精选文章 推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?

作者:CSDN云计算 时间: 2020-07-25 11:04:08
CSDN云计算 2020-07-25 11:04:08

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?1

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?2

作者 | 马超

来源 | CSDN(ID:CSDNnews)

近日,全球安全事件频发,先是推特惊爆史诗级漏洞,黑客对推特进行比特币钓鱼骗局,获取了对包括美国前总统奥巴马、钢铁侠埃隆·马斯克、和世界首富比尔·盖茨推特账户的访问权限。

在7月16日的315晚会上,曝光了55款App盗窃用户个人隐私的问题。这些问题仅是近几年信息安全领域的一个缩影。

根据卡巴斯基《2020年第一季度的DDoS攻击报告》的数据显示,2020年第一季度与2019年第一季度相比,DDoS攻击次数增加了80%。特别是教育和行政Web资源,由于疫情原因,与2019年相比增加了两倍的攻击数量。DDoS攻击会对企业系统和应用造成不可用性的严重性后果。

云端安全引起广泛关注。前不久,Gartner发布了《Solution Comparison for the Native Security Capabilities》报告,Gartner首次全面评估了亚马逊、微软、阿里云、谷歌、IBM和Oracle全球六大云厂商安全能力,看点颇多,下面笔者带大家解剖下。

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?3

上云要快,更要安全

 

自2006年“云计算”概念诞生以来,企业上云浪潮席卷全球。由于企业上云后可灵活使用资源,扩展灵活易管理的业务模式,可提高资源配置效率,降低信息化建设成本。业界有说法是“系统上云后,硬件投入成本减少近2/3”。

于此同时,网络安全事件也如幽灵般不断为人们敲响警钟,在Verizon《2020 数据泄露调查报告》中显示,对Web应用程序的攻击占泄露总数的43%,是2019年的两倍多。研究人员表示这是由于企业更多的工作流转移到云服务上,而一旦黑客发现了云服务商的安全漏洞,那么其攻击范围与破坏程度都将较未上云时成倍的扩大。所以用户不仅要上云,更需要选择安全的上云路径,这也对云厂商的安全能力提出更高的要求。

为应对日益高涨的云安全需求,2009年国际云安全联盟(CSA)成立,后来CSA发布的《云安全指南》成为云计算领域最权威的安全指南。目前云安全技术日臻成熟,除了微软、亚马逊等云服务商以外,国外还涌现出一批云安全初创公司,可以说Gartner此次对于全球云厂商的安全能力进行全面评估,其报告的出炉是恰逢其时。

 

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?4

云安全哪家强?

 

云安全技术愈发重要,不过目前业界并没有相应评估的标准,而本次Gartner报告可谓填补了业内安全评估标准的空白。报告分别从基础设施安全、云治理和合规、网络安全、应用和容器安全、数据安全、日志和预警、应用和工作负载保护七大模块共24项能力维度进行了测评,作为本次评估的前两名微软和阿里,在各项安全技术能力各方面的得分均较为均衡,在七大能力模块中均获得了High的评价;而其他四大厂商的安全能力则相对较为集中,亚马逊集中在云治理与合规能力上,谷歌云集中在应用与容器安全上;IBM集中在应用与容器安全、数据安全两大模块表现优异,其他模块则基本没有拿到High评价;Oracle在本次评估中得分靠后在安全方面的提升点还有很多。

数据加密都很强:值得关注的一点是,在24项细分安全能力上,六家云厂商均在“数据加密”方面均得到了High级别的评分。

笔者认为出现这样的情况,一是因为数据安全是所有企业上云时,都会首要考虑的问题,这也就倒逼云服务商在数据安全方面都做了足够多的努力;

二是数据安全是各云服务商的生命线,确保数据在服务端加密存储,并将数据加密控制权给到用户,是云计算最基本的服务要求,而在数据安全方面齐刷刷的高分,也说明了用户选择云,就能确保自身的“数据加密”水平得到快速的提升。

可信执行环境亮点:除了云厂商已经具备了完备的数据加密能力之外,从报告中看到,企业上云还能享受到的一大好处是基于硬件的数据安全能力。

传统的数据安全产品大多基于软件实现的,阿里云、微软、IBM三家都已经为客户提供了“可信执行环境”,这是一个基于处理器硬件保护的解决方案,通过软、硬件结合的方式防止数据运行时泄露的发生。云厂商具备的计算资源规模优势等先天条件,使得其可以借助加密计算等多种前沿技术来保证用户数据安全,以增强企业上云的安全性。

