選擇云服務(wù) 你考慮到這6大內(nèi)部威脅沒?
對于云計(jì)算中的數(shù)據(jù),最主要的風(fēng)險(xiǎn)通常在于外部攻擊者可利用的漏洞,但安全團(tuán)隊(duì)認(rèn)為來自其內(nèi)部企業(yè)的威脅同樣可怕。
提起內(nèi)部人員威脅這個(gè)關(guān)鍵詞,可能大家都會想起斯諾登事件,即內(nèi)部人員公開數(shù)據(jù)給媒體而引起廣泛關(guān)注。現(xiàn)實(shí)情況是,類似于斯諾登事件還只是冰山一角,內(nèi)部威脅可能是因?yàn)榇中牡膯T工或者惡意內(nèi)部人員試圖謀取個(gè)人利益。在過去一年中雖然只有17%的安全專業(yè)人士知道其企業(yè)內(nèi)的內(nèi)部人員威脅,但Skyhigh最新云部署和風(fēng)險(xiǎn)報(bào)告的數(shù)據(jù)顯示,85%的企業(yè)存在異常活動可能意味著內(nèi)部威脅。
云計(jì)算極大地?cái)U(kuò)展了企業(yè)的內(nèi)部威脅的范圍,云計(jì)算應(yīng)用程序的數(shù)量之多(超過8000)以及不成熟的審計(jì)和管理控制,導(dǎo)致企業(yè)對這些應(yīng)用程序缺乏可視性和管理。
下面讓我們來看看云計(jì)算內(nèi)部威脅的一些可怕情況:
1、銷售人員跳槽
在最常見的內(nèi)部威脅情況中,銷售代表離開公司,帶著銷售線索去競爭對手公司。在各行各業(yè),這種情況都很普遍,特別是在競爭激烈的市場。并且,竊取銷售線索很難被發(fā)現(xiàn)。
與物理地竊取信息相比,云計(jì)算服務(wù)讓這種事情更加無法察覺。銷售團(tuán)隊(duì)提供了大量銷售線索以供員工訪問,而且員工只需輕松點(diǎn)擊按鈕即可獲取。在允許數(shù)千名銷售人員登錄的企業(yè),面臨的挑戰(zhàn)是在日常活動中發(fā)現(xiàn)異常情況。
2、當(dāng)管理員成為內(nèi)部威脅
企業(yè)各級員工都依賴于云服務(wù)來完成他們的工作,包括C級管理人員。然而,特權(quán)用戶有著獨(dú)特的權(quán)力:對存儲在云服務(wù)中的數(shù)據(jù)的管理訪問權(quán)限。
有些大型科技公司擔(dān)心內(nèi)部管理員對CRM軟件的操作權(quán)限。這些管理員負(fù)責(zé)管理用戶的權(quán)限和安全政策。與此同時(shí),他們可以訪問云服務(wù)中的業(yè)務(wù)數(shù)據(jù),這可能構(gòu)成安全風(fēng)險(xiǎn)。又如:云計(jì)算存儲服務(wù)的管理員可以訪問僅高管可查看的財(cái)務(wù)預(yù)測,以及機(jī)密信息。
3、來自內(nèi)部的危險(xiǎn)
內(nèi)部人員威脅通常指的是企業(yè)員工,但云服務(wù)提供商的員工也可能從內(nèi)部滲出數(shù)據(jù)。例如,云服務(wù)由人力資源部內(nèi)部使用,云服務(wù)提供商的員工而言訪問該服務(wù)中托管的機(jī)密企業(yè)數(shù)據(jù)。根據(jù)用戶協(xié)議,云服務(wù)提供商可能甚至不需要為丟失數(shù)據(jù)負(fù)責(zé)。這種情況說明企業(yè)云使用必須包含一定水平的安全控制,來同時(shí)抵御外部和內(nèi)部威脅。
4、數(shù)據(jù)與第三方分享
云服務(wù)可實(shí)現(xiàn)全球協(xié)作,但這也意味著數(shù)據(jù)可能傳輸?shù)讲粦?yīng)該出現(xiàn)的地方。例如,某公司的開發(fā)人員外包自己的工作給中國同行,他付給中國工人錢來完成他的工作,并保持自己的利潤率。先不談合法性,這種創(chuàng)造性的做法讓其雇主可能面臨安全風(fēng)險(xiǎn),因?yàn)槠髽I(yè)數(shù)據(jù)被與第三方公開共享。
5、黑幕服務(wù)
違反企業(yè)云計(jì)算使用政策構(gòu)成另一種內(nèi)部威脅類型,這可能包括不正當(dāng)使用Facebook到非法文件共享。在更糟糕的情況中,員工上傳數(shù)據(jù)到開發(fā)網(wǎng)站,例如CodeHaus,該網(wǎng)站在其用戶協(xié)議條款中確定了上傳知識產(chǎn)權(quán)的所有權(quán)。發(fā)送數(shù)據(jù)到這些服務(wù)可能會產(chǎn)生法律后果,如果敏感知識產(chǎn)權(quán)信息被泄露,甚至可能會傷害到企業(yè)。
6、好心辦壞事
并不是所有內(nèi)部威脅都來自于惡意肇事者。企業(yè)中豐富的消費(fèi)級應(yīng)用程序讓員工可能無意地泄露數(shù)據(jù)。在某個(gè)金融服務(wù)機(jī)構(gòu)的倒霉的員工意外上傳敏感數(shù)據(jù)到Facebook,這絕對要比在社交媒體“過度分享”更嚴(yán)重 。
原文鏈接:http://security.zdnet.com.cn/security_zone/2015/0202/3045599.shtml
