這年頭，許多公司在以絕對驚人的速度生成數據，沒有理由認為這種情形會有所改變。雖然其中一些信息不是特別值得關注，但是要是其他種類的信息最后落到壞人手里，會要了企業組織的命。

這就是為什么你考慮將貴公司的數據放在哪里：放在本地還是云端如此重要的緣故。雖然兩者各有相對的優點，但在數據泄密屢見不鮮的這個時代，最重要的還是安全。

本文中，我們將探討這兩種方案的利弊、數據泄密可能發生的途徑，以及我們剛才提到的這兩種方案之間有沒有一種更安全的選擇。

　　將數據存儲在本地

將數據存儲在本地是指公司擁有自己的專用數據中心。傳統上，這是許多企業組織設計和維護網絡的方式。拋開其他方面不說，這需要物理硬件、該硬件所需的場地，以及備份和災難恢復服務。

盡管云越來越流行，但是許多公司還是偏愛本地系統。之所以如此青睞本地，主要原因是出于安全。許多企業對于將網絡外包出去或者放棄對網絡防御的控制權根本就不放心。

將數據存儲在云端

云其實是一個服務器網絡，每臺服務器滿足不同的功能。有些服務器存儲數據，有些運行應用程序。你可能注意到，自己越來越不從商店購買盒裝軟件;你支付月費在網上訪問平臺;這就是一種實際運行的云。

另一個常見的例子是將照片上傳到社交媒體網站。如果你用自己的手機拍照，照片存儲在手機的內部存儲驅動器中。一旦你將照片上傳到社交媒體網站，照片隨后存儲到該公司的云服務器上。

大多數人會熟悉的使用云的其他常見例子包括：

·SkyDrive

·Google Drive

·Dropbox

·Evernote

·iCloud

在企業層面，云可以用來存儲整個企業的數據。簡而言之，這些公司不再需要自己的本地數據中心用來放置數據。這樣一來，員工也很容易使用諸多不同的設備，從任何地方訪問公司網絡。

正如我們之前提到的那樣，如今有的公司將網絡放在云端，有的公司青睞本地環境，安全是主要原因之一。為了幫助確定你的數據到底放在哪里最安全，不妨先看一下過去泄密事件出現在哪里。

哪里出現的泄密事件更多?

要想準確地分類針對云端的攻擊更多還是針對本地的攻擊更多，那是不可能的。首先，我們根本不知道外頭到底發生了多少起攻擊，另外也無法開展準確的調查，即便我們想這么做。

我們只能看一下已知的攻擊，盡量做出有根據的猜測。

在此之前，有必要指出：近些年來，針對基于云的服務器攻擊有所增加。然而，這根本不足以宣稱本地環境更安全。隨著越來越多的公司開始采用云，黑客會亦步亦趨自在情理之中。

此外，我們談論的是企業層面的安全問題。2014年曾爆出新聞：有人從無數名人的蘋果設備竊取了私密照片，原因是名人把照片存儲在云端。黑客只要找到與某個帳戶有關的電子郵件地址，可以說成功了一半。

雖然這些攻擊引起了合理的關注，但這不是我們在談論“云”時所指的那種存儲。另外，這些攻擊也與我們在這里所說的泄密毫無關系。

為了幫助探討這個話題，我們請教了這個領域的專家杰夫·威廉姆斯(Jeff Williams)。威廉姆斯先生是Contrast Security公司的聯合創始人兼首席技術官。他最近接受了《福布斯》雜志的采訪，闡述了他對于數據泄密的認識。

據威廉姆斯先生聲稱，說到我們都熟悉的成為頭條新聞的攻擊，“大多數泄密與存儲在云端的數據無關。比如說，美國百貨公司塔吉特(Target)的安全泄密完全出在內部，攻擊者設法潛入到了銷售點(POS)網絡。”

不妨先從這個案例說起。

2014年塔吉特被黑

正如威廉姆斯先生指出，這次攻擊之所以得逞，是由于犯罪分子能夠訪問POS網絡。之后，他們得以竊取與4000多萬個借記卡和信用卡賬戶有關的信息。這些信息包括：

·全名

·地址

·電話號碼

·電子郵件地址

另外值得指出的是，在之前一年，3000萬顧客已淪為一次類似攻擊的受害者。實際上，由于塔吉特仍擁有數據，許多顧客中了兩次招。

這兩次攻擊據信給塔吉特造成的損失總共達到1.48億美元至1.62億美元。CEO和CIO也因此丟掉了飯碗。

這些攻擊讓塔吉特上了一份長長的“恥辱榜”，其他零售店也淪為了這種攻擊的受害者。其他零售店包括：

·奶品皇后(Dairy Queen)

·Jimmy Johns

·HEI酒店集團

有許多不同類型的POS惡意軟件，但是一旦犯罪分子盯上了某種類型的機器，并找到了用來攻擊的相應軟件，會有不計其數的公司淪為受害者。

2015年Anthem被黑

美國第二大健康保險公司Anthem在2015年被黑時，這在業界引起了恐慌。突然之間，其他的醫療公司不是得迅速查明自己是不是同樣易受攻擊(大多數如此，許多現在仍是如此)。

