您好,欢迎您来到DOIT! [ 登录 ] [ 免费注册 ]
您的位置:DOIT云计算> 风:云趋势 > 分析评论 > 正文

为什么云服务如此容易入侵

DOIT云计算 13年03月04日 14:34 【转载】 作者:企业网D1Net 责任编辑:王雪杨

导读:云服务并非从根本上就脆弱,而是因为它们被设计得太糟糕;它们易受攻击是因为它们的使用者能够轻易被人的弱点所控制

关键词: 入侵 云服务

云服务并非从根本上就脆弱,而是因为它们被设计得太糟糕;它们易受攻击是因为它们的使用者能够轻易被人的弱点所控制。如果你的企业使用云计算服务却又不教育你的员工,数据一定会出纰漏,而你就等着名誉扫地吧。

资深“正派”黑客Peter Wood在伦敦数据中心世界的一次演示中提出了这样的说法。Wood的公司自1989年以来一直做渗透测试系统。虽然黑客入侵的技术方法已经发生了翻天覆地的变化,但访问信息所需的社会工程技术(即利用人的弱点,让人上当)从根本上是保持不变的。

“从安全的观点来看,云中有所不同的是当你租用软件即服务时,你已经将安全管理交给了第三方,” Wood说。“你想要将对安全的责任外包吗?你不能外包这个责任,你只能外包功能。这并不意味着安全性可以忽略不计,因为最终如果有一个数据破坏,这可是你的品牌和你的名声。“

“一个基于云计算的模型的最大问题是从任何地方登录的能力,以及这样一个事实——这主要是通过浏览器提供的,”wood继续说道。“在大多数情况下,认证是微不足道的。在大多数云环境中,并没有入侵检测或预防的概念,而且即使有,人们也不知道如何使用它们。”如果攻击者通过社会工程骗取合法的登陆认证,那这些技术也就毫无意义。

窃取这些凭证可以通过有针对性的攻击来完成。“钓鱼攻击作为一种主要入口点技术正在大量增加,”Wood表示。然而,在许多情况下,更多的基本技术,如打电话或假装为一个失去了远程登录认证的工人,可以起到同样有效的作用。“我们几乎每星期都会通过电话受到社会工程攻击,”伍德说。

要应对这个问题需要做些什么呢?“不要告诉员工他们是最薄弱环节让他们不好过,”伍德建议。“将他们转变为人类防火墙。投入时间和金钱,让员工明白,为什么这些攻击会发生,这些是真实的,以及如何抵御他们。“

另外两个简单的改变也有帮助。即确保员工只在重要的情况下才能具有管理访问系统的权利。Wood说:“那句老话在这里是毫无道理的——‘如果你在IT部门工作,你必须拥有管理员权限。’”伍德说。

最后,确保企业处理新员工或离职人员的程序有效地覆盖所有的凭证。“我们在大多数组织中发现的最大故障是加入者、活动者和离开者的过程速度都不够快,不够彻底。”

  • 人人网
  • 转播到腾讯微博腾讯微博
  • 新浪微博
热点文章排行
  • 微软重拳推出Office 365  微软重拳推出Office 365 2011年07月08日 经过大半年的准备,微软终于在今年6月份隆重推出了云计算办公套件Office 365。那么,Office 365作为微软集成了电子邮件、协作软件、字处理软件、电子表格和演示程序的办公套件重要产品之一,Office 365对微软来说到底是福是祸,能否为微软带来实质性的营收,能否让微软在新兴的云计算领域赢得一席之地?
  • 云计算和算计云 云计算和算计云 2011年06月22日 DOIT特别专题从云的历史进程到目前实施云的厂商,逐一谈起,让读者耳目一新的了解到现在云的现状以及如何不被云所算计。
  • 云端争夺战——IT厂商的盛宴 云端争夺战——IT厂商的盛宴 2010年07月27日 云计算到底是如何发迹的似乎已经不再重要了,重要的是它确实炙手可热。