新思科技軟體安全解決方案

更快速地建構安全、高品質的軟體

新思科技軟體安全解決方案

協助您降低軟體研發的風險,同時提高產能

國際數據集團(IDG)於2018年8月發表的一項針對企業雲端運算(Cloud Computing)應用調查顯示,估計有73%的企業體至少有一項IT相關應用,或部分的運算基礎架構是透過雲端建置,顯示雲端應用已達成熟階段;而當企業體以驚人的速度將IT環境整合到雲端時,雲端應用的安全威脅也將帶來另一項挑戰。另一方面,「財富」雜誌(Fortune)也報導一篇關於CGI和牛津經濟研究院於2017年的研究,表示近年來駭客攻擊及其他網路安全漏洞已對全球企業體帶來重大影響,過去五年以來因為數據外洩的損失更超過500億美元。

無論是公有雲、私有雲或是兩者的混合雲,都是為了簡化IT管理、遠端存取、機動性以及節省成本所提供的靈活應用模式。將網路相關應用程式轉移到雲端並不會使它們本身更安全;因此,隨著越來越多關鍵的應用程式轉移到雲端,數據隱私及軟體安全性也日益受到重視。當企業體享受雲端基礎架構所帶來的優勢時,能確保具有因應網路安全風險的能力,更是當務之急。

雲端運算提供許多優勢,例如:藉由動態擴充(dynamic scaling)增加資料運算的速度與效率,但同時,它也引發包括數據外洩、人為疏失,內部惡意人員,帳戶攔劫和DDoS攻擊等安全性威脅的問題。致力於資料、隱私權保護及訊息安全政策的專業研究顧問機構Ponemon Institute曾在去年研究中提到,使用雲端應用的企業,其數據外洩的機率是未使用雲端應用企業的三倍;而在今年的研究報告更顯示,數據洩露的全球平均成本比前一年度增加了6.4%,達到386萬美元,其中,每一筆包含敏感和機密信息遺失或被盜用記錄的平均成本也比去年增加4.8%至148美元。


以下針對10個具關鍵性的雲端安全威脅,包含:數據外洩、人為疏失、數據遺失、內部威脅、分散式阻斷服務(DDoS)攻擊、不穩定的應用程式界面(API)、漏洞攻擊、帳戶攔劫、進階持續性威脅(APTs)和CPU漏洞,以及未來在選擇雲端科技時可以採取的步驟,簡單說明:

  1. 數據外洩:數據外洩的風險並非雲端運算所獨有,然而,它始終是雲端客戶最關切的議題。
  2. 人為疏失:Gartner研究機構副總裁Jay Heiser表示:「至2020年,95%的雲端安全過失都是由於客戶的疏失所造成。」
  3. 缺乏備份造成數據遺失:除非有適當的措施來備份數據,否則可能會造成客戶數據永久遺失的意外或災難。
  4. 內部威脅:最近的一份研究報告指出:「接受調查的組織中有53%證實它們的組織裡曾遭受內部安全攻擊。」
  5. DDoS攻擊:分散式阻斷服務 (DDoS) 攻擊會為雲端客戶以及供應商帶來重大風險,包含長時間的服務中斷、聲譽受損以及客戶數據外洩。
  6. 不穩定的應用程式界面(API):做為應用程式的公開「前門」,應用程式界面成為最可能遭受攻擊的切入點;藉由滲透測試可以找出使用中的API安全漏洞。
  7. 漏洞:雲端裡的多租戶(multitenancy)特性,讓客戶之間可共享運算資源,也代表其所共享的記憶體和資源,可能被惡意攻擊者用來建立新的攻擊途徑。
  8. 帳戶攔劫:使用竊取來的憑證,攻擊者可以進入雲端運算服務的關鍵區域,進而危害這些服務的機密性、完整性和可用性。
  9. 進階持續性威脅(APTs):許多進階持續性威脅,不僅針對雲端環境,也會透過公有雲服務來進行攻擊。
  10. Spectre及Meltdown硬體弱點:攻擊者可以利用Meltdown的硬體弱點來查看託管於同一硬體的虛擬伺服器上的數據,這對雲端運算主機來說是潛在性的災難。而Spectre甚至更糟,雖然它比較難被採用,但一旦被採用,也更難修復。

當選擇雲端技術和供應商時,有必要先制定一個完善的謹慎調查(due diligence)藍圖,並特別著重於災害復原以及安全性,包括滲透測試、系統修補與更新、災害復原計劃以及平均恢復時間等。