印度的雲安全

2022年11月,印度最大的醫院之一,位於新德里的全印度醫學科學研究所(AIIMS)遭到了勒索軟件攻擊。這次攻擊切斷了對大約1.3 tb數據的訪問,並影響了醫院的電子醫療記錄系統。它的病人日程安排和計費系統也受到影響,迫使醫院在幾天內減少門診服務。這不僅給病人帶來了不便,也給醫院造成了巨大的經濟損失。在此事件發生後,AIIMS採取了其他安全措施,通過切換到專用和安全的局域網來加強其網絡。六個月後,當另一次惡意軟件攻擊發生時,它被挫敗了。

這不是一個孤立的事件。這樣的例子在政府和私營企業中都在增加。印度計算機應急響應小組(CERT-In)的數據顯示,印度公司在2022年遭遇了近140萬次網絡攻擊,其中對雲系統的攻擊最多。“隨着數字技術的採用,關鍵基礎設施系統不再是空氣隔離的,這使它們暴露在重大的網絡漏洞之下。由於越來越多地依賴數字解決方案、政府和公民服務的虛擬化以及遠程勞動力的興起,這種轉變變得尤爲明顯,”思科印度和南聯盟安全業務總監Samir Kumar Mishra說。

順便說一句,根據網絡安全解決方案提供商Check Point Software Technologies的數據,在2021年至2022年期間,每個組織對基於雲的網絡的攻擊增加了48%。隨着組織努力應對跨多個環境管理安全性的日益複雜,以及努力檢測和響應跨內部部署和其他雲設置的新威脅,安全性正成爲重中之重。因此,根據市場研究公司IMARC Group的數據,全球雲安全軟件市場(2022年價值293億美元)預計到2028年將達到393億美元。印度雲市場的收入預計到2023年將達到2539萬美元,到2028年將達到1.362億美元。

數據中心服務提供商Yotta data Services的執行副總裁、首席數字官兼應用與網絡安全主管Rajesh Garg解釋說,隨着企業越來越多地採用基於雲的解決方案,不斷尋找新漏洞的網絡犯罪分子發現,設計數據泄露變得更加容易。全球大約98%的組織現在使用某種形式的基於雲的技術,而許多組織採用了來自多個雲服務提供商的多雲部署。雲環境的大規模採用也催生了影子IT,即員工或部門在不知情的情況下使用來自外部的硬件或軟件。這造成了一個真空,在組織內管理安全的責任沒有明確定義。

“雲基礎設施本質上是複雜的;隨着混合雲和多雲模式的加入,這種情況會成倍增加,”畢馬威印度數字信託和網絡安全服務合夥人兼主管阿圖爾•古普塔表示。“這使得組織難以識別和解決其環境中的漏洞,使他們更加脆弱。”

這就產生了雲系統不太安全的觀念。不僅如此,一旦惡意行爲者發現了一個漏洞,他們就會部署各種策略來利用它,並獲得對一個或多個帳戶/系統的未經授權的訪問,從那裡他們可以在整個雲環境中橫向移動。這允許他們訪問關鍵的帳戶、服務和數據。但這並不意味着雲計算不安全。它通常與內部部署基礎設施一樣脆弱或安全。真正起作用的是爲保護和防止這些系統受到攻擊而部署的網絡安全框架。

網絡入侵者的主要動機是經濟利益、知名度和知名度、間諜活動、地緣政治原因等,攻擊目標通常是擁有大規模製造或銷售業務的行業,或涉及敏感個人信息的行業,如醫院和金融服務公司,或運營關鍵基礎設施的行業,如發電廠、輸配電公司等。德勤印度合夥人Chintan Matalia表示:“目前,私營部門銀行、醫療保健和消費品行業是最常見的目標,因爲它們是雲計算的早期採用者。”

“早些時候,由於控制問題,這些部門不願意將雲用於其基本數據資產。但現在,即使是這些行業也在向雲轉移,”Verizon Business APJ CSIRT和調查響應副總監Anshuman Sharma說。網絡犯罪分子以金融服務公司爲目標,旨在竊取敏感的客戶信息、財務記錄和交易數據,以實施欺詐、發起未經授權的交易,或索要贖金以恢復受其影響的數據和服務。

另一方面,醫療保健數據可用於獲取個人健康信息,然後可用於身份盜竊、保險欺詐,甚至在暗網上出售。電子商務平臺和零售商也經常成爲獲取客戶支付信息的目標,包括信用卡和借記卡的詳細信息等。通常,這些數據在暗網上出售,人們可以從那裡購買這些數據來實施更多的金融犯罪。這樣的違規行爲可能會導致企業和客戶的經濟損失,聲譽受損,以及客戶之間的信任喪失。