2015年Anthem被黑仍是同類中規模最大的一次。多達8000萬個記錄受到影響，但是這起事件讓這家公司實際損失多少根本不得而知。在這起歷史性泄密事件之后，它已經花了近1億美元。

雖然許多人將這起攻擊怪罪中國，但是并沒有抓到元兇。不過我們確實知道，攻擊者竊取了病人的個人信息，這包括如下：

·全名

·出生日期

·家庭地址

·社會保障號

·收入數據

雖然這家醫療保險公司采取了足夠的措施，以便將敏感數據發送到第三方時保護數據，但是它對于自家網絡的安全似乎自信過頭了。

2014年JP摩根·大通被黑

另一起載入史冊的攻擊發生在2014年。這回，JP摩根·大通是攻擊對象，不過后來發現對此事負責的犯罪分子攻擊了十多家公司;自2007年以來，可能撈到了數億美元的不義之財。

針對這家金融機構的這次成功攻擊是有史以來發現的最大規模的網絡犯罪活動之一。大約8000萬客戶的姓名、電子郵件地址及其他信息被竊取。

黑客的目標不是直接撈錢，而是獲取信息。獲取信息后，他們可以用信息誘騙客戶購買黑客自己已購買的便士股票。實際上，他們在策劃一場“拉高出貨”騙局，只是規模之大是世人之前從未見過的。他們在之前的其他活動中已經得逞，打算使用竊取而來的數據，開辦自己的金融服務公司。

他們竊取這些數據的方式似乎是利用了一個名為Heartbleed的加密安全軟件漏洞。一旦他們獲得了訪問權，甚至可以修復加密軟件，掩蓋行蹤。

光這三起事件可能會讓你認為：將貴公司的數據存放在云端顯然是明智之舉。然而，現在不妨看一下幾起臭名昭著的攻擊：遭殃的正是采取了這同一建議的公司。

2012年Dropbox被黑

最近才發現，四年前發生的Dropbox被黑事件導致6800多萬用戶的電子郵件帳戶信息泄密。

Dropbox被黑是個典例，它表明了許多IT專業人員在云方面擔心的問題。也就是說，如果黑客成功地闖入一家公司，他們對這家公司的數據就可以為所欲為。然而，如果黑客成功地闖入一家云服務提供商，那么眨眼之間，數百家、甚至數千家公司就會岌岌可危。

我們稍后會更深入地探討這個話題，但是暴露于黑客面前，攻擊Dropbox、獲得與成千上萬個帳戶有關的敏感信息的那個安全漏洞只是危及了一名員工。

這再次讓IT行業的許多人士不寒而栗。你總是可以采取更多的措施，確保自己的員工不上這種花招的當，確保他們的訪問保持在最基本的權限。但是一旦你信任第三方，確實需要信任對方。

2014年Code Spaces被黑

通過云攻擊的另一個例子發生在2014年，這回遭殃的是流行的Code Spaces托管公司。多年來，這家公司獲得來自世界各地的客戶，而且頗受好評。

2014年6月17日，第一次攻擊是通過DDoS攻擊發動的，后來進入到了該公司的亞馬遜EC2控制面板。黑客索取贖金，那樣這家公司才能重新獲得面板控制權。Code Spaces試圖通過恢復來重新獲得控制權后，黑客使用之前創建的備用登錄資料，開始刪除文件。

等到Code Spaces從黑客手里重新奪得控制權后，破壞已造成，而且相當嚴重。大部分數據、備份、異地備份和機器配置已部分或全部遭到破壞。

工作人員在網站上給出解釋，并表示歉意，描述了云提供商被黑后客戶公司可能面臨的糟糕局面：

“Code Spaces暫時無法運營，迄今為止解決這個問題所花的費用以及預計向無法正常享用服務的付費客戶退還所產生的費用，將讓Code Spaces在財務和信譽方面都處于無法挽回的地步。正因為如此，我們除了停止交易，致力于支持受影響的客戶將他們放在我們處的任何剩余數據導出去，別無選擇。”

結果，成千上萬家公司永遠丟失了全部或部分數據。

2010年美國財政部被黑

雖然那不是一起驚天動地的事件，但美國財政部是在改用云提供商后才過了一年(即在2010年)被黑的。因而，財政部的網站停運了四天。在最后無法正常上網之前，新訪客受到了惡意軟件的攻擊。

雖然許多人認為美國政府在網絡安全方面會走在最前沿，但這起攻擊是通過Eleonore Exploit Pack得逞的，這個惡意工具包當時只要花700美元就能搞到，基本上不需要什么技能就能使用。

這根本不是美國政府遭受的最嚴重的網絡攻擊;從最近的事件來看，相比之下它的危害性基本上不大。然而，那是公眾首次認識到政府將系統處包給第三方云提供商，這種程序可能是個問題。

遺憾的是，要是全面比較云攻擊和本地攻擊，我們可能要忙活好幾個月。這里亮明的主要觀點是，兩者同樣遭到不少的攻擊。雖然這應該會讓你對自家網絡的安全漏洞有一番了解，但是仍沒有解答我們的問題。

為此，進一步的信息必不可少，比如你竭力防范的是什么樣性質的安全泄密。我們會在后續的文章中繼續探討。

原文標題：Where Is Your Data Safer? In the Cloud Or On Premise?