從索尼洩密看雲計算安全

2021-09-08 23:07:05 字數 3001 閱讀 1307

索尼洩密事件時間表

4月19日,索尼宣布關閉**服務。

4月26日,索尼對外公布**遭遇黑客入侵,使用者信用卡等個人資訊或遭洩漏。當日索尼公司在其官方部落格上表示,「我們通知您,您的信用卡號(不包括安全碼)和截止日期可能已經被掌握,請保持高度警惕。我們正在調查事件細節,相信一些非法人士已經掌握您提供的如下資訊:姓名,住址(城市、州和郵編)、國家、電子郵件、生日。還可能包括你的個人資料、採購歷史和賬單位址(城市、州和郵編),以及您的play station網路/qriocity密碼安全答案。」

5月1日,索尼公司高層正式向公眾道歉並承諾盡快恢復**服務。

5月2日,僅事隔一天,索尼伺服器再遭黑客攻擊,該公司的另外一款遊戲「qriocity」服務也有近2500萬使用者被黑客竊取了姓名、位址和密碼。這兩次洩密事件使得索尼資料遭竊案受影響的使用者可能超過1億人,成為迄今規模最大的使用者資料外洩案。

5月9日,據國外**報道,索尼第三次遭遇網路黑客攻擊,一台儲存了2023年索尼「sweepstakes」比賽選手資料的伺服器被黑客攻陷。

從索尼洩密看雲計算安全

本次的索尼洩密事件最為直觀的向人們展示了當雲計算遭遇攻擊後所將帶來的破壞性損失。此前,普渡大學電腦安全專家吉尼•斯塔福德(gene stafford)教授在美國國會作證時稱,索尼使用了過時的apache web伺服器軟體,同時也沒有安裝防火牆。但索尼方面斷然否認了斯塔福德的說法。

去年,中國雲計算聯盟列出了雲計算安全七宗罪:資料丟失/洩漏、共享技術漏洞、內奸、不安全的應用程式介面、沒有正確運用雲計算、未知的風險。索尼洩密事件的真實原因尚不得而知,但從中我們可以發現一些雲計算服務端的安全問題。

雲端應用潛藏未知威脅

從索尼目前公布的資料來看,黑客可能是通過索尼的某台應用伺服器為跳板實施的入侵。可以肯定的是,索尼雲平台存在未能及時發現的安全漏洞才讓黑客尋得入侵的機會。比對雲計算安全七宗罪來看,「不安全的應用程式介面」與「共享技術漏洞」很可能是罪魁禍首之一。

雲計算的伺服器端正儲存著這海量的應用,同時伺服器自身也是依賴於各類應用才能得以順暢運轉,為使用者隨時提供服務。對於惡意攻擊者而言,他們或者可以通過安全等級更低的使用者終端裡的應用程式漏洞,逆向潛伏進入雲計算的伺服器端;或者直接利用雲計算伺服器端應用程式的隱藏漏洞直接實施入侵。

可以說,應用安全問題在新網際網路時代裡至關重要,特別是對於新網際網路環境下的雲計算,提**用服務是其核心目的。而這個核心地帶,正在成為安全關注的新焦點。索尼通過psn等公有雲平台為其廣大使用者隨時隨地的提**用服務,而雲端應用所潛藏的各類未知安全威脅,也將索尼公有雲平台置於了危險之中。

全球傳統行業裡的一些大型巨頭(如:金融巨頭)就是出於安全問題的考慮,尚不敢採用公有雲模式,而是在其內部搭建了私有雲系統。借助其現有安全防護體系,確保私有雲的安全性。

雲端資料需加強防護

惡意攻擊者實現成功地入侵並不是其最終目的,在當今網際網路時代,網路犯罪集團的本質目的是為了最大化的獲取經濟利益。惡意攻擊者成功入侵後還需要找尋有價值的資料資訊,並將這些資訊竊取到惡意攻擊者的老巢裡。如果這些資料已經被加密保護,那麼惡意攻擊者還需要進行反向解密操作,獲取真實的資料。最後將這些資料販賣或者公布出去,惡意攻擊者才最終實現了自己的目的。

如果索尼採取了嚴密的資料丟失防護,那麼哪怕惡意攻擊者成功入侵了索尼的雲端伺服器,也依然難以獲得有效的資料資訊。但就在索尼被入侵不久,就有黑客在論壇上掛牌銷售220萬個來自索尼psn網路資料洩漏受害者的個人資訊,雖然之前索尼曾表示信用卡資訊已經得到加密,但事實上資料庫裡的內容已經被讀出。目前看來,索尼對其雲端資料的安全防護並不嚴密。也正因此,才又一次給惡意攻擊者開啟了方便之門。