網絡犯罪分子使用各種方法未經授權訪問雲帳戶。“大多數攻擊者會進行廣泛的偵察,尋找泄露的憑證、默認或弱密碼、錯誤配置和人爲錯誤,”網絡安全服務提供商CyberProof(一家美國公司)的亞太地區主管阿南德•特里維迪(Anand Trivedi)說。網絡攻擊者通常試圖通過發起多重社會工程攻擊來攻擊鏈條中最薄弱的一環,通常是人類——操縱個人泄露敏感信息,如密碼、訪問碼等。網絡釣魚是另一種策略,惡意行爲者欺騙用戶點擊惡意鏈接或附件,然後進一步利用這些鏈接或附件感染系統。“攻擊者將採用網絡釣魚等策略,或試圖通過暴力攻擊獲取憑證,非法訪問用戶帳戶,這樣他們就可以訪問(員工)的手機或入侵它,然後冒充(該個人)製造問題。”

帕洛阿爾託網絡公司印度和南盟系統工程主任Huzefa Motiwala說。蠻力攻擊使用試錯法破解密碼、登錄憑證和加密密鑰。

網絡犯罪分子使用的另一種常用方法是通過錯誤配置。這是指雲服務、資源和安全設置設置不當或不足,當雲環境沒有按照安全準則配置時就會發生這種情況。即使是雲服務提供商提供的安全性較差的接口和api,也可能被網絡犯罪分子利用,獲得未經授權的訪問和操縱雲資源。拒絕服務攻擊(DoS)是另一種惡意企圖破壞計算機系統、網絡或在線服務的正常功能的方法,通過大量的流量或請求使其不堪重負,使用戶無法訪問。

政府和私人實體都需要警惕攻擊者使用的這些技術。“此外,內部威脅和第三方供應商是當今網絡的重要組成部分,在規劃防禦時必須考慮到這一點,”CyberProof的Trivedi補充道。

企業應該關注保護其系統所必需的基本安全策略和程序。Infosys Cobalt是Infosys旗下的服務、解決方案和平臺,旨在幫助企業實現雲主導轉型。該公司執行副總裁阿南特•阿迪亞表示:“首先,配置管理數據庫是必不可少的,它可以顯示誰有權訪問哪些內容,以及訪問是否受到監控和審計。”運行漏洞掃描並制定解決這些漏洞的計劃也很重要,同時還要確定生命週期終止/支持終止的技術。

“另一個關鍵的方法是採用零信任模式。該模型……要求在授予訪問權限之前明確驗證所有相關因素,”企業IT解決方案提供商惠普印度公司的首席技術官Ranganath Sadasiva說。該模型包括實現最小特權原則、基於網絡分段的基於風險的身份驗證、對攻擊跡象的持續監控以及主動防禦機制。

企業還應定期進行安全評估和滲透測試,以識別漏洞。IBM諮詢公司亞太安全服務負責人Monisha Oberoi表示:“這些測試模擬了真實世界的攻擊場景,幫助組織主動識別和修復弱點。”此外,保持對雲環境的持續監控,並利用威脅情報反饋來了解新出現的威脅和攻擊技術,也可以實現主動的威脅檢測和響應,她補充說。

建議使用健壯的安全框架。以塔塔通信公司爲例,該公司擁有700多家客戶,涵蓋各行各業的大中型企業。該公司已經部署了一個成熟的安全信息和事件管理解決方案,使整個修復過程自動化。“我們的網絡分析和智能平臺每分鐘分析來自世界各地的2500萬條交通流量記錄。這使我們能夠在全球範圍內每天主動檢測和預防大約260萬次威脅,”塔塔通信公司副總裁兼託管和雲計算全球主管Rajesh Awasthi說。專家還強調,需要保持雲基礎設施、應用程序和系統的最新安全補丁,以避免任何漏洞。

企業缺乏安全意識是導致企業沒有爲其IT系統部署足夠安全措施的重要原因。印度和南盟Check Point軟件技術公司總經理Sundar Balasubramanian表示:“有限的意識、預算限制、不一致的優先事項、信任問題和合規性要求是企業猶豫投資雲安全的一些潛在原因。”他補充說,提高企業對雲安全風險的認識、提供具有成本效益的解決方案、建立對服務提供商的信任以及確保遵守法規是至關重要的。

數據保護法的缺乏也阻礙了雲安全。幫助企業降低雲計算相關風險的印度Ankura諮詢集團高級董事總經理阿米特•賈朱估計,“印度大型企業、中小企業和初創企業在雲安全方面的平均支出分別爲100萬至500萬美元、10萬至100萬美元和5萬至10萬美元。”Jaju補充說,在沒有明確的法規和指導方針的情況下,公司很難知道他們需要做些什麼來保護他們的數據。“這可能導致自滿情緒,以及缺乏對安全措施的投資。”

然而,監管機構和政府機構最近的建議重申,需要爲從主流組織到新興金融科技公司、初創企業和中小企業的所有人部署強大的網絡安全措施和事件響應系統。

無論原因是什麼,只有採用全面的網絡安全方法,印度的組織才能減輕風險,保護敏感數據,並確保其數字基礎設施在面對不斷擴大的威脅時具有彈性。