雲端還是本地，資料放哪兒更安全之洩密事件篇

這年頭，許多公司在以絕對驚人的速度生成資料，沒有理由認為這種情形會有所改變。雖然其中一些資訊不是特别值得關注，但是要是其他種類的資訊最後落到壞人手裡，會要了企業組織的命。

這就是為什麼你考慮将貴公司的資料放在哪裡：放在本地還是雲端如此重要的緣故。雖然兩者各有相對的優點，但在資料洩密屢見不鮮的這個時代，最重要的還是安全。

本文中，我們将探讨這兩種方案的利弊、資料洩密可能發生的途徑，以及我們剛才提到的這兩種方案之間有沒有一種更安全的選擇。

雲端還是本地，資料放哪兒更安全之洩密事件篇

　　将資料存儲在本地

将資料存儲在本地是指公司擁有自己的專用資料中心。傳統上，這是許多企業組織設計和維護網絡的方式。抛開其他方面不說，這需要實體硬體、該硬體所需的場地，以及備份和災難恢複服務。

盡管雲越來越流行，但是許多公司還是偏愛本地系統。之是以如此青睐本地，主要原因是出于安全。許多企業對于将網絡外包出去或者放棄對網絡防禦的控制權根本就不放心。

将資料存儲在雲端

雲其實是一個伺服器網絡，每台伺服器滿足不同的功能。有些伺服器存儲資料，有些運作應用程式。你可能注意到，自己越來越不從商店購買盒裝軟體;你支付月費在網上通路平台;這就是一種實際運作的雲。

另一個常見的例子是将照片上傳到社交媒體網站。如果你用自己的手機拍照，照片存儲在手機的内部存儲驅動器中。一旦你将照片上傳到社交媒體網站，照片随後存儲到該公司的雲伺服器上。

大多數人會熟悉的使用雲的其他常見例子包括：

·SkyDrive

·Google Drive

·Dropbox

·Evernote

·iCloud

在企業層面，雲可以用來存儲整個企業的資料。簡而言之，這些公司不再需要自己的本地資料中心用來放置資料。這樣一來，員工也很容易使用諸多不同的裝置，從任何地方通路公司網絡。

正如我們之前提到的那樣，如今有的公司将網絡放在雲端，有的公司青睐本地環境，安全是主要原因之一。為了幫助确定你的資料到底放在哪裡最安全，不妨先看一下過去洩密事件出現在哪裡。

哪裡出現的洩密事件更多?

要想準确地分類針對雲端的攻擊更多還是針對本地的攻擊更多，那是不可能的。首先，我們根本不知道外頭到底發生了多少起攻擊，另外也無法開展準确的調查，即便我們想這麼做。

我們隻能看一下已知的攻擊，盡量做出有根據的猜測。

在此之前，有必要指出：近些年來，針對基于雲的伺服器攻擊有所增加。然而，這根本不足以宣稱本地環境更安全。随着越來越多的公司開始采用雲，黑客會亦步亦趨自在情理之中。

此外，我們談論的是企業層面的安全問題。2014年曾爆出新聞：有人從無數名人的蘋果裝置竊取了私密照片，原因是名人把照片存儲在雲端。黑客隻要找到與某個帳戶有關的電子郵件位址，可以說成功了一半。

雖然這些攻擊引起了合理的關注，但這不是我們在談論“雲”時所指的那種存儲。另外，這些攻擊也與我們在這裡所說的洩密毫無關系。

為了幫助探讨這個話題，我們請教了這個領域的專家傑夫·威廉姆斯(Jeff Williams)。威廉姆斯先生是Contrast Security公司的聯合創始人兼首席技術官。他最近接受了《福布斯》雜志的采訪，闡述了他對于資料洩密的認識。

據威廉姆斯先生聲稱，說到我們都熟悉的成為頭條新聞的攻擊，“大多數洩密與存儲在雲端的資料無關。比如說，美國百貨公司塔吉特(Target)的安全洩密完全出在内部，攻擊者設法潛入到了銷售點(POS)網絡。”

不妨先從這個案例說起。

2014年塔吉特被黑

正如威廉姆斯先生指出，這次攻擊之是以得逞，是由于犯罪分子能夠通路POS網絡。之後，他們得以竊取與4000多萬個借記卡和信用卡賬戶有關的資訊。這些資訊包括：

·全名

·位址

·電話号碼

·電子郵件位址

另外值得指出的是，在之前一年，3000萬顧客已淪為一次類似攻擊的受害者。實際上，由于塔吉特仍擁有資料，許多顧客中了兩次招。

這兩次攻擊據信給塔吉特造成的損失總共達到1.48億美元至1.62億美元。CEO和CIO也是以丢掉了飯碗。

這些攻擊讓塔吉特上了一份長長的“恥辱榜”，其他零售店也淪為了這種攻擊的受害者。其他零售店包括：

·奶品皇後(Dairy Queen)

·Jimmy Johns

·HEI酒店集團

有許多不同類型的POS惡意軟體，但是一旦犯罪分子盯上了某種類型的機器，并找到了用來攻擊的相應軟體，會有不計其數的公司淪為受害者。

2015年Anthem被黑

美國第二大健康保險公司Anthem在2015年被黑時，這在業界引起了恐慌。突然之間，其他的醫療公司不是得迅速查明自己是不是同樣易受攻擊(大多數如此，許多現在仍是如此)。

