三步降低影子云安全威胁

简介:

尽管影子云威胁着企业安全,我们仍然有方法来降低风险并保护企业的系统和应用。

随着云计算、工作场所的BYOD以及消费电子设备的增加,对于IT部门来说要追踪和管理软件和硬件,并且同时要维护和保证一个环境的安全性变得越发困难。没有IT直接干预或者IT对此毫不知情的那些员工使用的系统和应用被称为影子IT。

云安全联盟的2014云应用实践和优先级调查强调了企业缺乏对影子云应用和服务控制的这一趋势正在增长,并且这其中有很大比例的企业甚至没有一个程序在那里管理这些应用和服务。我们知道这种状况已经有一段时间了,McAfee(Intel Security)在2013年也开展了一个关于企业“影子软件即服务(SaaS)”的调查,发现受访者或者压根没有任何与SaaS应用使用相关的策略,或者根本不知道什么是自己不知道的。

影子云中潜在的威胁

影子云服务和资产可以导致很多问题和风险,包括:

时间、能源和投资的浪费:影子云容易导致传统IT在时间、能源和投资上的浪费。如果员工使用未经批准的技术,浪费的会包括在核准的技术上的培训,不触及影子云的安全技术策略,审计和调查的不够精确或者有效,由于未批准的技术而造成的事件及响应,所需的帮助台和支持,以及绕过技术/安全控制等所有这些所花费的功夫。

低效:一个被影子云严重影响但却经常被忽视的领域是流程开展和执行。对于正在努力开展和提高运营流程成熟度的组织,影子云将成为一个巨大的障碍。影子云可导致审计及审计有效性,库存和配置管理流程和实践,补丁和漏洞管理方案,整体流程效率的举措,如六西格玛,以及IT运营流程效率的低下。

数据丢失或泄漏:影子云容易造成数据的丢失或者泄露。当员工非法使用如Dropbox或其他的云服务来存储敏感数据时,数据正在被存储在组织外,并可能被暴露在一次云提供商的泄漏事件中。存储在云中的任何数据或系统都易于成为对云提供商或其他租户发起的攻击对象。

未知漏洞:当系统和应用在未知的情况下被部署,他们没有在系统或者任何应用程序清单中列出,很有可能没有满足配置和补丁管理的要求。影子云资产和应用还易于成为那些已经发布的但没有被IT人员监控的漏洞的受害者,或者受到那些还没有任何补丁或者修复的零日漏洞的影响。任何这些问题都可能导致潜在的风险提高,并且一个组织可能因为脆弱的影子云系统和应用程序的存在而使整个组织的风险状况变得严重倾斜。

未知攻击目标:与未知的漏洞相似,此类别侧重于缺乏可靠的系统和数据清单。被清单遗漏的系统会很自然的成为攻击的对象,特别是云服务,很容易帮助攻击面扩大到一个很广的范围。

揭开影子云的迷雾

尽管有很多与影子云相关的风险,安全团队可以使用一些策略来处理这些问题。组织可以采取的一些减轻风险的重要步骤包括:

策略和指导:安全策略必须要更精细,一方面受到业务流程的驱使,另一方面因为风险的关系。CISO必须向业务经理解释基于风险的精细安全策略和对云实施的加强。反过来,业务经理在想要使用云服务的时候需要让安全团队了解业务流程应该如何和不应该如何运作。在策略上解决允许和禁止云服务的使用是控制影子云的第一步。

监控和访问限制:监控进入云端的数据和流量对于检测影子云的使用是很重要的。对内网,系统和数据的访问限制也会对识别未知系统和应用有所帮助。一个好的出发点是对互联网进行内容过滤(URL 过滤) 。现在有Skyhigh Networks和Netskope这样的厂商提供的特定云的内容和应用程序过滤,可以很方便的帮助监测和防止影子云的使用。即便一个组织选择不完全限制访问,监控和记录日志可以帮助确定哪些正在被使用。在此基础上可以产生决策以及对风险进行优先级规划。

基础架构控制:象防火墙规则、子网划分、VLAN和ACL这样的基本控制可以很有帮助。强化的系统配置,扫描和打补丁可以有助于在已知的云环境里防止未授权应用的安装。

影子云突显了其他业务需求

要整治影子云的使用可以是一个漫长而艰难的过程,这已经不是什么秘密。通常情况下,影子云标志着政治问题或业务需求差距需要在一个组织里得到解决,而尽可能提供更安全的选择恰恰是信息安全所要做到的。幸运的是,有无数的工具和技术,可以对此提供帮助。


本文作者:谈翔

来源:51CTO

相关文章
|
前端开发 JavaScript Java
【实训项目】易行APP设计(c2c二手交易平台)
【实训项目】易行APP设计(c2c二手交易平台)
706 0
|
9月前
|
监控 Java API
JUC系列之《深入剖析LockSupport:Java并发编程的“交警”》
LockSupport是Java并发编程的底层基石,提供park()和unpark()方法实现线程阻塞与精确唤醒。基于“许可证”机制,无需同步块、调用顺序灵活、可精准控制线程,是ReentrantLock、CountDownLatch等高级同步工具的底层支撑,堪称JUC的“手术刀”。
|
9月前
|
Linux 网络安全 iOS开发
Metasploit Framework 6.4.92 (macOS, Linux, Windows) - 开源渗透测试框架
Metasploit Framework 6.4.92 (macOS, Linux, Windows) - 开源渗透测试框架
420 2
Metasploit Framework 6.4.92 (macOS, Linux, Windows) - 开源渗透测试框架
|
11月前
|
存储 缓存 中间件
《金融对账系统雪崩隐患的深度复盘与架构重生》
本文复盘了金融级支付对账系统因分布式缓存设计缺陷引发的隐性危机:系统上线后,对账高峰时段出现节点“假死”、数据不一致问题,却无明显资源耗尽迹象,且问题间歇性发生。排查发现,高并发下任务调度框架返回异常商户ID,生成无效缓存Key,叠加缓存客户端“批量合并请求”与“无限重试”设计,导致线程池阻塞;节点恢复后又因任务状态未同步,引发数据重复处理或遗漏。通过全链路数据校验、缓存交互优化(分段查询+降级熔断)、分布式锁与全局状态同步,系统问题得以解决,最终提炼出分布式系统开发的四大核心原则,为后端架构设计提供参考。
487 33
|
10月前
|
SQL Oracle 关系型数据库
Oracle数据库创建表空间和索引的SQL语法示例
以上SQL语法提供了一种标准方式去组织Oracle数据库内部结构,并且通过合理使用可以显著改善查询速度及整体性能。需要注意,在实际应用过程当中应该根据具体业务需求、系统资源状况以及预期目标去合理规划并调整参数设置以达到最佳效果。
658 8
|
12月前
|
人工智能 NoSQL Docker
1分钟极速生成简历表单,AI与Flash Table实战让你领先一步
Flash Table是一款高效低代码平台,专为简化复杂表单开发而设计。它通过可视化拖拽、AI智能生成、数据整合及多系统对接等功能,显著提升开发效率与交互体验,助力企业快速实现数字化升级。
|
存储 SQL Oracle
AWR,即自动工作负荷资料档案库
【10月更文挑战第16天】AWR,即自动工作负荷资料档案库
627 3
|
搜索推荐 前端开发 数据安全/隐私保护
改善用户体验方法
【10月更文挑战第9天】改善用户体验方法
1393 3
|
存储 运维 监控
机器的coredump文件过多处理
【10月更文挑战第1天】
966 4

热门文章

最新文章