今年 7月，賽門鐵克的調研人員照例去跟大公司的 CIO、CISO們套瓷（做調研），了解企業中的云應用狀態。不出意料的是，絕大部分 CIO 又“被蒙在了鼓里”。他們認為，自家企業在使用云應用方面的數量大概只有 30 到 40 個，實際上這個數字高達 900 個。

除了影子應用，云端安全還遭受了諸多威脅。

最近，賽門鐵克召開了一場媒體溝通會，針對調研收集的云端安全威脅信息，賽門鐵克宣布推出集成網絡防御策略產品。

“與很多企業高管溝通時，發現他們所使用的安全產品和廠商多種多樣，有一個客戶曾表示，光是筆記本上運行的所謂安全管理程序就達到六個，有做終端管理，有些是防惡意程序的。如果一些大的銀行，他們所使用安全產品類型、類別高達20、30個，當中有些是針對特殊應用場景的，比如，加密管理，有些是比較通用的，像安全網關。企業對于這些不同的安全產品，首先是采購費用很高，其次是難以找到專業的安全產品管理人士。”賽門鐵克大中華區首席運營官羅少輝對雷鋒網說。

簡單的說，就是按照不同的應用場景，對用戶、信息、網頁的傳輸做相關保護。將用戶的不同安全產品、服務連在一起，構建一個網絡安全防御平臺，這個平臺能實現對不同的產品的聯動。

比如，憑借安全網關和終端防御產品能夠將攻擊與威脅攔截，安全事件發生時，安全網關可以發現，而安全網關和終端防御產品和相關服務進行溝通后，提醒終端安全管理，提醒其一旦碰到類似這種文檔，無論是通過郵件進來還是通過 USB 反攻擊進來的，都要做及時阻斷。這樣做的最大好處在于這些程序都能自動化發生，確保安全風險不會因為管理員的失誤而成為安全事件。

雷鋒網了解到，目前賽門鐵克該產品通過API接口實現第三方安全產品的集成，并把不同的安全產品設備的日志導入 SIEM平臺上進行大數據安全分析。

以下是羅少輝《保護云端安全》的部分演講內容，雷鋒網(公眾號：雷鋒網)編輯整理。

－－

威脅一：影子應用和影子數據

為什么企業高管對云端應用的理解有落差？

首先，大家對云方面的概念理解有誤，有些人認為云應用只是SaaS服務，比如BOX、dropbox、百度云等。但我們將其他的 web 應用，比如，郵箱和iCloud等也歸納為云應用，因為它們當中很多數據和管理都在云端實現管理，大部分被歸納在公有云體系內。很多企業的CIO、CISO對云應用的誤解在于，他們只看重企業的 SaaS 服務或者基礎架構方面的服務。

其次，很多用戶都會使用同步功能，就是把某個文檔直接同步到云盤上，很多企業的內部數據就會放到一個所謂的“影子應用”里。這對于企業有什么風險？像亞馬遜，因為第三方在數據操作流程上面有些錯誤，導致有些第三方能訪問到敏感數據，如一些企業重要數據和個人隱私數據。

如果是讓用戶通過所謂“影子應用”或影子數據，將企業中很多內部重要的文檔放到公有云上，對于數據安全是一個很大的漏洞。如果黑客攻破某一云盤的帳號，就能輕松盜取大量數據。一個星期前，美國一家叫Equfax的個人信息查詢服務的公司丟失了將近1億5千萬的個人隱私資料，而這些信息之后被曝光到網上。對于消費者來說，黑客拿走了包括個人姓名、地址、電話號碼等重要的個人數據，很容易在網上找到社交帳號，從而實行欺詐行為。

威脅二:企業內部所謂的邊界概念

過去，很多企業高管都是把所有數據放在數據中心，或是放在用戶的電腦中，但隨著移動應用和云的發展，大部分數據已經分別存儲在不同位置，企業邊界的概念逐漸消失。

就我個人而言，我習慣用手機下載很多公司的重要數據，包括郵件和其他工作文檔。隨著我去不同的地方拜訪，去不同的客戶，隨時在設備中訪問工作資料并進行交流。同時，數據也會隨著我的手機和我所使用的云應用慢慢分布到不同的位置。

所以，如今的企業數據已經不再單一存儲于固定位置，這對黑客而言便成為了一個好機會。

很多企業對云安全的概念還比較模糊，而企業高管，特別是管理員用戶能通過特定權限獲取企業的財務數據等等，于是黑客便會對這些用戶發送帶有惡意鏈接的郵件、短信、微信等，將其定向到一個虛假網站，要求輸入或更改密碼。過去在一些媒體活動中，我跟大家分享過不同的誘騙詐騙行為，有些是偷取用戶賬戶，然后連到詐騙網站，類似這種方法對黑客來說，成本并不高。因為做一個假網站和惡意郵件非常容易，他們只需要盯住某些重要領導和關鍵員工就可以發動相關攻擊。

對黑客來說，發動攻擊而獲取到的帳號，對他們有著巨大的利益誘惑，后續他們便能用同樣的帳號密碼訪問不同的網站。比如，嘗試用同樣的賬號密碼登錄微博等社交帳號，把重要的數據，包括郵件內容和企業內部敏感數據偷走。

威脅三：APT 攻擊

現在針對性攻擊和高級威脅攻擊非常多，過去有些大規模的國家跟國家間的攻擊。我們也看到，有些黑客利用國家的名義影響競選的結果。在云安全世界里，企業與消費者都可能面臨不同類型的攻擊手段。對于企業來說，云中的相關數據，應用和訪問人員權限，在過去監管是比較松散的。

