“不过就四、五年前,我们去拜访一些企业、政府单位的时候,他们都坚决地说绝对不会上云。现在整个趋势都不一样,”在IBM担任威胁情报资料产品X -force的全球主管保罗・格里斯沃德(Paul Griswold)说。
他的观察反映全球企业在近五年来快速迁移到云计算的现象。根据国际数据统计公司Statista的报告,2019年全世界花在云计算运算上的总额约368.6亿美元,比起2014年的121.6亿美元翻了超过三倍。
对追求数字转型的企业来说,上云的好处是显而易见的。云计算运算省去实体数据中心的构建,让企业能更容易地规模化,提升运营效率。同时,云计算也加速了应用的开发流程,再加上越来越多云计算平台供应商如AWS、Azure及Google Cloud Platform(GCP)快速发展,让企业上云的门槛也逐渐降低。
然而,就如同价值观的转移总是落后于制度的改变,与云计算相关的安全风险,最主要的影响因素并非复杂的防御科技,而是企业本身的心态问题。
企业上云第一步:抛弃以数据中心为主的做事思维
根据2018年IBM X-force安全威胁报告,在所有遭到公开泄露的数据中,有43%是人为疏失导致。这个数字在前一年时不过才17%。“人们用过去以数据中心为思维基础的做事方式把数据送上云计算,这是一切问题的起始,”格里斯沃德指出。
过去在自有数据中心的开发环境下,安全常常是程序代码都写完后,最后才加上去的一层防护罩。然而云计算却不容许你这么做,云计算的规模化与高效率特性大大缩短程序从开发到推出、运营的流程。本来大约九到十个月的程序开发期,现在缩短到两周、甚至是一天。
格里斯沃德认为,在云计算驱动的科技时代,安全观念应是程序代码的架构基础,而不是一个附加上去的功能。“工程师不应该出现“我现在要来处理安全防护了”的想法,而是打从一开始就把安全意识放在心上,”他说。
对于尝试上云的中小企业,格里斯沃德建议,要多留时间做上云的规划。他看过太多公司因为急着把应用传上云计算导致程序代码内安全漏洞百出。“我知道作为开发者,将程序迁到云上是很兴奋的事。但你必须确保你们是用正确、安全的方式上云,”他强调。
“工程师不应该出现“我现在要来处理安全防护了”的想法,而是打从一开始就把安全意识放在心上,”格里斯沃德说。
在格里斯沃德眼里,云计算运算催生的是一整个科技产业的典范转移。在这样一个筋骨汰换的过程里,我们正处于转换必经的阵痛期里。
20年前的攻击手法,至今仍旧奏效
可是这样的阵痛期会多长呢?格里斯沃德给出一个不怎么乐观的例子。在IBM的年度威胁情报资料报告X-force里,像是网络钓鱼、企业老旧设备不安装新补丁等问题层出不穷。即便网络发达,基本安全意识就能阻绝的攻击,却始终能得逞。
当然,还是有一些新的攻击方式及趋势。举例来说,IBM发现2018年利用计算机CPU及GPU进行挖矿的攻击行为比起前一年上升450%。除了传统金融业以外,由于大数据兴起,掌握大量旅客个人信息的旅游业遭网攻的比例也大幅增加。
不过20年前恶意程序入侵的手段,至今仍存在。因此国际权威研究机构Gartner提醒,2022年时会有95%的云计算安全威胁源自人为疏失。
然而,黑客是不等人的。
科技迭代发展,安全思维却难以跟上
格里斯沃德表示,安全界目前面临的挑战有二。第一、由于黑客圈的情报资料分享很顺畅,许多网攻工具甚至以开源的方式公开在网络上,使得黑客越来越难应对。同时,基于面子问题,许多大公司并不互相分享情报资料,很多中小企业的安全人员是由IT管理人员兼任,在遇到勒索软件攻击的状况时,时常会选择付钱了事。“ 直接付钱可能比请一个安全人员来得划算, ”格里斯沃德说。
第二,也因为新的攻击一直出现,旧的攻击也始终奏效,不同的安全防护技术及工具不断叠加,但这些东西缺乏规整。许多企业手里都有超过80种不同的安全工具,同时也导致安全人才越发稀缺。因为人们期待安全人员要懂得很多不同技术,这使得进入安全界的门槛越来越高。
“以我的经验来说,常常开出三个安全相关职缺,面试到最后,就只有一个人能真正符合要求,其他位子则继续空着。”他说。
至于格里斯沃德没说出口的第三个挑战,或许是最难改变的现实:在安全界里,攻击是一种技术,防御却不只如此——它更是一种思维。无论是一般网络、云计算或是未来由5G驱动的物联网时代,价值观都跟不上科技的改变。随着科技迭代发展,人们恐怕得为了落后的价值观付出更大的代价。
2017年的WannaCry勒索软件攻击,是格里斯沃德在安全界做了二十多年,最难忘的一次经验之一。
大众缺乏安全思维的状况难以在短时间扭转,格里斯沃德也积极地思考一些解套的方法。例如,由IBM X-Force提供威胁情报资料的非盈利安全项目Quad9,就可以通过服务器的设置,让一般人们在不知情的情况下受到连接防护。
访问到尾声,好奇地问了格里斯沃德在安全界做了二十多年,最难忘的一次经验是什么?他说,2017年WannaCry勒索软件攻击爆发时,他听朋友说,火车站内显示进程表的屏幕被切换成勒索软件的画面,大大地呈现在所有旅客面前。那不只暗示了有多少老旧的机台没有即时更新补丁的习惯,同时也是一种恐惧的公然散播。
确实,黑客是不等人的。不过,安全意识虽然难以推动,但在大众跟上以前,如格里斯沃德一样的安全大师,还是愿意走在前线,去打一般人难以想象的仗。问他为何喜欢这个产业?格里斯沃德笑说:“敌人永远在改变啊。这种充满动态的感觉,任何其他产业都找不到。”