揭秘云安全隐患:你的企业有"云执照"了吗?

作者的话:本篇博客文章根据本人于11月17日在香港2010年信息安全高峰会(Information Security Summit 2010)的演讲而来。

云端运算是今日信息产业最重大的趋势之一。然而,云端的信息安全疑虑,一直是企业不愿将营运移转至云端的一大主因。让我们来看看云端运算的其中一项重要问题:验证。

目前许多验证机制都还停留在传统的方法,也就是:用户名称和密码。大家都已经对这类机制的问题了如指掌,只是,企业一旦移转至云端,这些问题将更加严重。

网络犯罪者很早就知道用户登入数据的重要性,因此,他们开发出许多技巧来窃取这些资料。目前大家还记忆犹新的两大网络银行木马程序ZeuS和SpyEye都会广泛利用各种不同技巧来窃取用户的登入数据。其中最有创意的一种方法,就是通过撷取屏幕画面来反制网络银行利用屏幕小键盘防止键盘记录程序的作法。

说ZeuS和SpyEye恐怖,还不足以形容其真正的威力。其最令企业寝食难安的能耐有二:第一,任何网站都可能成为攻击目标,包括那些从云端提供机密服务的网站。第二,即使是有SSL加密保护的登入页面也无法幸免。

更糟糕的是,根据趋势科技2010上半年全球资安威胁报告,账号窃盗木马程序是所有恶意软件类型的最大宗。在可预见的未来,这样的趋势似乎不会有所改变。

除了恶意软件之外,员工本身也可能成为问题,因为员工可能在社交网络或社交媒体网站不经意透漏了一些关键的信息。光是回答社交网络上到处流行的一些测验,就可能透漏一些对攻击者有利用价值的信息,例如:可用来回答密码重设问题的答案,或者可用来假冒某公司员工的信息。

云端运算的要求之一,就是使用者可以从世界的任何角落存取云端上的服务,即使人在办公室外也无妨。然而,这样的使用模式却为采用云端服务的企业带来了新的风险。使用者可能会经由不安全的存取点连上网络,例如免费的Wi-Fi无线网络。

大家都喜欢免费的Wi-Fi,但是不安全的无线网络很容易遭到窃听或遭到侧面挟持,尤其在Firesheep 这样的工具出现之后,更是易如反掌。像这类“不安全的无线网络”并非机场或咖啡厅才有。许多家用的无线网络也都没有设定安全性。因此,这些网络也很容易遭到窃听或侧面挟持。

云端安全是一个涵盖多个环节的复杂问题。每一个环节,从装置、用户到网络存取点,都必须有妥善的安全防护。唯有三个环节都达到安全,IT系统管理员才能肯定地说:是的,我们已经为云端做好准备,飞上云端前,我们已经拿到了“云执照”。

注释:作者Ryan Flores现为趋势科技资深威胁研究员。