「不过就四、五年前,我们去拜访一些企业、政府单位的时候,他们都坚决地说绝对不会上云。现在整个趋势都不一样,」在 IBM 担任威胁情资产品 X-force 的全球主管保罗?格里斯沃德(Paul Griswold)说。
他的观察反映全球企业在近五年来快速迁移到云端的现象。根据国际数据统计公司 Statista 的报告,2019 年全世界花在云端运算上的总额约 368.6 亿美元,比起 2014 年的 121.6 亿美元翻了超过三倍。
对追求数码转型的企业来说,上云的好处是显而易见的。云端运算省去实体数据中心的建置,让企业能更容易地规模化,提升营运效率。同时,云端也加速了应用的开发流程,再加上越来越多云端平台供应商如 AWS、Azure 及 Google Cloud Platform(GCP)快速发展,让企业上云的门槛也逐渐降低。
然而,就如同价值观的移转总是落后于制度的改变,与云端相关的资安风险,最主要的影响因素并非复杂的防御科技,而是企业本身的心态问题。
企业上云第一步:抛弃以数据中心为主的做事思维
根据 2018 年 IBM X-force 资安威胁报告,在所有遭到公开泄露的数据中,有 43% 是人为疏失导致。这个数字在前一年时不过才 17%。「人们用过去以数据中心为思维基础的做事方式把数据送上云端,这是一切问题的起始,」格里斯沃德指出。
过去在自有数据中心的开发环境下,资安常常是代码都写完后,最后才加上去的一层防护罩。然而云端却不容许你这么做,云端的规模化与高效率特性大大缩短程序从开发到推出、营运的流程。本来大约九到十个月的程序开发期,现在缩短到两周、甚至是一天。
格里斯沃德认为,在云端驱动的科技时代,资安观念应是代码的架构基础,而不是一个附加上去的功能。「工程师不应该出现『我现在要来处理资安防护了』的想法,而是打从一开始就把资安意识放在心上,」他说。
对于尝试上云的中小企业,格里斯沃德建议,要多留时间做上云的规划。他看过太多公司因为急着把应用传上云端导致代码内资安漏洞百出。「我知道作为开发者,将程序迁到云上是很兴奋的事。但你必须确保你们是用正确、安全的方式上云,」他强调。
▲「工程师不应该出现『我现在要来处理资安防护了』的想法,而是打从一开始就把资安意识放在心上,」格里斯沃德说。
在格里斯沃德眼里,云端运算催生的是一整个科技产业的典范转移。在这样一个筋骨汰换的过程里,我们正处于转换必经的阵痛期里。
20 年前的攻击手法,至今仍旧奏效
可是这样的阵痛期会多长呢?格里斯沃德给出一个不怎么乐观的例子。在 IBM 的年度威胁情资报告 X-force 里,像是网络钓鱼、企业老旧设备不安装新补丁等问题层出不穷。即便网络发达,基本资安意识就能阻绝的攻击,却始终能得逞。
当然,还是有一些新的攻击方式及趋势。举例来说,IBM 发现 2018 年利用电脑 CPU 及 GPU 进行挖矿的攻击行为比起前一年上升 450%。除了传统金融业以外,由于大数据兴起,掌握大量旅客个资的旅游业遭网攻的比例也大幅增加。
不过 20 年前恶意程序入侵的手段,至今仍存在。因此国际权威研究机构 Gartner 提醒,2022 年时会有 95% 的云端资安威胁源自人为疏失。
然而,黑客是不等人的。
科技迭代发展,资安思维却难以跟上
格里斯沃德表示,资安界目前面临的挑战有二。第一、由于黑客圈的情资分享很顺畅,许多网攻工具甚至以开源的方式公开在网络上,使得黑客越来越难应付。同时,基于面子问题,许多大公司并不互相分享情资,很多中小企业的资安人员是由 IT 管理人员兼任,在遇到勒索软件攻击的状况时,时常会选择付钱了事。「 直接付钱可能比请一个资安人员来得划算, 」格里斯沃德说。
第二,也因为新的攻击一直出现,旧的攻击也始终奏效,不同的资安防护技术及工具不断叠加,但这些东西缺乏统整。许多企业手里都有超过 80 种不同的资安工具,同时也导致资安人才越发稀缺。因为人们期待资安人员要懂得很多不同技术,这使得进入资安界的门槛越来越高。
「以我的经验来说,常常开出三个资安相关职缺,面试到最后,就只有一个人能真正符合要求,其他位子则继续空着。」他说。
至于格里斯沃德没说出口的第三个挑战,或许是最难改变的现实:在资安界里,攻击是一种技术,防御却不只如此 —— 它更是一种思维。无论是一般网络、云端或是未来由 5G 驱动的物联网时代,价值观都跟不上科技的改变。随着科技迭代发展,人们恐怕得为了落后的价值观付出更大的代价。
▲2017 年的 WannaCry 勒索软件攻击,是格里斯沃德在资安界做了二十多年,最难忘的一次经验之一。
大众缺乏资安思维的状况难以在短时间扭转,格里斯沃德也积极地思考一些解套的方法。例如,由 IBM X-Force 提供威胁情资的非营利资安专案 Quad9,就可以透过服务器的设定,让一般民众在不知情的情况下受到连线防护。
访问到尾声,好奇地问了格里斯沃德在资安界做了二十多年,最难忘的一次经验是什么?他说,2017 年 WannaCry 勒索软件攻击爆发时,他听朋友说,火车站内显示时程表的屏幕被切换成勒索软件的画面,大大地呈现在所有旅客面前。那不只暗示了有多少老旧的机台没有即时更新补丁的习惯,同时也是一种恐惧的公然散播。
确实,黑客是不等人的。不过,资安意识虽然难以推动,但在大众跟上以前,如格里斯沃德一样的资安大师,还是愿意走在前线,去打一般人难以想像的仗。问他为何喜欢这个产业?格里斯沃德笑说:「敌人永远在改变啊。这种充满动态的感觉,任何其他产业都找不到。」