言,CISO甚至可以向财务发出警告,告知其哪些第三方云应用程序和平台可以报销。如果业务部门或个人用户在未经事先批准的情况下购买了报销范围以外的产品,则可以直接拒绝他们的报销申请。
这是强制执行云应用程序白名单的手动方式,但无疑也是有效的方式。云应用程序白名单和黑名单通常也是部署在公司控制的端点上,或通过零信任技术(例如浏览器隔离)来控制用户、企业和云应用程序之间的远程会话的强大技术控制。
Johnson建议,在组织已标准化的成熟云服务和应用程序中利用云原生安全产品。例如,应用AWS Inspector评估正在使用的应用程序的配置合规性,以及应用Amazon GuardDuty来检测恶意活动和未经授权的行为。采购产品之前,企业组织需要竭尽所能地对云提供商的声誉进行尽职调查,并尽量避开一些小的提供商。越大的提供商通常会在数据保护和可见性控制方面做得更好。
服务模型之间的原生安全性会有所不同。IaaS和PaaS供应商为购买者在其基础架构或平台中升级的应用程序提供安全性和配置工具。这些一般是本地提供的或是通过第三方付费提供的。对于SaaS应用程序(例如DocuSign、Slack或Box)而言,安全性多数是原生的。例如,Microsoft 356为Exchange、SharePoint和Azure(以及其他安全产品)Active Directory提供高级审核。
通过研究Box公司的cloud enterprise,我们可以窥见出入第三方提供商的敏感数据的处理方式。Box管理着多个应用程序,以支持工作流程、数字合同、HR、Zoom会议、历史数据存储、HR加载和其他HR功能。用户通过Box Shuttle将Box连接到其他云服务(例如具有完整数据传输功能的Facebook Workplace)时,Box中便出现了云。
Box安全、隐私和合规性产品副总裁Alok Ojha表示,随着越来越多的应用程序在Box世界中兴起,面向用户的嵌入式安全性和合规性工具集将成为关键的差异化因素。Ojha引用内容云(Content Cloud)作为Box用户在不同工作流中实现一致安全性和可视性的地方,以查看应用程序中正在处理哪些文件和数据,以及谁在访问数据及出于什么目的。
另一个原生工具Box Shield也可以配置来查找和分类敏感数据,并对分类后的数据进行适当的控制,以降低内部人员和恶意软件威胁的风险,同时还可以了解与数据相关的法规要求,并确保对监管机构进行审核跟踪。此外,他还建议重新关注身份和访问管理(IAM),尤其是对外部用户和合作伙伴使用多因素身份认证,而不要再使用可重用的密码组合。
Titaniam数据保护公司创始人兼CEO Arti Raman警告称,不要过度依赖身份和访问控制来防止数据泄漏,同时控件还需要直接关注通过公共云进行交易并存储在公共云中的数据。但是,从端点到企业再到云的数据保护非常困难,并且必须具有足够的灵活性以跨越所有这些边界,以便在整个生命周期内保护数据。
Raman认为,在对数据进行索引、搜索、聚合、查询或以其他方式进行操作时,加密和数据保护应始终存在。这包括传统的加密技术以及新的可搜索技术,这些新技术是在其上使用传统加密来满足合规性标准。
最后,Box公司的Ojha补充道,数据终止(data kill)政策也很重要。根据企业和法规为数据设置的要求,最好可以自动删除不再需要在第三方应用程序和基础架构中存在的数据。[来源:FreeBuf]
【编辑推荐】安企神软件系统加密软件–企业文档图纸保密专家!防拷贝复制、防泄露泄密!轻松实现单位内部文件自动加密保护,加密后的文件在单位内部正常流转使用。
未经许可,任何私自拷贝加密文件外发出去,都将打开为乱码,无法使用!对于发送给客户等第三方的文件,可实现控制打开时间和打开次数等防泄密参数!同时可设置对员工电脑文件自动备份,防止恶意删除造成核心数据的遗失!从源头防止企业核心文件被外泄!
实操指南:如何监控聊天中的敏感信息?这款秘籍软件,轻松掌握微信聊天动态
电影《摩登时代》里,流水线工人就连在吃饭时都要用“自动喂食机”提高效率,这样才能挤出更多时间投入工作。虽然现在打工人不至于此,但有些老板仍然放心不下……像企业聊天记录往往蕴含着大量的敏感信息。为了确保信息安全,监控聊天中的敏感信息成为了一项必要且重要的工作。以下是一款秘籍软件,帮助你轻松掌握微信聊天动态,确保信息安全。...
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过
怎么监控员工上班情况?2024企业管理的四种方法,老板们不容错过员工上班在干什么?摸鱼?打游戏?老板该怎么管理?如何才能监视怎么监控员工上班情况?监控员工上班情况可以通过多种方式实现,但重要的是要确保这些措施既合法又合规,同时尊重员工的隐私权。以下是一些建议的方法:一、制定明确的行为规范与奖惩制度1、制定行为规范: 企...
怎么监控员工上班情况?快速监控员工状态
怎么监控员工上班情况?快速监控员工状态在企业管理中,如何有效监控员工上班情况,确保工作效率与团队协作,是每位老板都需面对的课题。本文为您揭秘五招快速监控员工状态的实用技巧,不仅能帮助您实时掌握员工动态,还能提升整体管理效率。作为老板,掌握这些技巧,将让您在企业管理中游刃有余,轻松应对各种挑战。一、使用安企神软件实时监控...
安企神桌管软件:提升企业管理效率的全能助力
安企神桌管软件:提升企业管理效率的全能助力在当今竞争激烈的商业环境中,企业必须不断优化管理和运营流程,以提高效率和盈利能力。安企神桌管软件正是这样一款面向中小企业的管理工具,能够帮助企业在多方面提升综合管理水平。本文将详细探讨安企神桌管软件给企业带来的多重价值。一、全方位的管理功能安企神桌管软件是一款集成了多种管理功能...
安企神:揭开终端安全管理软件的神秘面纱
安企神:揭开终端安全管理软件的神秘面纱在数字化日益普及的今天,企业的网络安全问题愈发显得重要。数据泄露、网络攻击等事件层出不穷,如何保障企业内部信息的安全性成为众多企业关心的焦点。安企神终端安全管理软件应运而生,作为一款专业的安全管理工具,它的功能与优势备受关注。本文将全面揭秘安企神软件的核心功能、应用场景及其在终端安...