這篇貼文是部落格貼文連載系列之一,當中我們會檢視 2017 年在網路安全領域中「勢在必然」(幾乎保證會發生) 以及「機會渺茫」(較不可能發生) 的預測。

以下是我們對 2017 年雲端環境的預測:

勢在必然

多重雲端的混合式安全策略會成為資安團隊間的新常態

過去數年以來,各組織的數位足跡已經超越了內部部署資料中心以及私有雲的限制,成為整合了 SaaS 與公共雲的新模式。到目前,資安團隊一直都處於被動狀態,同時嘗試著在其混合架構中實施全面性的安全策略。在 2017 年,我們將會見證各個資安團隊一同努力架構並建置多重雲端安全策略,以迎合其組織日漸增加的數位需求。在所有雲端中維護一致的安全態勢、普遍的能見度,以及安全管理的簡便性等需求,會驅使安全團隊將其策略延伸至公共與私有雲安全考量之外,同時著重於安全啟用 SaaS 應用程式

資料隱私法規的變動將會影響雲端安全選擇

跨邊界資料隱私法規在全球各組織對雲端運算選項的考量中扮演重要的角色。近期的國際情勢發展,諸如英國脫歐以及亞太地區跨邊界資料流量限制的拓展等,將讓 IT 安全產業的領導組織在 2017 年開始尋找能針對這些發展提供彈性與適應性的雲端安全廠商。雲端安全產品與服務必須能因應雲端間的多樣性、執行一致化的安全政策,同時適應所在國家的資料隱私法規。WildFire EU 雲便是讓區域部署遵循當地資料儲存法規的絕佳範例。它是一個全球雲端社群式威脅分析架構,能比對威脅資訊關聯性並建立防禦規則集,並能套用至歐洲以外各組織的公共雲、私有雲和 SaaS 等雲端應用。

公共雲端的大規模入侵行動

對利用公共雲的熱情與興趣讓我們想起了網際網路剛出現的那個年代。近乎每個我們曾接觸的組織皆在新的專案中使用或打算使用 Amazon Web Services (AWS) 或 Microsoft Azure。而從觀察中我們預測在公共雲環境中會有引起國際關注的儲存資料遺失安全事件。事實是,根據去年的資料遺失量而言,可能早已發生過一或多起成功入侵事件,但資料所在的詳細位置 (私有雲、公共雲、SaaS) 卻很少受到揭露。但隨著更多公司將其重要業務應用程式轉移至公共雲,情勢也肯定會有所變化。

此預測的根據有二。公共雲廠商遠比多數組織更為安全,但其防護僅適用於其背後的基礎架構,並不一定包括正在使用中的應用程式,賦予對這些應用程式的存取權以及使用這些應用程式時可用的資料。而攻擊者並不在乎其目標位於何處。他們的目標是存取至您的網路,他們可以透過導覽接近資料、智慧財產或多餘的運算資源等目標,然後無視其位置,執行最終目標。從這個觀點看來,您應該將公共雲部署視作資料中心的延伸,而所採取的防護步驟應無異於您保護資料中心的步驟。

公共雲風潮的速度,加上其「更為安全的基礎架構」的自我宣稱,在某種情況下會導致在安全防禦上抄捷徑,僅執行些微安全措施,或完全不做任何防範。我們太常聽到客戶或潛在客戶聲稱他們只要使用原生安全服務和/或單點安全產品便已足夠。然而實情是,這些基礎過濾與 ACL 對減少威脅足跡而言都隻是杯水車薪,而開放式的 TCP/80、TCP/443 能讓近 500 種各式應用程式通過,包括 Proxy、加密通道以及遠端存取應用程式。連接埠過濾功能無法預防威脅或控制檔案移動,結合亡羊補牢或幾乎無法預防已知威脅的單點產品也無濟於事。我們真心希望,隨著公共雲專案在數量與範圍上都有所增加,客戶在共享安全責任模型中也能盡他們的一份責任。所有客戶在考量時應包含應用程式層級的全面能見度與控制,以及對已知和未知威脅的預防,同時以能使用過去學習之經驗、持續增進防禦技巧的自動化措施為目標。

