云服务并非从根本上就脆弱,而是因为它们被设计得太糟糕;它们易受攻击是因为它们的使用者能够轻易被人的弱点所控制。如果你的企业使用云计算服务却又不教育你的员工,数据一定会出纰漏,而你就等着名誉扫地吧。
资深“正派”黑客Peter Wood在伦敦数据中心世界的一次演示中提出了这样的说法。Wood的公司自1989年以来一直做渗透测试系统。虽然黑客入侵的技术方法已经发生了翻天覆地的变化,但访问信息所需的社会工程技术(即利用人的弱点,让人上当)从根本上是保持不变的。
“从安全的观点来看,云中有所不同的是当你租用软件即服务时,你已经将安全管理交给了第三方,” Wood说。“你想要将对安全的责任外包吗?你不能外包这个责任,你只能外包功能。这并不意味着安全性可以忽略不计,因为最终如果有一个数据破坏,这可是你的品牌和你的名声。“
“一个基于云计算的模型的最大问题是从任何地方登录的能力,以及这样一个事实——这主要是通过浏览器提供的,”wood继续说道。“在大多数情况下,认证是微不足道的。在大多数云环境中,并没有入侵检测或预防的概念,而且即使有,人们也不知道如何使用它们。”如果攻击者通过社会工程骗取合法的登陆认证,那这些技术也就毫无意义。
窃取这些凭证可以通过有针对性的攻击来完成。“钓鱼攻击作为一种主要入口点技术正在大量增加,”Wood表示。然而,在许多情况下,更多的基本技术,如打电话或假装为一个失去了远程登录认证的工人,可以起到同样有效的作用。“我们几乎每星期都会通过电话受到社会工程攻击,”伍德说。
要应对这个问题需要做些什么呢?“不要告诉员工他们是最薄弱环节让他们不好过,”伍德建议。“将他们转变为人类防火墙。投入时间和金钱,让员工明白,为什么这些攻击会发生,这些是真实的,以及如何抵御他们。“
另外两个简单的改变也有帮助。即确保员工只在重要的情况下才能具有管理访问系统的权利。Wood说:“那句老话在这里是毫无道理的——‘如果你在IT部门工作,你必须拥有管理员权限。’”伍德说。
最后,确保企业处理新员工或离职人员的程序有效地覆盖所有的凭证。“我们在大多数组织中发现的最大故障是加入者、活动者和离开者的过程速度都不够快,不够彻底。”