整個網際網路世界的本質,就是由「0」、「1」所組成的各類資料。可以說,網際網路的安全問題,本質上就是資料的安全問題。如果能夠實現對資料的嚴密防護,那麼所有的惡意入侵都將變為無效的攻擊。

要相對雲端的資料進行有效的防護,至少要做到三點:對資料的儲存容器資料庫做好嚴密防護;對資料自身進行加密保護;設定嚴謹的操作許可權,使得惡意攻擊者找不到資料、拿不走資料、看不到資料。

從本次洩密事件來看,索尼在其雲端平台的資料安全防護方面似乎很薄弱,甚至可能是根本就沒有建立乙個嚴謹的資料丟失防護體系。

雲端安全管理至關重要

這次的索尼洩密門裡最引人注目的一點是,在索尼方面發現遭遇入侵後的半個月時間裡,索尼又接連遭遇黑客入侵卻束手無策,只能聽任惡意攻擊者隨意入侵其雲端伺服器,竊取各類使用者資料資訊。這恰恰暴露了索尼對其雲計算平台的安全管理中,存在著致命的缺陷。實際上,正是在入侵事件暴露後,索尼才宣布新設立首席資訊保安官一職,負責監管psn網路安全。

安全防護中最為重要的乙個環節就是安全管理,乙個企業即便購買並部署了眾多的安全防護裝置,可如果沒有乙個有效的安全管理體系,那麼一切安全裝置就都只是擺設。如果缺少了有效的安全管理,那麼就不能實現有效的監督與制衡機制,無法及時發現潛在的安全威脅。

特別是對於雲計算,大資料量聚集在雲計算服務端,其背後所蘊藏的安全問題也極為驚人,網路管理、安全管理缺一不可。但現在,雲計算平台的網路管理已經被深入實施,而安全管理雖然已經被人們所認識,但依然缺乏具體的實施,索尼洩密門就是一件典型的代表事件。雲計算平台裡的資料需要管理、雲計算平台裡的應用需要管理、雲計算平台裡的人員需要管理,安全管理涉及到雲計算體系的每個部分。正是由於安全管理的缺失,使得惡意入侵者可以從容的、一次又一次的侵入索尼雲端平台,肆意竊取使用者資料。

雲計算的未來要「杞人憂天」不要「因噎廢食」

索尼洩密門事件,折**新網際網路時代下雲計算的諸多安全問題。實際上,本次惡意攻擊者對索尼雲平台發起的入侵及資料的竊取還僅僅算是小試牛刀,惡意攻擊者所能造成的破壞還可以更大。比如:將惡意程式嵌入索尼雲端平台的各類應用程式裡,借助索尼雲服務平台,進行更為廣泛的傳播,讓破壞力更加深入。

但是,雲計算是未來發展的主流,雲計算給人們帶來的便利遠大於其安全問題所帶來的損失,我們不能由於各類雲計算安全事件的發生就因噎廢食。索尼洩密事件給了人們很好的警醒,讓人們更加清晰的發現了雲計算的安全缺陷。為了保障雲計算能更好的服務於人類,我們鼓勵在對待雲計算安全問題上持「杞人憂天」的態度,從最壞的角度去思考、去預防,在保證使用者使用體驗的前提下,為雲計算提供最為嚴密的安全防護。

雲計算安全

資料洩露 資料丟失 流量劫持 大流量ddos攻擊 sql注入攻擊 暴力破解攻擊 木馬 xss攻擊 網路釣魚攻擊 審計不到位 內部員工越權 濫用權力 操作失誤等 雲服務中斷 濫用雲服務 多租戶隔離失敗 安全責任界定不清 不安全的介面 網路層次 主機層次 應用層次 分布式拒絕服務ddos是通過大量的合法...

從雲計算看移動掃瞄市場的未來走向

如今,絕大多數商務人士的智慧型機上至少有一款移動掃瞄程式。雖然移動掃瞄應用程式是一款非常小的工具,使用的頻率也不是很高,你可能幾個月都用不上,但是一旦你需要它的時候,你會慶幸它的存在。對於一些移動型工作者而言,一款可靠而又高品質的移動掃瞄應用程式是必須的。隨著移動型和遠端工作人員數量的上公升,企業都...

從邊緣計算看移動化與雲計算的融合之道

在近一兩年,邊緣計算的概念就像雨後春筍般在it界迅速盛行。與完全基於本地或者雲計算的交付方式不用,邊緣計算靠近物或資料源頭的網路邊緣側,融合網路 計算 儲存 應用核心能力的開放平台,就近提供邊緣智慧型服務,滿足行業數位化在敏捷連線 實時業務 資料優化 應用智慧型 安全與隱私保護等多方面的關鍵需求。那...