「不过就四、五年前,我们去拜访一些企业、政府单位的时候,他们都坚决地说绝对不会上云。现在整个趋势都不一样,」在IBM担任威胁情资产品X-force的全球主管保罗?格里斯沃德(Paul Griswold)说。
他的观察反映全球企业在近五年来快速迁移到云端的现象。根据国际数据统计公司Statista的报告,2019年全世界花在云端运算上的总额约368.6亿美元,比起2014年的121.6亿美元翻了超过三倍。
对追求数码转型的企业来说,上云的好处是显而易见的。云端运算省去实体数据中心的建置,让企业能更容易地规模化,提升营运效率。同时,云端也加速了应用的开发流程,再加上越来越多云端平台供应商如AWS、Azure及Google Cloud Platform(GCP)快速发展,让企业上云的门槛也逐渐降低。
然而,就如同价值观的移转总是落后于制度的改变,与云端相关的资安风险,最主要的影响因素并非复杂的防御科技,而是企业本身的心态问题。
企业上云第一步:抛弃以数据中心为主的做事思维
根据2018年IBM X-force资安威胁报告,在所有遭到公开泄露的数据中,有43%是人为疏失导致。这个数字在前一年时不过才17%。「人们用过去以数据中心为思维基础的做事方式把数据送上云端,这是一切问题的起始,」格里斯沃德指出。
过去在自有数据中心的开发环境下,资安常常是代码都写完后,最后才加上去的一层防护罩。然而云端却不容许你这么做,云端的规模化与高效率特性大大缩短程序从开发到推出、营运的流程。本来大约九到十个月的程序开发期,现在缩短到两周、甚至是一天。
格里斯沃德认为,在云端驱动的科技时代,资安观念应是代码的架构基础,而不是一个附加上去的功能。「工程师不应该出现『我现在要来处理资安防护了』的想法,而是打从一开始就把资安意识放在心上,」他说。
对于尝试上云的中小企业,格里斯沃德建议,要多留时间做上云的规划。他看过太多公司因为急着把应用传上云端导致代码内资安漏洞百出。「我知道作为开发者,将程序迁到云上是很兴奋的事。但你必须确保你们是用正确、安全的方式上云,」他强调。
▲「工程师不应该出现『我现在要来处理资安防护了』的想法,而是打从一开始就把资安意识放在心上,」格里斯沃德说。
在格里斯沃德眼里,云端运算催生的是一整个科技产业的典范转移。在这样一个筋骨汰换的过程里,我们正处于转换必经的阵痛期里。
20年前的攻击手法,至今仍旧奏效
可是这样的阵痛期会多长呢?格里斯沃德给出一个不怎么乐观的例子。在IBM的年度威胁情资报告X-force里,像是网络钓鱼、企业老旧设备不安装新补丁等问题层出不穷。即便网络发达,基本资安意识就能阻绝的攻击,却始终能得逞。
当然,还是有一些新的攻击方式及趋势。举例来说,IBM发现2018年利用电脑CPU及GPU进行挖矿的攻击行为比起前一年上升450%。除了传统金融业以外,由于大数据兴起,掌握大量旅客个资的旅游业遭网攻的比例也大幅增加。
不过20年前恶意程序入侵的手段,至今仍存在。因此国际权威研究机构Gartner提醒,2022年时会有95%的云端资安威胁源自人为疏失。
然而,黑客是不等人的。