挑戰：到底應該選擇哪家云供應商

云方面，如今企業面對的云不再是單一云。中國有很多不同類型的云，包括華為云，也有BAT所構建的云，還有很多像Amazon、Azure等國外的廠商所構建的云平臺。除了我們所提到的基礎架構服務以外，還有SaaS云服務。

對企業管理云來說，在云應用上面所遇到最大的挑戰：到底應該選擇哪家云供應商？哪家云供應商是最可靠的？

現在很多公有云提供商號稱他們有很多不同的安全相關服務和安全網絡的DDoS服務，但是很多企業沒有關注到一點：雖然在這些公有云平臺上，有很多與網絡安全基礎相關的數據，但一旦把云計算能力放到公有云平臺上，當中的應用相關保障和數據的安全都是企業客戶要承擔的責任。

企業到底有多少數據放到云平臺上的？哪些是放在傳統IDG上面的，要分割得 比較清楚。不然的話一不小心把很多敏感的數據放到公有云上面的話，就可能有些第三方操作的時候有一些權限攻擊，或者有些用戶有意圖的去惡意登陸，一旦黑客能登陸到公有云平臺上的話，很多企業數據都會受到損失。

面對不同的云，應該進行怎樣的連接也是很多企業 CIO/CISO 的一個困惑點。企業不可能只用單一的云平臺，他們會用不同的公有云平臺和不同的 SaaS 服務，在這當中云安全的整體可用性到底多高？服務水平到底怎么樣？這些都是需要關注的問題。

企業從過去通過總部實現網絡連接的數據訪問慢慢擴大到不同區域的用戶可以使用公用或私人設備直接連到公有云上。傳統的企業如果做相關數據的保護，一般是通過在不同的連接里面實現加密，希望通過加密或者在企業終端加入很多不同的安全類型產品，比如，WAF和其他不同類型網關，像其他網上行為管理和不同類型的安全產品，對用戶行為進行管理。但是對于不同的場景，無論是從企業進行控制還是到不同的地區辦公室和個人設備上進行管控都不十分可靠，因為及時企業能夠實現 SSL 加密，黑客同樣可以實現攻擊。很多企業只是用了SSL加密，黑客可以反過來利用加密的渠道作為發動攻擊的手段。

在我們的報告里面可以看到，現在有很多黑客是用通過加密的方式和漏洞派送一些惡意程序到不同企業的內部網站里，這些惡意程序能通過云的方式派送到用戶。

企業用戶面臨挑戰有幾大關鍵點：

第一點，現在許多IT部門，在做云策略時，并沒有與內部相關部門進行交流，所以企業中存在很多影子應用和影子數據。

第二點，對企業內部，特別是IT主管對總體云應用數量的認知與實際有比較大的偏差。

第三點，在很多企業無法在應用中識別、分類和精細化控制訪問并管理敏感數據，只是單一處理，無法對與合規性相關的數據進行保密處理。就像剛才提到的案例，很多應用如果跑到云上，可視性便會降低，到底有多少相關的影子數據到公有云上面？其實企業內部很難去進行準確的判斷。所以如何去保護和做相關內容和數據的防泄漏和加密對他來說也是一個很大的挑戰。

第四點，云端方面的威脅，比如惡意軟件獲取到一些重要人員和管理員帳號密碼，企業用戶一定是非常難在云上面去尋找到的，更別說還要做相關的保護。

第五點，企業的數據合規性也非常重要，特別是中國這邊，現在已經開始實行《網絡安全法》，不同的國家都會有對客戶數據隱私保護的要求，到底將多少數據放到公有云上還是放到本地，企業需要搞清楚。不然，數據泄露一旦發生，后果是無法控制的，這會對企業造成巨大的災難。而對于企業自身的品牌和客戶對他的信任度都會受到影響。

第六點，剛才提了很多安全威脅的檢測，這也是非常重要的。客戶慢慢從一個傳統的IDC概念邁向虛擬化，再走向云的平臺上。企業是否有足夠的能力把所有不同的應用，無論是在本地的，在云端的還是在相關公有云上面的數據做一個比較好的聯通。

第七點，現在很多企業在與我溝通時，都表現出對安全事件的重視。比如5月份Wannacry這種大規模安全事件發生以后，一些企業開始評估自身數據的安全性以及保護措施，比如終端防御是否到位，企業是否需要打補丁。當這類安全事件發生時，整個相應流程和人員分配等都是需要企業多多關注的。

關于云安全戰略，首席信息官應該問自己這四點：

第一，總體網絡安全和云安全，他們確實需要第三方安全顧問提供相應服務，比如，評估他們現有的網絡安全的架構和影子數據的情況到底有多嚴重。

第二，對于這些企業應用中，到底有哪些相關企業內部應用和云應用風險是比較高的。比如，他們的云系統和CRM系統或者ERP之類，企業內部很多相關關鍵應用如果萬一出現一些安全事故，有風險的話，他們首先要做一些相關評估。

第三，更重要的就是數據。中國的《網絡安全法》和國外相關國家對個人隱私的控管，都有比較嚴格的法規。如果不小心有一些威脅情況出現，對企業無論是本身的名譽還是客戶的都有很嚴重的影響。

第四，對用戶來說，在企業內部有多少他們是能做出評估的，風險是高、中、還是低？如果能評估出來的話，他們的應用使用云和不同的應用的時候風險水平有多高？你也可以做相關的措施，比如保護的機制。比如很多訪問可以進行動態密碼的保護，以確保一旦用戶帳號被竊取，黑客也無法騙取他的相關動態密碼，從而無法訪問關鍵數據。

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。