在过去几年中,云的使用呈指数级增长,尤其是在大流行之后。 但随着云采用率的增长,不良行为者将注意力集中在利用常见的云漏洞上。
云不会去任何地方——因此随着威胁形势的发展,企业必须确保他们尽自己的一份力量来维护一个安全的云环境,以保护他们自己、他们的客户和他们的供应链免受网络攻击。
关于这一点,以下是使云客户面临最大风险的五个最常见漏洞:
1.配置错误的设置
配置错误的设置通常是云中数据泄露的原因,68% 的企业现在认识到这是与云安全相关的主要问题。 (另请阅读:数据泄露通知:法律和监管环境。)
由于云服务旨在使事情变得快速和方便,因此对数据的访问可能不会受到应有的限制。 这可以为未经授权的访问打开很多大门。
当您与云提供商合作时,您采用了所谓的“责任共担模型”——因此,有些人可能认为云提供商有责任处理您的所有安全问题。 然而,通常情况下,配置将取决于组织。
这意味着贵公司的 IT 团队需要审查所有设置和权限,并确保涵盖基本的安全控制。 这包括限制访问、设置多因素身份验证 (MFA) 以及使用提供的任何日志记录和监控工具,因为这些工具可以帮助您跟踪和管理正在发生的事情。
定期检查您的云审计也是一个好主意,以确保没有与配置错误的设置相关的可疑或异常活动。
2. 数据质量管理不善
当数据保存在云中时,可能更难保持对所有数据的可见性,这就是为什么确保您已按敏感度顺序正确标记和分类数据尤为重要。 (另请阅读:大流行后世界中的智能数据管理。)
当您获得这些信息后,您就可以决定合适的安全级别,对高度敏感的数据进行更严格的访问限制。
云服务也让数据共享变得非常容易; 但如果管理不当,这可能是一个安全问题。 管理员可以配置数据共享访问,因此最好考虑哪些数据应该保留这些功能,哪些不应该。 您还应该限制可以下载公司数据的设备,因为公司通常会忽视这一方面。
最后,确保数据在传输过程中尽可能安全对于云用户来说至关重要。 云使监控或拦截流量变得困难,降低了数据传输的可见性,因此确保正确加密非常重要。 客户端加密是最好的,因为这会在数据传输到云服务器之前加密您这边的数据。
3、员工培训不足
对员工进行有关云的最佳实践和安全基础知识的教育非常重要。 (另请阅读:仅仅加密是不够的:关于数据安全的关键事实。)
一些黑客甚至会使用基于云的服务作为其网络钓鱼电子邮件的主题——例如,发送一个看似来自 Google Drive 或 OneDrive 的恶意链接,然后要求确认访问文档的凭据。 员工需要了解如何发现此类威胁,并了解可能损害业务的其他关键风险,例如影子 IT。
在公司网络上使用未知软件和设备会给组织带来很多问题,因为几乎不可能获得完全可见性,尤其是对于大量远程工作者而言。
近 80% 的员工承认在工作中未经 IT 批准使用软件即服务 (SaaS) 应用程序,而且这些应用程序通常是基于云的。 不安全的设备和软件可能导致数据丢失和漏洞,因此必须对员工进行培训,以尽量减少这些严重的可能性。
4. 安全策略不足
需要在每个上下文中考虑安全性; 云也不例外。 (另请阅读:SaaS 安全性:IT 经常忽视的陷阱。)
书面政策有助于为用户记录规章制度,以便清楚他们应该如何安全地使用云应用程序。
云安全策略应概述:
谁可以使用云。
哪些数据应该存储在云端。
云的安全使用的正确程序和最佳实践是什么。
应要求所有员工审查这些政策,并在需要时定期检查和更新这些政策。
5.选择错误的供应商
那里有很多云提供商。 但是选择一个重视安全性的产品将使您和您的组织受益匪浅。 (另请阅读:企业应询问其云提供商的 5 个问题。)
检查云供应商是否符合公认的安全标准是一个很好的起点,检查其他重要的功能和能力也是如此——比如身份验证方法、数据加密、灾难恢复和技术支持。
结论
从云端工作对于大大小小的团队来说都是一笔巨大的财富。 但随着此类服务的采用率不断提高,安全性不能为了方便而受到损害是至关重要的。
强大的网络安全需要实施正确的工具和程序——通过这样做,您可以让您的企业获得云计算必须提供的所有好处,同时最大限度地减少网络攻击的机会并保护您的组织及其员工。
