香港，2020年 6月 10日：IBM Security 今天發佈了新數據，其中說明影響雲安全的主要挑戰和威脅，這表明部署新雲工具的便捷性和速度也可能會讓安全團隊更難以控制其使用。IBM 的調研數據和案例研究分析結果顯示，治理、漏洞和誤配置等基本安全監督問題仍然是組織保護日益增長的基於雲的營運而應解決的主要風險因素。針對過去一年的安全事件進行的案例研究分析結果也揭示了網絡犯罪分子如何通過定制化惡意軟件、勒索軟件等手段攻擊雲環境。

隨著企業迅速遷移到雲端來適應遠程勞動力需求，瞭解這種過渡帶來的獨特安全挑戰對於風險管理而言至關重要。儘管雲支持許多關鍵的業務和技術功能，但雲資源的臨時採用和管理也會給 IT 和網絡安全團隊帶來複雜性。IDC 的統計結果顯示，僅僅在 2019 年，超過三分之一的公司從 16家不同的供應商購買了 30多種雲服務。1這種分布式格局會導致模糊的雲安全保護所有權及策略「盲點」，也會因為影子 IT 而引入漏洞和誤配置。

為了更好地瞭解企業迅速適應混合多雲環境而形成的新的安全現狀，IBM 商業價值研究院 (IBV) 和 IBM X-Force 事件響應和情報服務 (IRIS) 研究了影響雲安全營運的獨特挑戰，以及針對雲環境的主要威脅。重要調查結果包括：

• 複雜的所有權：66% 的受訪者2 表示，他們依靠雲提供商確保基準安全功能；然而，受訪者對安全保護所有權的看法因特定的雲平台和應用而存在著巨大差異。2
• 雲應用為網絡犯罪分子「敞開了大門」：網絡犯罪分子入侵雲環境的最常見途徑是通過基於雲的應用，這種途徑佔 IBM X-Force IRIS 雲相關案例研究所分析事件的 45%。3 在這些案例中，網絡罪犯分子利用誤配置及應用漏洞實施攻擊，而由於員工在批准的渠道之外自行安裝新的雲應用，導致無法檢測到這些誤配置和漏洞。
• 擴大攻擊影響：儘管數據盜竊是所分析雲攻擊3 中會帶來最大影響的攻擊方式，但黑客也會利用加密挖礦和勒索軟件4 對雲環境實施攻擊 – 使用雲資源來擴大這些攻擊的影響。

IBM Security Services 雲安全能力負責人 Abhijit Chakravorty 表示：「雲技術不僅擁有提升業務效率和創新能力的巨大潛力，而且可提供更廣泛、更具分布式的環境，確保組織能夠實現高效管理和安全保護。如果運用得當，雲技術能夠讓安全變得具有可擴展性和適應性，不過首先，組織需要拋棄傳統假設事項，轉向專門為這種新技術領域而設計的新安全方法，並盡可能利用自動化。首先是清楚瞭解監管義務和合規性要求，以及針對雲的獨特技術挑戰和策略驅動型安全挑戰以及外部威脅。」

雲安全保護由誰所有？

IBM 商業價值研究院的一項調研結果顯示，儘管配置問題（通常是用戶的責任）是發生數據洩露的最常見原因（在 2019 年參與調研的組織中，有 85%的數據洩露事件是由於配置問題所致），但受訪組織非常依賴於由雲提供商擁有雲安全保護的方法。4

此外，受訪組織對雲安全所有權的理解因平台和應用的不同而存在著很大差異。舉例來說，大多數受訪者 (73%) 表示公有雲提供商是負責確保軟件即服務 (SaaS) 安全的主力，而僅有 42%的受訪者表示由提供商主要負責雲基礎架構即服務 (IaaS) 的安全保護。3

雖然這種共享責任模型對於混合多雲時代而言必不可少，但它也可能會導致安全策略變數，以及缺乏跨雲環境的可視性。能夠簡化雲和安全營運的組織可以通過在整個 IT 環境中運用明確定義的策略來降低這種風險。

