資料外洩一直是企業必須面對的一項風險。一位不滿的員工,或者單純的檔案櫃沒有上鎖,就能造成敏感資料外洩,導致高昂的財務、信譽與法律損失。
IT 不斷演化的結果為網路犯罪者帶來許許多多的攻擊管道
儘管如此,隨著 IT 逐漸成為企業各單位的營運核心,這類事件發生的頻率和嚴重程度只會不斷擴大。現在,光是利用網站平台的一個小小漏洞 (如 Adobe Flash),駭客就能取得寶貴的資訊,掌握登入資訊,或者找出供應鏈上的弱點。近年來的一些大型資料外洩事件包括:
- 美國 Target 連鎖超市的銷售櫃台系統 (POS) 去年冬天遭網路犯罪者透過一位維護 Target 基礎架構的 HVAC 承包商的人員入侵。
- 2012 年 LinkedIn 社群網站因網路遭駭客入侵而洩漏超過 6 百萬筆未使用加料雜湊值的密碼 (Unsulted Password)。
- 可口可樂 (Coca-Cola) 因多部筆記型電腦失竊而遭到突襲,導致 74,000 多筆現職與離職員工資料外洩。
上述資料外洩事件的原因,從 PC 實體安全措施不足到企業網路弱點不等,顯示今日科技化企業在防範攻擊方面所面臨的挑戰涵蓋範圍廣泛。除此之外,雲端運算正逐漸融入 IT 系統當中,使得網路安全工作變得更加複雜,即使雲端現已增加了新的功能來減少 IT 流程與成本,情況依然相同。
根據 IDC 估計,未來六年雲端相關技術將占網際網路及通訊資產支出的 90%。儘管雲端正快速崛起,但它仍舊是多數企業最頭痛的安全問題。
雲端如何導致資料外洩
為何雲端和資料外洩的風險息息相關?基本上,使用某種雲端服務,不論是偏向消費導向 (如 Dropbox) 或是屬於專業人士工具 (如 Adobe Creative Cloud) 或者是企業自動化平台,IT 部門至少必須將一部分的掌控權交給第三方供應商。
JumpCloud 共同創辦人 Rajat Bhargava 告訴紐約時報記者:「毫無爭議地,當您不擁有該網路時,基本上就等於對外開放,而且您無法掌控其軟體。基本上,相較於將資料儲存在企業內部,雲端就是較不安全。」
企業的安全也越來越受制於員工,因為員工會使用一些普遍缺乏安全機制的雲端應用程式與工作流程,進而危及企業敏感資料。例如,2014 年 Ponemon Institute 研究機構發表的「雲端加密趨勢」(Trends in Cloud Encryption) 研究報告指出,雖然幾乎所有受訪者都計劃將公司資訊移轉到雲端,但他們的作法卻很隨便:
- 59% 的受訪者表示他們在基礎架構服務 (IaaS) 和平台服務 (PaaS) 上存放的資料皆未經過加密。同樣的數字對軟體服務 (SaaS) 而言則是 45%。
- 26% 的 IaaS/PaaS 資料與 39% 的 SaaS 資料已經過加密,其他資料安全機制則分別涵蓋 15% 與 16% 的應用程式資訊。
- 19% 的受訪者視 SaaS 安全為客戶和供應商的共同責任。此數字在 IaaS/PaaS 方面則有所不同,僅有 22% 認為供應商須負起完全的責任,這類雲端的安全 (如果稱得上安全的話) 基本上還是靠使用者自己來保障。
如同該機構的研究發現,當企業必須承擔雲端安全的責任時,許多企業做的並不夠。未加密的資料根本就是招人覬覦,一旦失竊,資料便立即可用。想到這點,就不難理解為何雲端能大幅提高動輒數百萬美元的大型資料外洩事件發生風險。
使用雲端可能提高大型資料外洩的發生機率
Ponemon Institute 另一份由 Netskope 贊助的報告提出了一項所謂的「雲端加乘效應」,隨著企業使用越來越多的雲端服務,企業暴露在資安事件的風險就越高。基本上,每增加 1% 的雲端服務,資料外洩的機率就上升 3%。
Netskope 創辦人暨執行長 Sanjay Beri 指出:「想像一下,若資料外洩的機率會因為您使用雲端而增加三倍的話,這就是企業 IT 人員將面臨的挑戰,而他們也開始意識到自己必須調整安全措施來因應。」
這份「資料外洩:雲端加乘效應」(Data Breach: The Cloud Multiplier Effect) 報告訪問了 613 位 IT 及資安專業人員。報告發現,雲端對資料外洩機率的影響有部分原因可歸諸於 IT 低估了企業使用的雲端服務數量及類型。雖然受訪者表示其公司所用的軟體有 45% 在雲端上,但這些應用程式有一半 IT 卻看不到。
這樣的情況 (一般稱為影子 IT),已威脅到許多企業建置雲端的價值。一旦無法充分掌握使用者與雲端應用程式的互動方式以及使用者所處理的資料,就會衍生出許多風險:
- IT 無法掌控雲端內的營運關鍵應用程式,其中有 36% 是 IT 無法看見、了解或保護的。
- Netskope 的受訪者有 62% 表示雲端服務未經過充分的弱點篩檢。
- 69% 表示其企業未確實檢查哪些類型的資料是否太過敏感而不應移轉至雲端。
- 供應商與客戶之間的服務等級協議經常模糊不清,很少定義雙方該如何分擔安全責任。Netskope 的受訪者有 70% 表示擔心其供應商在發生資料外洩時不會立即通知他們。
若以 Ponemon Institute 對每一筆資料外洩成本的評估 (每筆 201.18 美元) 為基礎,光是一次 100,000 筆的雲端資料外洩就會造成約 2,000 萬美元的損失,因此,非常值得企業尋找一套更好的方法來評估資料安全需求,並且建置一套妥善的資料儲存與傳輸程序。若能將焦點放在事件的回應、鑑識與監控,企業就能藉由完整的安全防護來發揮雲端平台的更大價值。
◎原文來源:https://blog.trendmicro.com/cloud-makes-data-breaches-increasingly-likely-costly/
萬物聯網時代,企業必要掌握的資安四大面向
萬物聯網資訊安全中心 多層次的資訊安全中心控管
萬物聯網駭客攻防手法 深度分析APT攻擊,建立完整的防禦架構
萬物聯網雲端防護架構 私有雲 、公有雲、混合雲的資訊安全
萬物聯網行動安全機制 企業行動裝置安全策略
當萬物聯網IoE(Internet of Everything)正待崛起,美國著名研究機構更看到比現今經濟大上30倍的發展契機;引領企業資安布局的您,該如何預見具前瞻價值的資安趨勢,為「萬物可聯網‧無處不資安」的時代及早準備?【即刻報名!!CLOUDSEC 2014企業資安高峰論壇】