这年头,许多公司在以绝对惊人的速度生成数据,没有理由认为这种情形会有所改变。虽然其中一些信息不是特别值得关注,但是要是其他种类的信息最后落到坏人手里,会要了企业组织的命。
这就是为什么你考虑将贵公司的数据放在哪里:放在本地还是云端如此重要的缘故。虽然两者各有相对的优点,但在数据泄密屡见不鲜的这个时代,最重要的还是安全。
本文中,我们将探讨这两种方案的利弊、数据泄密可能发生的途径,以及我们刚才提到的这两种方案之间有没有一种更安全的选择。
将数据存储在本地
将数据存储在本地是指公司拥有自己的专用数据中心。传统上,这是许多企业组织设计和维护网络的方式。抛开其他方面不说,这需要物理硬件、该硬件所需的场地,以及备份和灾难恢复服务。
尽管云越来越流行,但是许多公司还是偏爱本地系统。之所以如此青睐本地,主要原因是出于安全。许多企业对于将网络外包出去或者放弃对网络防御的控制权根本就不放心。
将数据存储在云端
云其实是一个服务器网络,每台服务器满足不同的功能。有些服务器存储数据,有些运行应用程序。你可能注意到,自己越来越不从商店购买盒装软件;你支付月费在网上访问平台;这就是一种实际运行的云。
另一个常见的例子是将照片上传到社交媒体网站。如果你用自己的手机拍照,照片存储在手机的内部存储驱动器中。一旦你将照片上传到社交媒体网站,照片随后存储到该公司的云服务器上。
大多数人会熟悉的使用云的其他常见例子包括:
SkyDrive
Google Drive
Dropbox
Evernote
iCloud
在企业层面,云可以用来存储整个企业的数据。简而言之,这些公司不再需要自己的本地数据中心用来放置数据。这样一来,员工也很容易使用诸多不同的设备,从任何地方访问公司网络。
正如我们之前提到的那样,如今有的公司将网络放在云端,有的公司青睐本地环境,安全是主要原因之一。为了帮助确定你的数据到底放在哪里最安全,不妨先看一下过去泄密事件出现在哪里。
哪里出现的泄密事件更多?
要想准确地分类针对云端的攻击更多还是针对本地的攻击更多,那是不可能的。首先,我们根本不知道外头到底发生了多少起攻击,另外也无法开展准确的调查,即便我们想这么做。
我们只能看一下已知的攻击,尽量做出有根据的猜测。
在此之前,有必要指出:近些年来,针对基于云的服务器攻击有所增加。然而,这根本不足以宣称本地环境更安全。随着越来越多的公司开始采用云,黑客会亦步亦趋自在情理之中。
此外,我们谈论的是企业层面的安全问题。2014年曾爆出新闻:有人从无数名人的苹果设备窃取了私密照片,原因是名人把照片存储在云端。黑客只要找到与某个帐户有关的电子邮件地址,可以说成功了一半。
虽然这些攻击引起了合理的关注,但这不是我们在谈论“云”时所指的那种存储。另外,这些攻击也与我们在这里所说的泄密毫无关系。
为了帮助探讨这个话题,我们请教了这个领域的专家杰夫。威廉姆斯(Jeff Williams)。威廉姆斯先生是Contrast Security公司的联合创始人兼首席技术官。他最近接受了《福布斯》杂志的采访,阐述了他对于数据泄密的认识。
据威廉姆斯先生声称,说到我们都熟悉的成为头条新闻的攻击,“大多数泄密与存储在云端的数据无关。比如说,美国百货公司塔吉特(Target)的安全泄密完全出在内部,攻击者设法潜入到了销售点(POS)网络。”
不妨先从这个案例说起。
2014年塔吉特被黑
正如威廉姆斯先生指出,这次攻击之所以得逞,是由于犯罪分子能够访问POS网络。之后,他们得以窃取与4000多万个借记卡和信用卡账户有关的信息。这些信息包括:
全名
地址
电话号码
电子邮件地址
另外值得指出的是,在之前一年,3000万顾客已沦为一次类似攻击的受害者。实际上,由于塔吉特仍拥有数据,许多顾客中了两次招。
这两次攻击据信给塔吉特造成的损失总共达到1.48亿美元至1.62亿美元。CEO和CIO也因此丢掉了饭碗。
这些攻击让塔吉特上了一份长长的“耻辱榜”,其他零售店也沦为了这种攻击的受害者。其他零售店包括:
奶品皇后(Dairy Queen)
Jimmy Johns
HEI酒店集团
有许多不同类型的POS恶意软件,但是一旦犯罪分子盯上了某种类型的机器,并找到了用来攻击的相应软件,会有不计其数的公司沦为受害者。
2015年Anthem被黑
美国第二大健康保险公司Anthem在2015年被黑时,这在业界引起了恐慌。突然之间,其他的医疗公司不是得迅速查明自己是不是同样易受攻击(大多数如此,许多现在仍是如此)。