雲安全的主要威脅：數據盜竊、加密挖礦和勒索軟件

為了更好地瞭解攻擊者如何針對雲環境實施攻擊，X-Force IRIS 的事件響應專家對團隊在過去一年中響應的雲相關案例進行了深入分析。5 通過分析發現：

• 網絡犯罪分子「帶頭衝鋒」：在 IBM X-Force 事件響應案例中，出於財務動機的網絡犯罪分子是針對雲環境的最常見威脅類別，不過國家威脅實施者也是一種持續存在的風險。
• 利用雲應用：攻擊者最常見的攻擊切入點是通過雲應用，其中包括暴力攻擊、漏洞利用和誤配置等策略。當員工批准的渠道之外安裝易受攻擊的雲應用時，便會產生「影子 IT」，進而導致漏洞通常無法被檢測到。雲端漏洞的管理具有挑戰性，因為在 2020之前，雲產品中的漏洞仍不屬於傳統 CVE 的範圍。
• 雲端的勒索軟件：在 IBM 事件響應案例中，勒索軟件在雲環境中的部署量比其他任何類型的惡意軟件都要多 3倍，其次是加密挖礦和僵屍網絡惡意軟件。
• 數據盜竊：除了惡意軟件部署外，數據盜竊是 IBM 去年在遭受數據洩露的雲環境中監測到的最常見的威脅活動，涉及到個人身份信息 (PII)、與客戶相關的電子郵件等等。
• 指數級回報：威脅實施者利用雲資源來擴大加密挖礦和 DDoS 等攻擊的影響。此外，威脅集團利用雲來托管其惡意基礎結構和營運，不僅擴大了規模，還增加了一層混淆層來躲避檢測。

來自 IBM X-Force IRIS 的 Charles DeBeck 表示：「從我們的事件響應案例趨勢來看，針對雲環境的惡意軟件攻擊案例可能會隨著雲採用的增加而繼續擴大和演變。我們的團隊發現，惡意軟件開發人員已經開始開發會禁用通用雲安全產品的惡意軟件，而且開始設計能夠充分利用雲所提供的規模和敏捷性的惡意軟件。」

日漸成熟的 CloudSec 有助於提升安全響應速度

雲變革給安全團隊帶來了新的挑戰，而能夠轉向更成熟、更簡單雲安全治理模型的組織，則可以提高安全敏捷性和響應能力。

IBM 商業價值研究院通過調研發現，相比那些仍處於雲採用初期階段的組織，在雲和安全演變中均具有較高成熟度的受訪組織能夠更快地識別和遏制數據洩露。在數據洩露響應時間方面，最成熟的受訪組織識別和遏制數據洩露的速度是最不成熟的組織的兩倍（平均威脅生命週期分別是 125天與 250天）。

隨著雲成為業務營運及日益增長的遠程勞動力的「必需品」，IBM Security 建議組織專注於以下元素，以改善混合多雲環境的網絡安全性：

• 建立協作型治理與文化氛圍：在應用開發人員、IT 營運人員與安全人員之間採用雲與安全營運相結合的統一策略。為現有的雲資源以及新的雲資源指定明確的策略和職責。
• 採取基於風險的視圖：評估擬遷移到雲端的工作負載和數據的種類，並定義適當的安全策略。從基於風險的評估開始，瞭解整個環境的可視性，並針對雲計算的分階段採用創建路線圖。
• 運用強大的訪問管理：利用訪問管理策略和工具（包括多重身份驗證）來管理雲資源的訪問，以防犯罪分子使用被盜憑證進行滲透。限制特權帳戶，並將所有用戶組的權限設置為最低要求，以最大程度地減少帳戶洩露造成的損害（即零信任模型）。
• 部署適當的工具：確保安全監控、可視性和響應工具在所有雲平台和內部資源上均能夠發揮效力。考慮改用開放技術和標準，以提升工具之間的可互操作性。
• 實現安全流程的自動化：在系統中實施有效的安全自動化有助於提升您的檢測和響應能力，而不是依賴於對事件的手動響應。
• 使用主動模擬：演練各種攻擊場景；這種方法有助於確定可能存在的盲點，還有助於解決在攻擊調查過程中可能出現的任何潛在的取證問題。

有關 X-Force IRIS 的雲安全形勢報告，請點擊此處下載完整報告。

1 IDC CloudPulse 匯總（2019年第 1季度）
2 IBM 商業價值研究院針對 930名高級業務與 IT 主管開展的調研
3 IBM X-Force IRIS：雲安全形勢報告
4 IBM X-Force 威脅情報指數（2020年）
5 IBM X-Force IRIS 雲形勢報告（基於 2018年 6月至 2020年 3月之間所進行客戶事件響應案例）