這篇貼文是部落格貼文連載系列之一,當中我們會檢視 2017 年在網路安全領域中「勢在必然」(幾乎保證會發生) 以及「機會渺茫」(較不可能發生) 的預測。

以下是我們對 2017 年雲端環境的預測:

勢在必然

多重雲端的混合式安全策略會成為資安團隊間的新常態

過去數年以來,各組織的數位足跡已經超越了內部部署資料中心以及私有雲的限制,成為整合了 SaaS 與公共雲的新模式。到目前,資安團隊一直都處於被動狀態,同時嘗試著在其混合架構中實施全面性的安全策略。在 2017 年,我們將會見證各個資安團隊一同努力架構並建置多重雲端安全策略,以迎合其組織日漸增加的數位需求。在所有雲端中維護一致的安全態勢、普遍的能見度,以及安全管理的簡便性等需求,會驅使安全團隊將其策略延伸至公共與私有雲安全考量之外,同時著重於安全啟用 SaaS 應用程式

資料隱私法規的變動將會影響雲端安全選擇

跨邊界資料隱私法規在全球各組織對雲端運算選項的考量中扮演重要的角色。近期的國際情勢發展,諸如英國脫歐以及亞太地區跨邊界資料流量限制的拓展等,將讓 IT 安全產業的領導組織在 2017 年開始尋找能針對這些發展提供彈性與適應性的雲端安全廠商。雲端安全產品與服務必須能因應雲端間的多樣性、執行一致化的安全政策,同時適應所在國家的資料隱私法規。WildFire EU 雲便是讓區域部署遵循當地資料儲存法規的絕佳範例。它是一個全球雲端社群式威脅分析架構,能比對威脅資訊關聯性並建立防禦規則集,並能套用至歐洲以外各組織的公共雲、私有雲和 SaaS 等雲端應用。

公共雲端的大規模入侵行動

對利用公共雲的熱情與興趣讓我們想起了網際網路剛出現的那個年代。近乎每個我們曾接觸的組織皆在新的專案中使用或打算使用 Amazon Web Services (AWS) 或 Microsoft Azure。而從觀察中我們預測在公共雲環境中會有引起國際關注的儲存資料遺失安全事件。事實是,根據去年的資料遺失量而言,可能早已發生過一或多起成功入侵事件,但資料所在的詳細位置 (私有雲、公共雲、SaaS) 卻很少受到揭露。但隨著更多公司將其重要業務應用程式轉移至公共雲,情勢也肯定會有所變化。

此預測的根據有二。公共雲廠商遠比多數組織更為安全,但其防護僅適用於其背後的基礎架構,並不一定包括正在使用中的應用程式,賦予對這些應用程式的存取權以及使用這些應用程式時可用的資料。而攻擊者並不在乎其目標位於何處。他們的目標是存取至您的網路,他們可以透過導覽接近資料、智慧財產或多餘的運算資源等目標,然後無視其位置,執行最終目標。從這個觀點看來,您應該將公共雲部署視作資料中心的延伸,而所採取的防護步驟應無異於您保護資料中心的步驟。

公共雲風潮的速度,加上其「更為安全的基礎架構」的自我宣稱,在某種情況下會導致在安全防禦上抄捷徑,僅執行些微安全措施,或完全不做任何防範。我們太常聽到客戶或潛在客戶聲稱他們只要使用原生安全服務和/或單點安全產品便已足夠。然而實情是,這些基礎過濾與 ACL 對減少威脅足跡而言都隻是杯水車薪,而開放式的 TCP/80、TCP/443 能讓近 500 種各式應用程式通過,包括 Proxy、加密通道以及遠端存取應用程式。連接埠過濾功能無法預防威脅或控制檔案移動,結合亡羊補牢或幾乎無法預防已知威脅的單點產品也無濟於事。我們真心希望,隨著公共雲專案在數量與範圍上都有所增加,客戶在共享安全責任模型中也能盡他們的一份責任。所有客戶在考量時應包含應用程式層級的全面能見度與控制,以及對已知和未知威脅的預防,同時以能使用過去學習之經驗、持續增進防禦技巧的自動化措施為目標。

機會渺茫

自主化安全: 人工智慧與機器學習式安全架構的崛起

在 2016 年,市場向消費者推出了自動駕駛車輛與自拍無人機。這些創新背後的技術都非常仰賴人工智慧 (AI) 與機器學習 (ML) 來驅動。AI 與 ML 在網路安全中的使用已不是新鮮事。網路安全廠商過去已經能利用這些技術來進行威脅分析,並解決威脅情報所造成的大數據挑戰。然而,開源 AI/ML 架構的廣泛可用性以及與其相關的自動化簡便性,都將會重新定義資安團隊的安全自動化措施。現在,安全自動化還只是用在簡化與加速與網路安全政策定義與執行相關的單調工作上。不久後,資安團隊將會利用人工智慧與機器學習架構來在公共、私有與 SaaS 雲端基礎架構中施行預測性安全態勢。我們已經看見反映上述方法的雛型了。MineMeld 等開源專案的出現,形塑了資安團隊對運用外部威脅資料來依照組織特定需求自行設定安全政策的思考。到了 2017 年之後,我們將會看到網路安全自主化措施的崛起。

不安全的 API: 能駭入您雲端環境的顛覆性自動化攻擊

應用程式開發介面 (API) 已經成為了存取雲端服務不可或缺的一部分。意識到了與傳統驗證方式與憑證儲存實務相關的潛在問題 (也就是密碼寫死),雲端廠商實施了能簡化應用程式開發的驗證機制 (API 金鑰) 以及中繼資料服務 (暫時性密碼) 等替代方案。API 方法正在蔓延至所有雲端服務,並且在許多狀況下,其實非常不安全。它為駭客提供了全新的攻擊媒介,而到了 2017 年之後,我們將會聽說更多利用開放且不安全的 API 來入侵雲端的入侵事件。

您對雲端的網路安全預測為何呢?請在評論中跟我們分享您的想法,並記得鎖定本系列的下一篇貼文,我們將會分享我們對亞太地區的預測。

cp17-infographic-phase7