2015年Anthem被黑仍是同类中规模最大的一次。多达8000万个记录受到影响,但是这起事件让这家公司实际损失多少根本不得而知。在这起历史性泄密事件之后,它已经花了近1亿美元。
虽然许多人将这起攻击怪罪中国,但是并没有抓到元凶。不过我们确实知道,攻击者窃取了病人的个人信息,这包括如下:
全名
出生日期
家庭地址
社会保障号
收入数据
虽然这家医疗保险公司采取了足够的措施,以便将敏感数据发送到第三方时保护数据,但是它对于自家网络的安全似乎自信过头了。
2014年JP摩根。大通被黑
另一起载入史册的攻击发生在2014年。这回,JP摩根。大通是攻击对象,不过后来发现对此事负责的犯罪分子攻击了十多家公司;自2007年以来,可能捞到了数亿美元的不义之财。
针对这家金融机构的这次成功攻击是有史以来发现的最大规模的网络犯罪活动之一。大约8000万客户的姓名、电子邮件地址及其他信息被窃取。
黑客的目标不是直接捞钱,而是获取信息。获取信息后,他们可以用信息诱骗客户购买黑客自己已购买的便士股票。实际上,他们在策划一场“拉高出货”骗局,只是规模之大是世人之前从未见过的。他们在之前的其他活动中已经得逞,打算使用窃取而来的数据,开办自己的金融服务公司。
他们窃取这些数据的方式似乎是利用了一个名为Heartbleed的加密安全软件漏洞。一旦他们获得了访问权,甚至可以修复加密软件,掩盖行踪。
光这三起事件可能会让你认为:将贵公司的数据存放在云端显然是明智之举。然而,现在不妨看一下几起臭名昭著的攻击:遭殃的正是采取了这同一建议的公司。
2012年Dropbox被黑
最近才发现,四年前发生的Dropbox被黑事件导致6800多万用户的电子邮件帐户信息泄密。
Dropbox被黑是个典例,它表明了许多IT专业人员在云方面担心的问题。也就是说,如果黑客成功地闯入一家公司,他们对这家公司的数据就可以为所欲为。然而,如果黑客成功地闯入一家云服务提供商,那么眨眼之间,数百家、甚至数千家公司就会岌岌可危。
我们稍后会更深入地探讨这个话题,但是暴露于黑客面前,攻击Dropbox、获得与成千上万个帐户有关的敏感信息的那个安全漏洞只是危及了一名员工。
这再次让IT行业的许多人士不寒而栗。你总是可以采取更多的措施,确保自己的员工不上这种花招的当,确保他们的访问保持在最基本的权限。但是一旦你信任第三方,确实需要信任对方。
2014年Code Spaces被黑
通过云攻击的另一个例子发生在2014年,这回遭殃的是流行的Code Spaces托管公司。多年来,这家公司获得来自世界各地的客户,而且颇受好评。
2014年6月17日,第一次攻击是通过DDoS攻击发动的,后来进入到了该公司的亚马逊EC2控制面板。黑客索取赎金,那样这家公司才能重新获得面板控制权。Code Spaces试图通过恢复来重新获得控制权后,黑客使用之前创建的备用登录资料,开始删除文件。
等到Code Spaces从黑客手里重新夺得控制权后,破坏已造成,而且相当严重。大部分数据、备份、异地备份和机器配置已部分或全部遭到破坏。
工作人员在网站上给出解释,并表示歉意,描述了云提供商被黑后客户公司可能面临的糟糕局面:
“Code Spaces暂时无法运营,迄今为止解决这个问题所花的费用以及预计向无法正常享用服务的付费客户退还所产生的费用,将让Code Spaces在财务和信誉方面都处于无法挽回的地步。正因为如此,我们除了停止交易,致力于支持受影响的客户将他们放在我们处的任何剩余数据导出去,别无选择。”
结果,成千上万家公司永远丢失了全部或部分数据。
2010年美国财政部被黑
虽然那不是一起惊天动地的事件,但美国财政部是在改用云提供商后才过了一年(即在2010年)被黑的。因而,财政部的网站停运了四天。在最后无法正常上网之前,新访客受到了恶意软件的攻击。
虽然许多人认为美国政府在网络安全方面会走在最前沿,但这起攻击是通过Eleonore Exploit Pack得逞的,这个恶意工具包当时只要花700美元就能搞到,基本上不需要什么技能就能使用。
这根本不是美国政府遭受的最严重的网络攻击;从最近的事件来看,相比之下它的危害性基本上不大。然而,那是公众首次认识到政府将系统处包给第三方云提供商,这种程序可能是个问题。
遗憾的是,要是全面比较云攻击和本地攻击,我们可能要忙活好几个月。这里亮明的主要观点是,两者同样遭到不少的攻击。虽然这应该会让你对自家网络的安全漏洞有一番了解,但是仍没有解答我们的问题。
为此,进一步的信息必不可少,比如你竭力防范的是什么样性质的安全泄密。我们会在后续的文章中继续探讨。