免费DDoS防护很贴心:笔者在自建了个人博客网站之前,都会时常收到DDoS攻击威胁邮件,DDoS是初创互联网公司最为头疼的攻击手段。在这方面各大云厂商也都非常重视,基本都有从基础防御到高级防御的整套安全防护产品,这里尤其值得一提的是,微软和阿里云均提供了免费的DDoS基本防护服务,充分考虑了对DDoS防护的差异化需求,还是非常贴心的。

 

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?5

云安全势不可挡

 

据笔者观察,传统安全手段已经渐渐落伍,无法再应对目前的安全环境。这主要是因为传统安全遇到以下三大挑战:

成本高昂、重复造轮子:传统安全方案里,企业需要采购几十甚至上百个安全产品才能初步建立企业安全体系,成本高昂不说,对于安全体系来说,这是一种重复建设的浪费。

传统安全模型是游离在IT体系之外的外挂式安全:企业在使用网络、存储、数据库等IT基础设施时,往往采购自不同的厂商,安全产品有不同的品牌。于是只能在基础设施外部署相关的安全产品,做“外挂式的安全”。如何能让安全产品与产品间,安全产品与基础设施间做更好地联动?这对于传统安全厂商来说,是个较大的挑战。

传统安全产品使用门槛较高:这让安全产品成了“奢侈品”。企业光购买安全产品没有用,必须还得有专门的安全人员来使用才能真正发挥效果,于是线下安全厂商大多采用产品加服务的销售方式进行,由于无法构成相对联动的体系,导致企业需要招聘很多安全专业人员来专门运营,成本增大,导致大多数企业没有足够的专业安全人员来运营。

在企业数字化转型的过程中,IT基础设施和应用逐渐上云,安全也随之往云化发展,由于在云上虚拟化环境,业务的流量更复杂,因此云防护的方式将更多元化、复杂化。云改变企业的底层基础设施架构,传统安全架构不再适用于云上,云安全将重新定义企业的安全架构,从新的架构上将解决传统条件下无法解决的安全问题,云原生与云安全结合将改变企业下一代安全架构。

 

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?6

云原生重新定义安全

 

根据O'ReillyMedia和Dynatrace的研究表示,预计到2021年,92%的企业将实现云原生,相信云原生安全将是安全领域未来的发展方向。

在企业数字化转型的过程中,其基础设施技术架构将会随之云化,原来企业架构是简单的单点系统架构,而如今均发展为分布式架构,底座是基于云的底层技术。由于企业底层架构技术采用了云原生技术,架设底层架构之上的安全技术架构也将云原生化。

基于云原生安全能力构建的下一代安全架构可以实现云的基础设施与安全能力的打通,解决原来传统安全体系成本高昂的困境,同时云原生与IT基础设施的结合也更为紧密。紧耦合的原生安全,从而做到安全管理、安全风险的持续化监控,用一个控制台实现对所有资产的全方面安全管理。同时,由于云上的全网威胁情报联动,可以做到针对安全风险做全网的自动化响应,由传统的小时级降低到分钟级,大大降低安全事件给企业带来的损失。

如今云安全已逐渐成为行业共识,国内云厂商联动起来,共同打造云安全生态已成为未来行业的发展趋势。伴随新基建政策,全球数字化转型等趋势,5G、人工智能、云计算、大数据等技术的快速发展,各行业对云安全需求的持续增长,相信云安全行业的未来大有可为。

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?7

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?8

推特惊爆史诗级漏洞,App 恶意窃取用户隐私,云端安全路向何方?9

更多阅读推荐

勿删,copyright占位
分享文章到微博
分享文章到朋友圈

上一篇:充电复习之ES 扩展词库及热更新词库,扩展同义词词库,及热扩展词库

下一篇:VC++取MD5算法记录下以后用得到

您可能感兴趣

  • 经典而常用的配乐和背景音乐合集(上)

    本合集资料参考网站:https://firc.gitee,微信公众号:未来自主研究中心,由于太多分为上下2个部分 1、 灵感与激励背景配乐.mp3 2、007电影片头曲.mp3 3、01 希望和梦想(01 Hopes and Drea.mp3 4、02主持人上台.mp3 5、06 上场音乐.mp3 6、10000电音冲刺游戏配乐.mp3 7、15秒片头片尾背景音乐.mp3 8、1大气磅礴震撼...

