【TechOrange 編輯部導讀】過去數年來,全球企業積極數位轉型、紛紛上雲,而根據 Gartner 預估,今年全球公共雲支出將達到近 6000 億美元,成長幅度高達 20.7%,顯示上雲趨勢正在加速。

然而儘管上雲普遍被認為更為安全,但企業不能輕忽的是,駭客也緊追在後。企業資安主管應該如何應對?還有哪些雲端安全趨勢需要注意?下文,將帶領你一次了解,並提供微軟、Google、AWS 的雲端安全建議。

雲端技術的提升,雖然大幅幫助企業抵禦網路攻擊,但必須注意的是,駭客們也逐漸適應這個變化並積極找尋破口,正把目標瞄準到雲端基礎設施中的漏洞缺陷。

駭客攻擊雲端危機不斷攀升,企業抵禦也要跟上速度

近年來,企業紛紛投資把資料從傳統的本地端轉移到雲端,據 Gartner 預測,今年全球的公有雲支出將達到近 6000 億美元。

儘管上雲成本即便高昂,不過普遍認為,就安全性而言,駭客要入侵組織的雲端系統,比起傳統上會更困難,因此企業上雲的腳步並未停歇。然而,最近的研究和案例事件開始透露,惡意駭客適應這個新趨勢、入侵雲端系統的速度,可能比我們預料得還要快。

在美國資安品牌 CrowdStrike 最近一期發布的報告中,用數據警告了這項危機:全球在 2022 年針對雲端系統的攻擊幾乎是過去的兩倍,向雲端發動攻擊的駭客組織數量更是上升到以往的三倍。

以今年才剛發生一起範圍廣泛的勒索軟體攻擊為例,該攻擊瞄準的是雲端系統 VMware 機器中的一個漏洞,影響層面達數以千計的系統。最近另一起事件,據彭博社報導稱,則是美國五角大樓曝光外洩大約 1 TB 的電子郵件資料,原因可能是由於雲端的配置錯誤所導致的。

雲端環境顯然已成了惡意人士更具吸引力的新目標,網路安全公司 Venafi 的報告數據顯示,有高達 80% 的受訪組織在 2021 – 2022 年間曾有發生雲端安全危機事件。

微軟:有效管理 DevOps、定義風險優先級

那麼,面對越來越需要企業注意的雲端資安,三大雲端服務提供商:微軟、Google 以及 AWS 各自提出了哪些建議或解決方案?

微軟在去(2022)年 10 月推出的新服務 Microsoft Defender for Cloud 解決方案,便納入 AI 人工智慧和自動化以更快偵測到惡意事件,協助企業因應跨多雲、混合環境的複雜現狀。

其中,Defender for DevOps 是用在解決企業內安全工具、雲平台、DevOps 開發分散且斷開而導致攻擊面擴大的情形;Defender CSPM 則有助消除噪音干擾,幫助企業迅速關注對業務有重大影響的最關鍵問題。

在觀念上,微軟指出,企業現在應該要更積極地採取行動,使內部團隊能夠統一、加強和管理 DevOps 安全性,打造更安全的程式開發環境,並加強其整體雲端安全性,同時應該打破安全和開發團隊的孤立運作模式,以讓安全工具跟上開發人員的速度。

另外,決定最關鍵風險的優先級,並採取補救措施,也是一個待強化的步驟。以現狀而言,企業由於採多雲部署、多種工具,以及對每種資源的威脅或業務價值缺乏洞察標準,因此如有狀況發生,很難知道從哪裡開始補救。

而目前微軟現有工具已可實現基於新的智能雲安全圖(intelligent cloud security graph)進行上下文洞察力和攻擊路徑分析,幫助企業節省時間並制定優先序,如此便能降低篩選一長串易受攻擊的警示的時間,使用主動攻擊路徑分析來減少高達 99% 的建議噪音,像這類的工具將可協助企業把焦點放在潛在攻擊路徑中最易遭利用的漏洞,再開始有效率的修復。

Google Cloud:確保給予每一位團隊成員安全培訓

Google Cloud 在其今年的 CISO 生存指南提及,許多安全控制之所以失敗,不是因為它們設計不當,而是因為使用它們的人——企業的安全團隊——沒有接受過適當的培訓、也缺乏足夠的積極性,對於流動率高、協作失調的組織來說尤其如此。

一個設計正確的安全控制工具,其實有機會可以阻擋 100% 攻擊,但如果我們未能有效操作它,隨著時間推移,控制的有效性也會直線下降為零。透過了解自身文化、結合營運專業知識和技術方法,企業才能保障雲端工作環境的安全。

在進行雲端數位轉型和安全部署前,務必省思:誰是關鍵的利益相關者,以及誰會負責設計和維護特定系統?定義責任並共同承擔,如此才能確保企業的資料、工作流程遷移到雲端後能安全穩定的運作。

AWS:責任模式已不同,應推動安全文化

由 AWS 發布的 2023 安全性預測的白皮書也指出「安全將融入組織的一切行為」這個概念,企業必須意識到,這個往雲端遷移的轉型過程,等於是從自我管理的本地安全技術,轉變為共享責任的服務模型,這個模型照理說要能支持並拓展業務架構。

由於雲端能夠讓日常任務自動化,在未來幾年,伴隨著必然持續的雲端採用趨勢,預計企業進一步提高自動化能力的需求也將呈指數級增長。AWS 指出,在此同時,企業應在內部形塑並維護一種「安全文化」,將安全思維嵌入到日常運營方式中,包含管理身份和權限、保護網路和基礎設施、識別和回應威脅、數據保護以及證明合規性。

♦ 延伸閱讀:雲端安全有一半責任在企業自己身上!帶你掌握 3 大雲端資安防禦新利器

AWS 在白皮書中建議,企業應打造出適合團隊的安全文化氛圍,善用並整合智能、自動化工具增強安全性,在保護自身並抵擋駭客威脅的前提之下,企業才能善用雲端優勢來保持創新,專注於業務增長與突破。

參考資料:AxiosMSGCPAWS,首圖來源:由 AI 算圖工具 Midjourney 與編輯共同製作。

盯緊企業資安,也別忘了好好照顧生活資安的方方面面!

《TO》特別企劃「別讓你的生活成為駭客的遊樂場」內容,陪你捍衛自己的隱私 >> 立刻閱讀

(責任編輯:藍立晴)