【內外夾擊】雲端安全四大挑戰 零信任架構阻可疑入侵
隨著企業踏上數據轉型之路,陸續採用更多雲端服務及遙距工作工具,遭受網絡攻擊的層面亦大增。非牟利雲端安全機構 Cloud Security Alliance 早前完成一項相關調查,發現大部分企業都受身份驗證、帳戶權限及密鑰管理等問題困擾,除了引來黑客攻擊,內部員工亦可乘機作反。
新冠疫情開始至今已兩年多,期間不少企業為了讓員工工作,倉卒購入各種雲端遙距工作工具。雖然隨著疫情減褪,大部分企業已安排員工重回辦公室上班,但網絡安全專家指出,在數碼轉型的需求下,企業仍難以避免要採用更多雲端應用服務,因此被入侵的危機仍然會愈來愈高。Cloud Security Alliance 早前完成的一份調查報告一共訪問了安全業界 700 位專家,結果發現業界一致認為要建立一個安全的雲端運算環境,必須解決身份驗證、帳戶權限及密鑰管理等挑戰。
報告內歸結了四個常見的雲安全漏洞,包括:不安全的接口和 API、雲端服務設定錯誤、缺乏雲安全架構和策略、軟件開發環境欠缺安全策略。在不安全的接口和 API 方面,專家指可讓黑客有機會接觸到機密的資料庫,甚至可透過 API 獲取帳戶 token,從而控制帳戶。雲端服務設定錯誤,例如將數據庫資料設定成公開,有可能發生數據外洩問題。此外,缺乏雲安全架構及軟件開發環境欠缺安全策略上,前者可令黑客在取得一個普通帳戶權限下,通過漏洞提升至最高權限及隨意橫向移動,後者則有可能在開發過程取了藏有惡意程式的開源軟件使用。
網絡安全專家建議企業引入零信任 (Zero Trust) 安全架構,在整個登入及工作流程中,時刻對登入者保持懷疑態度,進行嚴格的身份及帳戶權限驗證,同時亦應啟用多重因素驗 (MFA) 功能,避用弱密碼及必須第一時間修改各種工具的出廠密碼設定。專家警告不單只黑客可從外界發動攻擊,內部員工只要懂得相關技術,亦能輕易從內部提升權限及偷取機密資料自肥,因此企業絕不可疏忽。
相關文章:【零死角】雲端應用服務漏洞百出 制定完整安全政策防入侵
https://www.wepro180.com/cloudservice210802/