數據泄露最近一直是行業媒體關注的主題,通常歸咎于云計算配置不當,并導致選民記錄,Verizon公司客戶數據,甚至是軍方機密在云存儲中對外泄露。
在以下的關于云計算安全的問答環節中,BetterCloud公司首席執行官兼創始人David Politis對為什么SaaS安全事件成為重大的新聞,以及企業如何控制這些云計算配置錯誤以保護數據進行了闡述和分析。
最近有很多關于云計算配置錯誤導致數據泄露的事件。您認為這是新出現的問題還是已經加劇的問題?
David Politis:自從人們開始采用SaaS應用程序以來,這個問題一直存在。但它直到現在才得到人們更多的關注,這是因為在很多情況下,錯誤配置直到為時已晚才被識別出來。在大多數情況下,業務配置在部署股票應用程序時就已到位,或者在多年前或六個月前更改設置時就已到位,并且直到一些泄露事件曝光發生時,組織才開始關注它。
例如我們與一些客戶探討的一個案例,三年前我們告訴他們將會遇到X、Y和Z問題,因為他們有太多的管理員,三年來這些問題一直處于休眠狀態沒有顯現。但突然間,他們遇到了一個問題,這些公司的所有員工的聯系方式泄露,而這是一家擁有10,000名員工的公司,這家公司的每位員工在此期間都可以訪問每一個電子郵件分發列表。
此外,我們的另一家客戶近日表示,“我們公司的一個超級管理員錯誤地刪除了公司的三分之一的員工資料。”這家公司大約有3000名員工,而該公司三分之一的員工的個人資料當時只剩下電子郵件,而沒有文件和日歷等其他信息,這讓他人認為這些人員被解雇了。
在此期間,這些員工認為他們被解雇了,因為他們無法獲得任何信息和數據。他們不得不去恢復相關應用程序。1000名員工面對這15分鐘的停機時間令人困惑。
我們已經看到了這些類型的事件的發生,這就是我們創辦數據安全公司的原因。但直到現在,這些SaaS應用程序的采用越來越多,以至于這些問題大規模發生,導致媒體對此進行宣傳報道。
您提到了云計算配置錯誤可能導致的不同SaaS安全問題。這些數據曝光事件是否掩蓋了更大的問題?
Politis:更多的是無意中所犯的錯誤,這使得它如此具有挑戰性。這不是一種惡意行為,雖然會遭遇惡意攻擊,但很多這些情況都不是惡意的。這是錯誤的配置,或者僅僅是某人犯下的一般性錯誤。甚至刪除用戶只是管理員誤操作的結果,這是因為管理員不了解如何配置應用程序以遵循最小權限模型??。
我認為,即使這是一個無意所犯的錯誤,對外泄露的數據類型也可能是最敏感的數據,因為我們已經達到了SaaS應用程序使用方式的臨界點。通常云計算被用作記錄系統。如果回到五年前,通常人們不會將云端視為一個存儲重要記錄的系統。而是一個次要的措施,可以在云端存放一些東西,也許是一些設計文件,但現在很多企業卻將人力資源等重要的文件存儲在云端。
最近,我們對客戶進行了安全評估,我們發現他們將所有的人力資源文件都存放在他們的云存儲系統中的公共文件夾中。而且按照客戶公司員工的說法,這種配置絕對不是惡意的,但這樣做很糟糕。我們發現諸如公開可用文件的員工背景檢查等文檔。如果其他人知道如何找到它們,就可以獲得這些資料。
我認為,這比企業員工資料被刪除15分鐘還要糟糕。而且是完全錯誤的。我們與客戶進行了溝通,其人力資源負責人對這些基于云計算的系統并不十分熟悉。他們只是在文件夾級別錯誤配置了一些東西,然后他們添加到該文件夾??的所有文件中,使其對外公開可用。但我們認為這樣可能更危險,因為也許這種事情正在發生,并且正在日復一日地發生,我認為實際上很難捕捉到這樣錯誤的行為。
是否所有企業都認為某處存在云計算配置錯誤?找到這些問題到底有多難?
Politis:根據我們的經驗,我們調查中的10個企業云環境中有9個企業存在配置錯誤,并且與組織的規模無關,而在其環境中的某個地方存在重大的或嚴重的錯誤配置。在大多數情況下可以找到錯誤的配置,但這有點像在大海撈針。它需要花費大量時間,因為唯一的方法是在管理控制臺中逐頁進行操作;點擊每個設置來查看每個組,查看每個頻道并查看每個文件夾。因此,除非現在以編程方式進行,否則沒有更好的方法可以做到這一點。
我們成立公司就是為了識別這些盲點。這是因為真的有需要。當我們查看這些環境并開始登錄Salesforce、Slack、Dropbox和Google時,可能需要幾個月的時間來完成一個擁有幾百名員工的環境的檢查,這需要檢查所有配置和所有不同的區域,因為這樣的環境,錯誤配置可能成為一個問題。
如今人們必須采用的方法是通過人工操作完成。這可能需要很長一段時間,而這取決于組織的規模,他們使用SaaS應用程序的時間,通常采用多少云平臺,以及他們擁有的數據蔓延管理,更重要的是,將跨越所有SaaS的權利,配置設置,以及權限的蔓延。
我們看到其中很大一部分問題都不是IT團隊的錯。在許多情況下,其錯誤配置可能早于IT組織成立的時間,因為SaaS應用程序的存在時間通常比IT組織或IT領導者入職時間還要長。
在許多情況下,最終用戶可能進行了錯誤配置,因為他們對這些應用程序有很多控制權。這可能是啟動了影子IT,并且以某種方式由影子IT配置。當應用程序被IT組織接管時,很多配置的清理工作都沒有完成,因此它不適合IT團隊所擁有的相同策略。
我們也有很多客戶,他們的管理員數量過多,這因為需要對銷售業務負責,一般來說,讓每個人都成為管理員并讓他們自己做出改變更容易。但是,當IT團隊公開接管Salesforce的安全性和管理時,找到所有錯誤配置所需的工作真的很難。這適用于Dropbox、Slack和任何與影子IT相關的東西,很多企業會遇到這些問題。
京公網安備 11010502049343號