企业上云往往漏洞百出，专家点出资安界 20 年来未解的问题

「不过就四、五年前，我们去拜访一些企业、政府单位的时候，他们都坚决地说绝对不会上云。现在整个趋势都不一样，」在 IBM 担任威胁情资产品 X-force 的全球主管保罗？格里斯沃德（Paul Griswold）说。

他的观察反映全球企业在近五年来快速迁移到云端的现象。根据国际数据统计公司 Statista 的报告，2019 年全世界花在云端运算上的总额约 368.6 亿美元，比起 2014 年的 121.6 亿美元翻了超过三倍。

对追求数码转型的企业来说，上云的好处是显而易见的。云端运算省去实体数据中心的建置，让企业能更容易地规模化，提升营运效率。同时，云端也加速了应用的开发流程，再加上越来越多云端平台供应商如 AWS、Azure 及 Google Cloud Platform（GCP）快速发展，让企业上云的门槛也逐渐降低。

然而，就如同价值观的移转总是落后于制度的改变，与云端相关的资安风险，最主要的影响因素并非复杂的防御科技，而是企业本身的心态问题。

企业上云第一步：抛弃以数据中心为主的做事思维

 

根据 2018 年 IBM X-force 资安威胁报告，在所有遭到公开泄露的数据中，有 43% 是人为疏失导致。这个数字在前一年时不过才 17%。「人们用过去以数据中心为思维基础的做事方式把数据送上云端，这是一切问题的起始，」格里斯沃德指出。

 

过去在自有数据中心的开发环境下，资安常常是代码都写完后，最后才加上去的一层防护罩。然而云端却不容许你这么做，云端的规模化与高效率特性大大缩短程序从开发到推出、营运的流程。本来大约九到十个月的程序开发期，现在缩短到两周、甚至是一天。

 

格里斯沃德认为，在云端驱动的科技时代，资安观念应是代码的架构基础，而不是一个附加上去的功能。「工程师不应该出现『我现在要来处理资安防护了』的想法，而是打从一开始就把资安意识放在心上，」他说。

 

对于尝试上云的中小企业，格里斯沃德建议，要多留时间做上云的规划。他看过太多公司因为急着把应用传上云端导致代码内资安漏洞百出。「我知道作为开发者，将程序迁到云上是很兴奋的事。但你必须确保你们是用正确、安全的方式上云，」他强调。

▲「工程师不应该出现『我现在要来处理资安防护了』的想法，而是打从一开始就把资安意识放在心上，」格里斯沃德说。

 

在格里斯沃德眼里，云端运算催生的是一整个科技产业的典范转移。在这样一个筋骨汰换的过程里，我们正处于转换必经的阵痛期里。

 

20 年前的攻击手法，至今仍旧奏效

 

可是这样的阵痛期会多长呢？格里斯沃德给出一个不怎么乐观的例子。在 IBM 的年度威胁情资报告 X-force 里，像是网络钓鱼、企业老旧设备不安装新补丁等问题层出不穷。即便网络发达，基本资安意识就能阻绝的攻击，却始终能得逞。

 

当然，还是有一些新的攻击方式及趋势。举例来说，IBM 发现 2018 年利用电脑 CPU 及 GPU 进行挖矿的攻击行为比起前一年上升 450%。除了传统金融业以外，由于大数据兴起，掌握大量旅客个资的旅游业遭网攻的比例也大幅增加。

 

不过 20 年前恶意程序入侵的手段，至今仍存在。因此国际权威研究机构 Gartner 提醒，2022 年时会有 95% 的云端资安威胁源自人为疏失。

 

然而，黑客是不等人的。

科技迭代发展，资安思维却难以跟上

 

格里斯沃德表示，资安界目前面临的挑战有二。第一、由于黑客圈的情资分享很顺畅，许多网攻工具甚至以开源的方式公开在网络上，使得黑客越来越难应付。同时，基于面子问题，许多大公司并不互相分享情资，很多中小企业的资安人员是由 IT 管理人员兼任，在遇到勒索软件攻击的状况时，时常会选择付钱了事。「 直接付钱可能比请一个资安人员来得划算， 」格里斯沃德说。

 

第二，也因为新的攻击一直出现，旧的攻击也始终奏效，不同的资安防护技术及工具不断叠加，但这些东西缺乏统整。许多企业手里都有超过 80 种不同的资安工具，同时也导致资安人才越发稀缺。因为人们期待资安人员要懂得很多不同技术，这使得进入资安界的门槛越来越高。

 

「以我的经验来说，常常开出三个资安相关职缺，面试到最后，就只有一个人能真正符合要求，其他位子则继续空着。」他说。

 

至于格里斯沃德没说出口的第三个挑战，或许是最难改变的现实：在资安界里，攻击是一种技术，防御却不只如此 —— 它更是一种思维。无论是一般网络、云端或是未来由 5G 驱动的物联网时代，价值观都跟不上科技的改变。随着科技迭代发展，人们恐怕得为了落后的价值观付出更大的代价。

▲2017 年的 WannaCry 勒索软件攻击，是格里斯沃德在资安界做了二十多年，最难忘的一次经验之一。

 

大众缺乏资安思维的状况难以在短时间扭转，格里斯沃德也积极地思考一些解套的方法。例如，由 IBM X-Force 提供威胁情资的非营利资安专案 Quad9，就可以透过服务器的设定，让一般民众在不知情的情况下受到连线防护。

 

访问到尾声，好奇地问了格里斯沃德在资安界做了二十多年，最难忘的一次经验是什么？他说，2017 年 WannaCry 勒索软件攻击爆发时，他听朋友说，火车站内显示时程表的屏幕被切换成勒索软件的画面，大大地呈现在所有旅客面前。那不只暗示了有多少老旧的机台没有即时更新补丁的习惯，同时也是一种恐惧的公然散播。

 

确实，黑客是不等人的。不过，资安意识虽然难以推动，但在大众跟上以前，如格里斯沃德一样的资安大师，还是愿意走在前线，去打一般人难以想像的仗。问他为何喜欢这个产业？格里斯沃德笑说：「敌人永远在改变啊。这种充满动态的感觉，任何其他产业都找不到。」