  • Eva 剧情解析

    Eva 剧情解析 来源 https://zhuanlan.zhihu.com/p/20864898 【0.写在前面的话】 相信和我年龄差不多的小伙伴们对《新世纪福音战士》( 《Neon Genesis Evangelion》,以下简称《EVA》 )一定不陌生,小时候爱看动画片的我们每天放学之后气势汹汹地守在电视机屏幕前等着《EVA》片头曲的出现,带着“一脸懵逼”的表情看着机器人打怪兽,相信当...

  • [转]填词

    奠基 诗词读多了,难免自己也想拿笔试试。人,尤其可不做而做的事都有所为。想试试的所为可以有多种。一种是附庸风雅,用大白话说是,让人看看,“我也能作旧诗、填词,可见是造诣高,多才多艺。”另一种由野狐禅走入正经,是确有“故国(读仄声)平居有所思”之类或“为伊消得(读仄声)人憔悴”之类的情怀,读别人的,借他人酒杯浇自己块垒,不直接,或吃不饱,于是只好自己拿笔。还有一种,胃口更大,有情怀,抒发了,还...

  • [转]关于诗词格律

    王力先生所著《诗词格律》一书深入浅出地介绍了古典诗词的基本知识,如音韵、平仄、四声、对仗等,另外对诗词格律及其节奏和语法特点均有论述,该书自出版以来,一直被当作古典诗词爱好者的必读经典,深受读者喜爱。此处对原文稍有删节,请读者参考原著。 第一章 关于诗词格律的一些概念 第一节 韵 韵是诗词格律的基本要素之一。诗人在诗词中用韵,叫做押韵。从《诗经》到后代的诗词,差不多没有不押韵的。民歌也没有不...

  • [转]诗词基础

    一 格律诗 格律诗就是按一定的格律所作的诗。 唐以及唐以后的诗分为两种,一种叫"近体诗"(今体诗),是讲究平仄对仗的格律诗,包括律诗和绝句;一种叫"古体诗",是不讲平仄对仗的。今体诗和古体诗是从形式上,主要是从诗歌声律角度上来区分的,而不是以时代来区分的。 近体诗的格律主要有以下几个要素: (一) 句数 近体诗按句数多少可分为律诗和绝句两类。律诗一般每首八句,绝句每首四句。超过八句的律诗称排...

  • 后RSA2017思考:改变了历史轨迹的信息安全?!

    “丢失一个钉子,坏了一只蹄铁; 坏了一只蹄铁,折了一匹战马; 折了一匹战马,伤了一位骑士; 伤了一位骑士,输了一场战斗; 输了一场战斗,亡了一个帝国。” ——引自西方民谣 从“破坏、挑战”到“变革、动力” 先从今年RSA大会的主题谈起吧。“POWER OF OPPORTUNITY”,这是今年的大会主题。“OPPORTUNITY”(机遇)一词的后半部分“UNITY”(团结、一致)更是被大会特别...

  • 成功的背后!(转)

    成功的背后!(转) 成功的背后!(给所有IT人) 转自其他论坛,我很喜欢此文,分享给大家,与君共勉!! 成功的背后,有着许多不为人知的故事,而正是这些夹杂着泪水和汗水的过去,才成就了一个个走向成功的普通人。   凌晨两点半,早已习惯了一个人坐在电脑前的我,望着屏幕,任思绪在暗夜的包容下静静流淌,时光仿佛又定格在三年多前的那一刻:“283分”。那是被中国万千学子称为“黑色七月”中的一天,下班回...

  • 法国反微软的檄文

    法国反微软的檄文:《虚拟空间的陷阱》 转自“蓝森林”网站 原作者迪-克斯莫(Roberto Di Cosmo)博士的网站 [译者按]本文是在法国互联网上流传很广的对微软的檄文,作者是计算机博士,现就职于法国巴黎第七大学计算机系。原文已经被翻译成英语、德语、西班牙语和意大利语,可以在http://www.pps.jussieu.fr/~dicosmo/找到。 一、引言 圣诞前期间,我再次被媒界...

华为云40多款云服务产品0元试用活动

免费套餐,马上领取!
CSDN

CSDN

中国开发者社区CSDN (Chinese Software Developer Network) 创立于1999年,致力为中国开发者提供知识传播、在线学习、职业发展等全生命周期服务。