记者 |
随着数字化转型的推进,企业上云的进程不断加快,云上数据安全问题日益尖锐。在近日于福州举办的数字中国会议当中,界面新闻记者发现,云端数据安全成为许多厂商的热门展示功能。
IBM在2021年10月发布的《2021 X-Force云安全威胁形势报告》中披露,过去五年,在云端应用程序中公开的漏洞数量激增150%。暗网市场上已有近3万个已被入侵的云账号,销售价格从几美元到15000美元不等,具体取决于云资源的地理位置、账户上的信用额度和账户访问级别,而且暗网商家还提供了诱人的退款政策来吸引买家进行购买。
奇安信集团董事长齐向东在一场论坛中分析称,当前云端数据安全领域的难题主要有四个,公有云的安全漏洞、私有云的供应链安全、难于监管的API接口和漏洞百出的云端应用程序。
“数据放在公有云上,安全由云服务厂商说了算,数据丢没丢不知道,安全防护改没改也不知道。”齐向东称,公有云的应用层、管理层、虚拟化层、软件层都具备超级权限,理论上各个层级都可以看到平台当中的数据,对于用户而言,这是严重的“安全黑洞”。
在私有云上,许多第三方软件内部功能可能被层层外包,如果产品供应链当中的隐藏“后门”被忽视,就可能成为许多数据盗窃的来源。
齐向东对界面新闻表示,一个约一万人规模的企业,假设其数字化处于中等水平,内外系统之间的API接口会在10万以上,而风险在于,搭建和使用API的工程师可能并非都有足够的安全意识。在上述IBM发布的报告中亦提及,云环境中的安全问题有三分之二都是由于API配置不当。
云端应用程序是云端数据的大本营,同样是攻击的重要途径。“简单的应用程序投用后一般没有人维护,虽然能正常使用,但是可能存在漏洞等问题,成为攻击者利用的薄弱环节。”
数字经济时代,数据已经成为重要的生产要素,一旦数据出现问题,生产可能会受到严重影响。“80%-85%的数据盗窃事件都是内外勾结。”齐向东表示,企业要保护数据安全首先应该把特权账号管好,对于掌握特权账号的技术员、管理员以及操作员,应当予以重视。
齐向东建议,在服务模式上,应当建立“三方制衡”机制。乙方云服务商从自身利益出发,会隐瞒安全事故;丙方安全公司为履行职责,会全力以赴发现并推进解决安全问题;甲方用户就可以利用制衡机制,确保自身业务和数据安全。
在安全防护上,需要联合作战。“一个完整的安全体系里,应该有很多执行不同任务的安全产品,它们联合作战,在功能上互相弥补,才能实现保卫网络安全的目标。”他表示。
市场调研机构Gartner数据显示,2021年,全球云计算IaaS(基础设施即服务)市场规模为908.9亿美元,较2020年的642.9亿美元增长41.38%。中国云市场亦发展迅猛。据市场调研机构Canalys数据,2021年,中国的云基础设施市场规模达274亿美元,预计2026年达到847亿美元。
奇安信成立于2014年,在2016年360私有化期间,原任360总裁的创始人之一齐向东和周鸿祎“分家”,负责拆分后的360企业安全业务,即奇安信。奇安信的解决方案主要面向政府、运营商、国企和金融机构,提供防火墙、威胁感知、网站监测等产品。2020年7月,奇安信以56.10元/股价格募资57.19亿元,登陆科创板,2020年、2021年奇安信营收分别为41.6亿元、58.1亿元。
评论