企業上雲往往漏洞百出,專家點出資安界20年來未解的問題

2019.06.28 by
蔣曜宇
賀大新
近年來雲端興起,企業上雲蔚為風潮,但人為疏失卻成了雲端資安的最主要威脅。這不禁讓人們思考:大眾的資安意識,能有追上科技發展的一天嗎?

「不過就四、五年前,我們去拜訪一些企業、政府單位的時候,他們都堅決地說絕對不會上雲。現在整個趨勢都不一樣,」在IBM擔任威脅情資產品X-force的全球主管保羅・格里斯沃德(Paul Griswold)說。

他的觀察反映全球企業在近五年來快速遷移到雲端的現象。根據國際數據統計公司Statista的報告,2019年全世界花在雲端運算上的總額約368.6億美元,比起2014年的121.6億美元翻了超過三倍。

對追求數位轉型的企業來說,上雲的好處是顯而易見的。雲端運算省去實體資料中心的建置,讓企業能更容易地規模化,提升營運效率。同時,雲端也加速了應用的開發流程,再加上越來越多雲端平台供應商如AWS、Azure及Google Cloud Platform(GCP)快速發展,讓企業上雲的門檻也逐漸降低。

然而,就如同價值觀的移轉總是落後於制度的改變,與雲端相關的資安風險,最主要的影響因素並非複雜的防禦科技,而是企業本身的心態問題。

企業上雲第一步:拋棄以資料中心為主的做事思維

根據2018年IBM X-force資安威脅報告,在所有遭到公開洩露的資料中,有43%是人為疏失導致。這個數字在前一年時不過才17%。「人們用過去以資料中心為思維基礎的做事方式把資料送上雲端,這是一切問題的起始,」格里斯沃德指出。

過去在自有資料中心的開發環境下,資安常常是程式碼都寫完後,最後才加上去的一層防護罩。然而雲端卻不容許你這麼做,雲端的規模化與高效率特性大大縮短程式從開發到推出、營運的流程。本來大約九到十個月的程式開發期,現在縮短到兩週、甚至是一天。

格里斯沃德認為,在雲端驅動的科技時代,資安觀念應是程式碼的架構基礎,而不是一個附加上去的功能。「工程師不應該出現『我現在要來處理資安防護了』的想法,而是打從一開始就把資安意識放在心上,」他說。

對於嘗試上雲的中小企業,格里斯沃德建議,要多留時間做上雲的規劃。他看過太多公司因為急著把應用傳上雲端導致程式碼內資安漏洞百出。「我知道作為開發者,將程式遷到雲上是很興奮的事。但你必須確保你們是用正確、安全的方式上雲,」他強調。

「工程師不應該出現『我現在要來處理資安防護了』的想法,而是打從一開始就把資安意識放在心上,」格里斯沃德說。
賀大新

在格里斯沃德眼裡,雲端運算催生的是一整個科技產業的典範轉移。在這樣一個筋骨汰換的過程裡,我們正處於轉換必經的陣痛期裡。

20年前的攻擊手法,至今仍舊奏效

可是這樣的陣痛期會多長呢?格里斯沃德給出一個不怎麼樂觀的例子。在IBM的年度威脅情資報告X-force裡,像是網路釣魚、企業老舊設備不安裝新補丁等問題層出不窮。即便網路發達,基本資安意識就能阻絕的攻擊,卻始終能得逞。

當然,還是有一些新的攻擊方式及趨勢。舉例來說,IBM發現2018年利用電腦CPU及GPU進行挖礦的攻擊行為比起前一年上升450%。除了傳統金融業以外,由於大數據興起,掌握大量旅客個資的旅遊業遭網攻的比例也大幅增加。

不過20年前惡意程式入侵的手段,至今仍存在。因此國際權威研究機構Gartner提醒,2022年時會有95%的雲端資安威脅源自人為疏失。

然而,駭客是不等人的。

科技迭代發展,資安思維卻難以跟上

格里斯沃德表示,資安界目前面臨的挑戰有二。第一、由於駭客圈的情資分享很順暢,許多網攻工具甚至以開源的方式公開在網路上,使得駭客越來越難應付。同時,基於面子問題,許多大公司並不互相分享情資,很多中小企業的資安人員是由IT管理人員兼任,在遇到勒索軟體攻擊的狀況時,時常會選擇付錢了事。「 直接付錢可能比請一個資安人員來得划算, 」格里斯沃德說。

第二,也因為新的攻擊一直出現,舊的攻擊也始終奏效,不同的資安防護技術及工具不斷疊加,但這些東西缺乏統整。許多企業手裡都有超過80種不同的資安工具,同時也導致資安人才越發稀缺。因為人們期待資安人員要懂得很多不同技術,這使得進入資安界的門檻越來越高。

「以我的經驗來說,常常開出三個資安相關職缺,面試到最後,就只有一個人能真正符合要求,其他位子則繼續空著。」他說。

至於格里斯沃德沒說出口的第三個挑戰,或許是最難改變的現實:在資安界裡,攻擊是一種技術,防禦卻不只如此——它更是一種思維。無論是一般網路、雲端或是未來由5G驅動的物聯網時代,價值觀都跟不上科技的改變。隨著科技迭代發展,人們恐怕得為了落後的價值觀付出更大的代價。

2017年的WannaCry勒索軟體攻擊,是格里斯沃德在資安界做了二十多年,最難忘的一次經驗之一。
Unwire.pro

大眾缺乏資安思維的狀況難以在短時間扭轉,格里斯沃德也積極地思考一些解套的方法。例如,由IBM X-Force提供威脅情資的非營利資安專案Quad9,就可以透過伺服器的設定,讓一般民眾在不知情的情況下受到連線防護。

訪問到尾聲,好奇地問了格里斯沃德在資安界做了二十多年,最難忘的一次經驗是什麼?他說,2017年WannaCry勒索軟體攻擊爆發時,他聽朋友說,火車站內顯示時程表的螢幕被切換成勒索軟體的畫面,大大地呈現在所有旅客面前。那不只暗示了有多少老舊的機台沒有即時更新補丁的習慣,同時也是一種恐懼的公然散播。

確實,駭客是不等人的。不過,資安意識雖然難以推動,但在大眾跟上以前,如格里斯沃德一樣的資安大師,還是願意走在前線,去打一般人難以想像的仗。問他為何喜歡這個產業?格里斯沃德笑說:「敵人永遠在改變啊。這種充滿動態的感覺,任何其他產業都找不到。」

延伸閱讀

每日精選科技圈重要消息