从国外的iCloud好莱坞艳照门事件、Anthem(全美最大医保企业)遭黑7800万数据被盗;再到国内的网易邮箱亿万条用户数据泄露、爱康国宾百万用户信息被黑,就连1024也被黑,造成千万精力“旺盛”的青壮年邮箱密码IP被泄露。
近年来,云服务大发展,然而安全性的缺失,让这朵“云”变得“阴晴不定”。数据泄露、监守自盗等风险,让企业(个人)对云服务的信任值一降再降。如何重构企业(个人)的云信任,成为当下云服务急需解决的问题。具体存在哪些问题,请看下边笔者的一些浅见。
数据泄露
据美国数据安全研究公司Gemalto(金雅拓)发布的最新2015年数据外泄水平指数报告中显示,安全人员收集到全球全年共发生1673起数据外泄事故,共造成7.07亿条数据记录外泄。
(图片来源Gemalto2015数据外泄水平指数报告)
黑客在黑到用户数据以后,有所谓“正义”的黑客会直接公之于众,The Impact Team(某著名黑客团队,以下简称TIT)于去年7月曝光Ashley Madison(知名婚外情社交网站)1000万用户信息。当然,谁知道,TIT是否此前要挟过数据“赎金”。
在很多情况下,公之于众并非黑客的第一选择,他们会首先从自身利益出发,挟持“数据”人质,威胁服务商交付“赎金”来牟取利益,或者将用户数据以几块到几十块不等的价格,在暗网上进行贩卖。
2015年这7亿条泄露的数据,就像浮出水面的冰山棱角,只占了整个数据泄露情况的10%,甚至是更少。
监守自盗
然而,云数据泄露还只是云安全隐患中的一块而已,还有另外一块,就是云服务商读取、利用用户数据,监守自盗带来的危害。
个人(企业)通过使用各云应用平台服务,在云端产生或存储着用户隐私数据,而这些数据云服务商可以随时读取访问,甚至拥有这些数据的“处置权”。
据Gemalto分析2015数据泄漏情况,发现泄露主要由以下几种情况引起:主要的数据泄露是由于恶意外部入侵者攻击造成的,占总事故中的58%,这种针对性的攻击较难被预防。其次,是意外造成泄露,占24%。黑客活动分子和国家资助的团体行动引发的数据泄露占比仅为4%。而 7亿条信息中有将近1亿条信息,是由于内部员工主动泄密所造成的,占了将近14%的比重。
(图片来源Gemalto2015数据外泄水平指数报告)
国外云安全市场已经如火如荼,国内才刚起步
现下云数据泄露似乎都快成为一种常态,隔三差五就曝出重大泄漏事故,而云服务商监守自盗,读取、利用数据又让人防不胜防,用户对云的信任逐步瓦解,特别是企业用户。但企业为了提高自身灵活机动性,上云已成了必选题,各种移动端、PC端企业应用层出不穷,如何安全地使用云服务成了众多企业头疼的一个问题。
在云服务市场更为成熟的美国,云安全市场初见规模。Ciphercloud,是美国众多云安全公司中较为出众的一家,通过数据加密网关的形式,在保证云服务可用性的前提下,保障云的安全性、合规性以及可控性。从2010年成立至今,Ciphercloud已完成5亿美金的B轮融资。
Vaultive比Ciphercloud更加专注于相对固定的领域,专门从事Microsoft Office365和Microsoft Exchange 2010的数据加密,对企业的数据在到达云端之前就进行加密,保障企业数据安全。
国外云安全市场已经如火如荼,反观国内云安全的概念却才刚刚起步,目前专注于做云安全的企业少之又少。笔者为此专门搜集资料,发现国内解决云信任的企业还很少,只找到一个LOCKet团队。LOCKet专门做第三方数据加密服务,这种模式和Ciphercloud有点像,不过他们还是起步阶段,看LOCKet官网目前和红圈营销、亚信、众安保险等企业进行了合作,但这对国内整体云信任的解决只是一个小的影响。
笔者认为互联网领域,云安全、云服务信任等领域将是一片蓝海。那么,当下国内云安全市场发展的机遇与挑战到底在哪儿?
1. 云服务市场渗透率低
据2015年《中国公有云平台白皮书》数据显示,我国CDN的市场渗透率仅为15%,与国外90%的渗透率相比,普及度极低。由此可见,国内企业信息化意识、接受程度和使用水平还有待大幅度提升。50、60、70后为主力军的传统行业,云服务想要普及,还需要很长的一段路要走。
2. 数据加密人才匮乏
整体安全市场的现状决定了数据加密人才的稀缺性。国内互联网安全一直以防病毒、防攻击为主。第三方数据加密安全市场小、发展较晚,所需专业性要求又较高,数据加密人才供给不足,云安全市场整体发展滞缓,而市场滞缓又反向影响人才的培养,导致市场人才供给陷入不良循环。
3. 大平台对小公司的不信任
国内云安全市场才刚起步,一般规模也较小,而国内的云服务基本被阿里巴巴、百度、腾讯等大佬企业占领。大平台对小企业的认可度较低,接受度也不高,再加上第三方数据加密的形式,会让小公司在云平台数据流上占比较强势的地位,一旦安全服务崩塌,整个云平台运转都会受到影响,云服务商对第三方云安全接入的质疑、谨慎态度也无可厚非。
4. 用户对国内安全品牌的不信任
当下国内某些安全品牌,都快被人贴上“老流氓”的标签了。用户使用这些安全产品,往往并不是出于信任,而是别无选择。国内整个安全行业各方面不够规范,安全技术欠佳,再加上对用户数据的尊重度不足。用户看不到诚意,也不出心意,自然信任值一降再降,转而对整体安全行业“一棒子打死”。
5. 数据重要性的认知度不足
国内对于保护自己数据的重要性认知度还不够,没有认识到数据也是一种“私人资产”,而这个认知过程是需要时间的,在短时间内无法快速提升。值得庆幸的是,随着近年来“云”以及相关安全信息的普及,企业与个人用户对于数据私有化及安全保护的重视度有所提升,这对国内的云安全公司而言,机遇与挑战并存。