勒索軟件,應用程序和公共雲:無雲教訓

發布日期:2017-09-29首頁 > 安全資(zī)訊

8677-1F92Q40051Z8.jpg

今年五月,勒索軟件WannaCry發動了一(yī)場大(dà)規模攻擊,在150個國家癱瘓了約30萬台電(diàn)腦,其中(zhōng)包括英國各地的公立醫院,西班牙電(diàn)信供應商(shāng)Telefonica公司,以及其他的受害者。

  在這一(yī)輪攻擊事件中(zhōng),WannaCry病毒造成嚴重破壞,但是像Microsoft Azure,Amazon的AWS,IBM和Rackspace這樣的大(dà)型公共雲提供商(shāng),以及采用智能管理的中(zhōng)型公共雲提供商(shāng)沒有受到太大(dà)的影響。

  這是一(yī)個違反直覺的教訓,黑客沒有對主要的廠商(shāng)造成更大(dà)的影響。公共雲提供商(shāng)的經驗應該放(fàng)棄雲計算不安全的這種觀念。 WannaCry的爆發就是一(yī)個令人信服的論據,雲平台實際上是網絡飓風中(zhōng)最安全的地方。企業内部的信息技術部門根據自己的内部調查,受到很大(dà)的影響,提出了一(yī)個合理的問題:爲什麽一(yī)些組織不将寶貴的資(zī)源投入到雲計算。

  通常情況下(xià),企業的業務和數據在雲計算中(zhōng)比數據中(zhōng)心更安全。雲計算将提供經過時間考驗的工(gōng)具,程序和技術的指标,确保持續的正常運行時間,定期備份,數據冗餘,數據加密,防病毒/反惡意軟件部署,多個防火(huǒ)牆,入侵防禦和全天候的監控。

  如今,雲安全并不像過去(qù)那樣,雲計算日益成熟,并更加複雜(zá)。現在在防範攻擊方面都比以前好得多,當然惡意軟件也在不斷發展和進步。雲遷移的一(yī)些方面在安全方面會面臨挑戰。IT社區的供應商(shāng)和其他成員(yuán)已經引起了對雲安全性的誤解,這并不是爲了阻止遷移,而是爲了進行控制。而這種恐懼會加劇人們的困惑和對數據中(zhōng)心的依賴。

  安裝數據丢失保護(DLP)是至關重要的,這是确定是否發生(shēng)違規的标準軟件方法,但DLP并不是靈丹妙藥,隻能監控一(yī)部分(fēn)違規行爲。

  然而,企業還要是有備無患。要想真正從數據洩露中(zhōng)恢複,通過實施快照技術,IDPS(入侵檢測和預防系統)以及違反通知(zhī)政策,采取行動更爲重要。

  每個中(zhōng)小(xiǎo)企業都将戰略重點放(fàng)在安全防護上,并采用集群防火(huǒ)牆和IDPS等技術。在雲端的初期階段,雲端托管服務提供商(shāng)宣稱能夠提供可擴展性,初始成本節省和速度。但是,在增強雲安全性的前景方面并非如此。,實際上,更好的雲部署現在意味着數據在雲中(zhōng)比在傳統的數據中(zhōng)心更安全。評估雲計算服務提供商(shāng)的組織現在可以找到那些安全控制減輕遷移到雲端風險的組織。越來越多的業務面臨着處理過時的存儲模式,以及查找滿足他們需求的經濟、實用、安全的解決方案的挑戰。

  在考慮遷移到雲計算托管時,請檢查提供商(shāng)的安全控制的審核。尋找那些已通過SSAE(認證參與标準)16号II型審計的提供商(shāng),這是托管公司最嚴格的審計标準之一(yī)。審計确認了雲托管公司可實現的最高水平的服務和可靠性。要符合SSAE标準,托管服務提供商(shāng)應提供SSL功能,企業級應用級别保護,硬件防火(huǒ)牆,受IP限制的FTP,14天保留的管理備份,高級監控和多級入侵防護。

  雲計算已成爲一(yī)種颠覆的力量,将打破專業人士的獨家領域。用戶現在可以部署自己的應用程序并管理自己的安全,而不是專業技術人員(yuán),他們越來越希望将雲托管計算作爲保持經濟高效的24×7支持的首選方式。

  市場現在充斥着IaaS工(gōng)具和技術,使可能缺乏傳統IT資(zī)源的企業仍然受益于非常強大(dà)的産品和平台。精明的虛拟化提供商(shāng)已經爲一(yī)些企業做出了巨大(dà)的舉措,他們可以自行部署解決方案。這類供應商(shāng)知(zhī)道應用置身事外(wài)。從數據管理的角度來看,服務器和預制安裝包有效地取代了技術專業人員(yuán),主要是讓供應商(shāng)處于觀望狀态,這對企業主來說是有着巨大(dà)的利益,也是對提高投資(zī)回報率的巨大(dà)飛躍。

  雲計算可能比以往更加容易得到應用,但它并不是免費(fèi)的。然而,計算功率最終是虛拟化的,或者更合适的是虛拟化。企業完全有能力每月花費(fèi)上萬美元挖掘出足夠的計算能力來推動一(yī)個擁有1000個用戶的組織(無論規模如何,原則上都适用),這比雇傭一(yī)個工(gōng)程師的成本還低。對于那些在大(dà)型機構進行登錄的用戶來說,沒有供應商(shāng),其前景是不可想象的。無論如何,這是傳統的智慧,但是市場已經向下(xià)擴展,這通常不包括信息技術專業人員(yuán)所涉及的企業。