機會渺茫

自主化安全: 人工智慧與機器學習式安全架構的崛起

在 2016 年,市場向消費者推出了自動駕駛車輛與自拍無人機。這些創新背後的技術都非常仰賴人工智慧 (AI) 與機器學習 (ML) 來驅動。AI 與 ML 在網路安全中的使用已不是新鮮事。網路安全廠商過去已經能利用這些技術來進行威脅分析,並解決威脅情報所造成的大數據挑戰。然而,開源 AI/ML 架構的廣泛可用性以及與其相關的自動化簡便性,都將會重新定義資安團隊的安全自動化措施。現在,安全自動化還只是用在簡化與加速與網路安全政策定義與執行相關的單調工作上。不久後,資安團隊將會利用人工智慧與機器學習架構來在公共、私有與 SaaS 雲端基礎架構中施行預測性安全態勢。我們已經看見反映上述方法的雛型了。MineMeld 等開源專案的出現,形塑了資安團隊對運用外部威脅資料來依照組織特定需求自行設定安全政策的思考。到了 2017 年之後,我們將會看到網路安全自主化措施的崛起。

不安全的 API: 能駭入您雲端環境的顛覆性自動化攻擊

應用程式開發介面 (API) 已經成為了存取雲端服務不可或缺的一部分。意識到了與傳統驗證方式與憑證儲存實務相關的潛在問題 (也就是密碼寫死),雲端廠商實施了能簡化應用程式開發的驗證機制 (API 金鑰) 以及中繼資料服務 (暫時性密碼) 等替代方案。API 方法正在蔓延至所有雲端服務,並且在許多狀況下,其實非常不安全。它為駭客提供了全新的攻擊媒介,而到了 2017 年之後,我們將會聽說更多利用開放且不安全的 API 來入侵雲端的入侵事件。

您對雲端的網路安全預測為何呢?請在評論中跟我們分享您的想法,並記得鎖定本系列的下一篇貼文,我們將會分享我們對亞太地區的預測。

cp17-infographic-phase7


推薦內容

平台規格與功能摘要

May 2018 (PAN-OS 8.1) 規格與功能摘要僅用於比較 – 若需要最新資訊請參照其個別之規格表。

  • 370

防火牆概要

應用程式用途、使用者行為和錯綜複雜的網路基礎設施方面的根本轉變對網路 安全帶來新型態的威脅,暴露了傳統以連接埠控制技術為主的網路安全的弱 點。使用者想要透過各種不同類型的裝置存取更大量的應用程式,卻常忽略了 潛在的商務和安全性風險

  • 6740

VM-Series 新世代防火牆

世界各地的組織正在將其雲端和虛擬化計畫擴大到傳統數據中心和公有雲部署 之外。新的計畫包括將安全性作為 NFV 元件或更為完整的多租戶解決方案。

  • 3599

國立臺北科技大學

六年來,臺北科技大學一直依靠 Palo Alto Networks PA-4020 與 PA-5050 實現網 路功能、安全性、內容檢查和管理功能,以及實現可預測的防火牆效能。然而 ,由於輸送量需求快速增加,該大學需要升級其技術。作為臺灣規模最大、專 注於資訊科技和工程學的科技大學,在安全性方面引領行業至關重要。

  • 163

界定 21 世紀的 ICS 網路安全

執行摘要 隨著資訊技術廣泛運用以及支援網路連線能力提高,關鍵基礎設施和製造業開始採用 SCADA 和工業控制系統,其靈活性、速 度和成本節省程度均獲得前所未有的提高。工業物聯網 (IoT) 開始出現,能夠提供預測性維護之類的新功能,甚至是新的商業 模式。然而,隨著這一現代化一同到來的,還有不希望出現的 IT 弱點和其他威脅媒介,愈來愈多的惡意行為者 (例如民族國 家、網路罪犯和惡意內部人員) 正在企圖利用這些媒介。近年來,專門針對關鍵基礎設施和製造業資產擁有者的攻擊數量和複 雜程度不斷提升。現實世界的案例一再顯示,關鍵過程遭中斷,甚至 ICS 設備遭破壞。改善 ICS 安全性的需求比以往更多,並 且已然成為許多組織的董事會級別所關注的問題。

  • 61

攻擊者的思維

簡介 在這份白皮書中,我們將檢視攻擊者的思維;首先是深入瞭解他們的動機以及構成現今威脅形勢的進階攻擊方 法,這些攻擊方法讓我們需要更快速取得能夠防禦 (而不只是偵測) 已知與未知威脅的端點安全技術。接著,我 們會檢視一系列實際存在的攻擊活動,並逐步揭露攻擊者從散佈、安裝到執行惡意內容的各個步驟與手法。最 後,我們要為您呈現 Palo Alto Networks® Traps™ 進階端點防護技術會如何中斷每次攻擊的生命週期,並且經常 會在多個不同情境進行,帶給您遠超過舊式防毒軟體以及較現代的端點偵測與回應解決方案的功能 – 即便是對 零時差威脅也一樣。

  • 56