2015年Anthem被黑仍是同類中規模最大的一次。多達8000萬個記錄受到影響，但是這起事件讓這家公司實際損失多少根本不得而知。在這起曆史性洩密事件之後，它已經花了近1億美元。

雖然許多人将這起攻擊怪罪中國，但是并沒有抓到元兇。不過我們确實知道，攻擊者竊取了病人的個人資訊，這包括如下：

·出生日期

·家庭位址

·社會保障号

·收入資料

雖然這家醫療保險公司采取了足夠的措施，以便将敏感資料發送到第三方時保護資料，但是它對于自家網絡的安全似乎自信過頭了。

2014年JP摩根·大通被黑

另一起載入史冊的攻擊發生在2014年。這回，JP摩根·大通是攻擊對象，不過後來發現對此事負責的犯罪分子攻擊了十多家公司;自2007年以來，可能撈到了數億美元的不義之财。

針對這家金融機構的這次成功攻擊是有史以來發現的最大規模的網絡犯罪活動之一。大約8000萬客戶的姓名、電子郵件位址及其他資訊被竊取。

黑客的目标不是直接撈錢，而是擷取資訊。擷取資訊後，他們可以用資訊誘騙客戶購買黑客自己已購買的便士股票。實際上，他們在策劃一場“拉高出貨”騙局，隻是規模之大是世人之前從未見過的。他們在之前的其他活動中已經得逞，打算使用竊取而來的資料，開辦自己的金融服務公司。

他們竊取這些資料的方式似乎是利用了一個名為Heartbleed的加密安全軟體漏洞。一旦他們獲得了通路權，甚至可以修複加密軟體，掩蓋行蹤。

光這三起事件可能會讓你認為：将貴公司的資料存放在雲端顯然是明智之舉。然而，現在不妨看一下幾起臭名昭著的攻擊：遭殃的正是采取了這同一建議的公司。

2012年Dropbox被黑

最近才發現，四年前發生的Dropbox被黑事件導緻6800多萬使用者的電子郵件帳戶資訊洩密。

Dropbox被黑是個典例，它表明了許多IT專業人員在雲方面擔心的問題。也就是說，如果黑客成功地闖入一家公司，他們對這家公司的資料就可以為所欲為。然而，如果黑客成功地闖入一家雲服務提供商，那麼眨眼之間，數百家、甚至數千家公司就會岌岌可危。

我們稍後會更深入地探讨這個話題，但是暴露于黑客面前，攻擊Dropbox、獲得與成千上萬個帳戶有關的敏感資訊的那個安全漏洞隻是危及了一名員工。

這再次讓IT行業的許多人士不寒而栗。你總是可以采取更多的措施，確定自己的員工不上這種花招的當，確定他們的通路保持在最基本的權限。但是一旦你信任第三方，确實需要信任對方。

2014年Code Spaces被黑

通過雲攻擊的另一個例子發生在2014年，這回遭殃的是流行的Code Spaces托管公司。多年來，這家公司獲得來自世界各地的客戶，而且頗受好評。

2014年6月17日，第一次攻擊是通過DDoS攻擊發動的，後來進入到了該公司的亞馬遜EC2控制台。黑客索取贖金，那樣這家公司才能重新獲得面闆控制權。Code Spaces試圖通過恢複來重新獲得控制權後，黑客使用之前建立的備用登入資料，開始删除檔案。

等到Code Spaces從黑客手裡重新奪得控制權後，破壞已造成，而且相當嚴重。大部分資料、備份、異地備份和機器配置已部分或全部遭到破壞。

從業人員在網站上給出解釋，并表示歉意，描述了雲提供商被黑後客戶公司可能面臨的糟糕局面：

“Code Spaces暫時無法營運，迄今為止解決這個問題所花的費用以及預計向無法正常享用服務的付費客戶退還所産生的費用，将讓Code Spaces在财務和信譽方面都處于無法挽回的地步。正因為如此，我們除了停止交易，緻力于支援受影響的客戶将他們放在我們處的任何剩餘資料導出去，别無選擇。”

結果，成千上萬家公司永遠丢失了全部或部分資料。

2010年美國财政部被黑

雖然那不是一起驚天動地的事件，但美國财政部是在改用雲提供商後才過了一年(即在2010年)被黑的。因而，财政部的網站停運了四天。在最後無法正常上網之前，新訪客受到了惡意軟體的攻擊。

雖然許多人認為美國政府在網絡安全方面會走在最前沿，但這起攻擊是通過Eleonore Exploit Pack得逞的，這個惡意工具包當時隻要花700美元就能搞到，基本上不需要什麼技能就能使用。

這根本不是美國政府遭受的最嚴重的網絡攻擊;從最近的事件來看，相比之下它的危害性基本上不大。然而，那是公衆首次認識到政府将系統處包給第三方雲提供商，這種程式可能是個問題。

遺憾的是，要是全面比較雲攻擊和本地攻擊，我們可能要忙活好幾個月。這裡亮明的主要觀點是，兩者同樣遭到不少的攻擊。雖然這應該會讓你對自家網絡的安全漏洞有一番了解，但是仍沒有解答我們的問題。

為此，進一步的資訊必不可少，比如你竭力防範的是什麼樣性質的安全洩密。我們會在後續的文章中繼續探讨。

本文轉自d1net（轉載）