日前,IBM发布了最新的2018年X-Force安全威胁报告《2018 IBM X-Force Threat Intelligence Index》。报告指出,在过去的2017年中,由企业自身员工的错误操作所导致的云服务器配置错误呈现出了424%的巨幅增长。而这些错误配置则为企业的云安全和云可靠性带来了巨大的威胁。不过该报告也表示,在过去的一年中,被记录在案的攻击行为总数降低了25%;而在已发生的攻击中,指向性更明确的勒索型攻击数量正在增加。
两项关键数据表明,2017年的云安全总体趋势持续向好。随着基础设施和各类软件工具的不断丰富,能够真正威胁到云安全的外部攻击总数正在减少。而与此相对应的,企业在关注外部威胁的同时应该花费更多的精力在内部人员的培训以及相应的流程机制建立上。当然,避免人工操作失误的最根本方法还是让云的配置和运维变得更简单、更人性、更智能。
企业员工成为云安全的巨大威胁?
毋庸置疑,相对于机器,人类操作显然是不够可靠的。
但2017年内,人工配置失误数量的历史性巨幅提升则是一个显著的信号。这表明,我们针对云所开发的各类新型基础架构和软件工具已经变得越来越复杂,以至于基础的配置操作也会变得困难重重。
其实,导致这一现象的根本原因无外乎三点:
1、 在整个云环境中,软硬件解决方案的来源过于分散、相互匹配的程度不高。操作人员经常需要在多个界面、多种环境中来回切换,最终导致配置错误或疏漏。
2、 工程师文化主导下开发的各类软硬件配置界面欠缺对人机工效的充分考虑,导致操作失误概率的提升。
3、 云的自动化管理和配置水平普遍不高。很多能够通过人工智能和其他自动化方法实现的操作仍旧需要人工来解决。
好在,企业级软硬件厂商之间的连横合纵正在加速:戴尔与EMC的合并,各类针对云部署而生的一体机、整机柜产品大量出现;这些现象都在让云解决方案的来源变得比过去更加集中。当然,这可能需要更长时间才能最终使云在整体可靠性上有所进步。
另一方面,越来越多IT解决方案提供商正在推出专业化的智能运维、一体化运维产品和服务。通过采购这些产品和服务,企业可以将现阶段仍旧复杂的运维工作进一步简化。而人工智能技术在相关领域的应用也让企业有更高级的手段在事后做到查漏补缺,将人工操作的失
可能性降及对应的风险至最低。
不过在配置界面的交互设计上,IT解决方案提供商近两年的进展却并不多。虽然包括微软、Oracle、HPE、戴尔等厂商在内的一些国际化企业在UI方面会有专门的团队进行研究和操刀,但目前数据中心及云服务的相关配置页面仍然难称优秀。而国内厂商在这方面的投入和关注则相对更少(这也是本土IT厂商目前普遍存在的一个短板)。
道高一尺,魔高一丈?
安全加密技术的应用越来越广泛,这也催生了更多更简单、更快速、更强壮的加密方法。但这些加密方法的广泛扩散也进一步促进了勒索型病毒的发展。WannaCry和Petya等勒索型病毒正是这样产生的。
过去,黑客通过攻击行为来窃取数据,然后再利用数据的变现来获得报酬;或者直接替雇主攻击竞争对手的系统来赚取佣金。但现在,黑客开始从幕后走到前台,通过直接加密被感染系统的文件来勒索赎金。
这些转变的背后都与加密技术的发展和扩散有关。一方面,黑客利用加密技术来锁定受害者的文件;另一方面,受害者为了解锁文件所支付的比特币赎金也因为强大的加密技术和去中心化流通而无从追查。
再者,由于企业对员工在云安全方面教育和培训不足,企业员工更容易受到病毒邮件和广告的诱惑,从而让整个云的安全机制被从内部瓦解掉。
虽然IBM在X-Force报告中明确表示了攻击行为总量的下降,但加密技术和勒索型病毒的出现却让黑客对系统的攻击行为变得更凌厉、更多样。正所谓道高一尺,魔高一丈。而在现有的员工安全素质下,如何有效的防御这种攻击也变得越来越困难。
云安全任重道远
安全是企业发展中的一个长久话题。
目前,在构建IT系统时,美国在系统安全方面的投资通常为整体投资额的20-25%,欧盟地区通常为15%,日本为8%,而中国在这方面的投资仅为1%。2017年,中国所有安全企业的总营收尚不及赛门铁克一家公司。
在这种东方与西方发展不平均、攻与防关注重点不一样、安全意识还没有被普遍建立的情况下,IT安全,尤其是云安全仍然任重道远。
【51CTO.com原创稿件】
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
