趋势科技凭藉深厚IR底蕴,助企业整理混合云网安要领
- 郑茨云/台北
-
近年网安议题愈来愈火热,系因网络犯罪集团的商业模式进化,以及新兴科技催化数码转型快速发展,导致网安情势日渐险峻。且由于云端是数码转型所使用新兴技术的重要载具,使得混合云成为企业无可回避的必经之路,凸显云地混合环境的网安课题至关重要。
趋势科技台湾暨香港区总经理洪伟淦于9月25日至9月26日由DIGITIMES所举办的网安峰会中表示,早年不少企业因担心安全问题,以致对上云多所迟疑,如今这个刻板印象逐渐被打破。但上云仍会有网安风险,好比大家都认同将钱存在银行、会比自行保管更安全,但若疏于保护存摺、印章与帐密,可能导致犯罪者把你的财富提领一空。
因此他提醒企业,应该先理解云端网安事故的潜在成因,才能知所防范。而趋势科技在2012年成立网安事故应变(IR)团队,至今在台湾累计处理逾千件事故,近年亦参与愈来愈多的混合云网安事故,据统计30%源自设定错误、30%肇因于特权帐号滥用、28%是因为恶意程序在云端和地端之间横向挪移,另27%则起因于漏洞未修补所致。
谈到云端安全,基本上可观察三个面向,包含云地混合环境之间的Infrastructure安全设置、是否评估SaaS工具的安全性,以及是否落实DevSecOps。这三个部分都很重要,缺一不可。
以Infrastructure而论,近年趋势科技IR团队所接触的案例相当多,且个中情节不尽一致。第一种为「只打云」情境,多数是因为没做好基本功,如未实施多因子认证,造成云端管理者的帐密遭暴力破解。
第二种为「黑客在GitHub上找到公司的Access Key」情境,因为在云端可以快速配置与复制,能透过IaC程序化方式来部署大量VM,另考量需要与其他系统对接,故十分倚赖API Access Key;但有许多开发者便宜行事、将Access Key直接Hardcode在程序内,还把程序放上GitHub,因而被黑客掌握相关Credential,擅自生成众多VM用以训练LLM,导致企业蒙受极大财务损失。
除上述纯云端攻击外,第三种属于云地混合攻击模式。如企业在云端布建Web Service、其中存在着漏洞,黑客便侵入其云端,又看准企业未严格限制从云到地的权限管理,使黑客轻易攻进地端,接连进行连接埠扫描、取得重要主机管理者权限、横向挪移、盗取机密档案且Sync至云端硬盘,最终执行加密勒索。
应对上述危机,企业务必订定云网安政策并严格执行,其中应涵盖「存取控制」(建议一定要有SSO、多因子认证及严格的IP控管)、「Visibility」(网安管理者一定要清楚掌握Account Inventory)、「Audit」(务须拥有Cloud Security Log)等要素。惟云端服务量大且多变,无法以人工做好前述工作,必须以自动化方式来执行,因此企业应积极落实「Security as Code」。
