揭秘云安全重大隐患:你的企业有“云执照”了吗?
来源:互联网 发布:淘宝标题营销词汇 编辑:程序博客网 时间:2024/04/30 12:49
作者:Ryan Flores(趋势科技资深威胁研究员)
本篇博客文章根据本人于 11 月 17 日在香港 2010 年信息安全高峰会 (Information Security Summit 2010) 的演讲而来。 作者:Ryan Flores(趋势科技资深威胁研究员)
云端运算是今日信息产业最重大的趋势之一。然而,云端的信息安全疑虑,一直是企业不愿将营运移转至云端的一大主因。让我们来看看云端运算的其中一项重要问题:验证。
目前许多验证机制都还停留在传统的方法,也就是:用户名称和密码。大家都已经对这类机制的问题了如指掌,只是,企业一旦移转至云端,这些问题将更加严重。
网络犯罪者很早就知道用户登入数据的重要性,因此,他们开发出许多技巧来窃取这些资料。目前大家还记忆犹新的两大网络银行木马程序 ZeuS 和 SpyEye 都会广泛利用各种不同技巧来窃取用户的登入数据。其中最有创意的一种方法,就是通过撷取屏幕画面来反制网络银行利用屏幕小键盘防止键盘记录程序的作法。
说 ZeuS 和 SpyEye 恐怖,还不足以形容其真正的威力。其最令企业寝食难安的能耐有二:第一,任何网站都可能成为攻击目标,包括那些从云端提供机密服务的网站。第二,即使是有 SSL 加密保护的登入页面也无法幸免。
更糟糕的是,根据趋势科技 2010上半年全球资安威胁报告,账号窃盗木马程序是所有恶意软件类型的最大宗。在可预见的未来,这样的趋势似乎不会有所改变。
除了恶意软件之外,员工本身也可能成为问题,因为员工可能在社交网络或社交媒体网站不经意透漏了一些关键的信息。光是回答社交网络上到处流行的一些测验,就可能透漏一些对攻击者有利用价值的信息,例如:可用来回答密码重设问题的答案,或者可用来假冒某公司员工的信息。
云端运算的要求之一,就是使用者可以从世界的任何角落存取云端上的服务,即使人在办公室外也无妨。然而,这样的使用模式却为采用云端服务的企业带来了新的风险。使用者可能会经由不安全的存取点连上网络,例如免费的 Wi-Fi 无线网络。
大家都喜欢免费的 Wi-Fi,但是不安全的无线网络很容易遭到窃听或遭到侧面挟持,尤其在 Firesheep 这样的工具出现之后,更是易如反掌。像这类「不安全的无线网络」并非机场或咖啡厅才有。许多家用的无线网络也都没有设定安全性。因此,这些网络也很容易遭到窃听或侧面挟持。
云端安全是一个涵盖多个环节的复杂问题。每一个环节,从装置、用户到网络存取点,都必须有妥善的安全防护。唯有三个环节都达到安全,IT 系统管理员才能肯定地说:是的,我们已经为云端做好准备,飞上云端前,我们已经拿到了“云执照”。
- 揭秘云安全重大隐患:你的企业有“云执照”了吗?
- 揭秘杀毒软件的救星:云安全解决方案
- 你一定会犯的云安全错误
- 云安全真的安全吗?
- 云安全的意义
- 云安全的意义
- 云安全的浅谈
- 面对安全管理问题你需要了解的云安全
- 怎样让你的云安全风险管理更加有效?
- ASP.NET虚拟主机存在的重大隐患
- ASP.NET虚拟主机存在的重大隐患
- 云安全,安全云
- 2016年云安全领域分类&厂商大全--你身边有几个?
- 云安全的原则是什么
- 揭秘:全球第一张云安全国际认证金牌得主
- 云栖大会之前 阿里云解释企业云安全架构逻辑
- 武装到“牙齿”!阿里云发布史上最强企业云安全架构 11层防护
- 云安全
- 079_《Delphi8入门与程序设计手册(Borland官方文档)》
- C#中DataList分页--使用PagedDataSource实现
- 如何对界面进行单元测试
- 用PHP调用C扩展整个配置过程(好辛苦呀)
- Ophone平台2D游戏引擎实现——物理引擎(一)(二)个人整理
- 揭秘云安全重大隐患:你的企业有“云执照”了吗?
- log4j 详解
- 劳动所得
- C# DES 问题
- 纯虚函数
- 劳动所得
- 关于函数返回指针
- 劳动所得
- FreeBSD上的一些系统命令