近期最大的安全事件莫过于全球皆知的索尼泄密门,索尼服务器接连遭遇黑客攻击,大量用户数据被盗。人们真切地感受到了云计算所面临的安全威胁。
索尼泄密事件时间表
事件开始于美国当地时间2011年4月17日,索尼旗下Playstation网站遭遇黑客入侵,黑客侵入索尼公司位于美国圣迭戈市的数据服务器,窃取了索尼PS3和音乐、动画云服务网络Qriocity用户登录的个人信息,包括姓名、住址、生日、登录名和密码等,受影响用户多达7700万人,涉及57个国家和地区。同时,索尼旗下另一组负责计算机在线游戏服务的索尼网络娱乐 (Sony Online Entertainment)也传遭到入侵,可能将有高达2460万笔用户数据也遭外泄。
4月19日,索尼宣布关闭网站服务。
4月26日,索尼对外公布网站遭遇黑客入侵,用户信用卡等个人信息或遭泄漏。当日索尼公司在其官方博客上表示,“我们通知您,您的信用卡号(不包括安全码)和截止日期可能已经被掌握,请保持高度警惕。我们正在调查事件细节,相信一些非法人士已经掌握您提供的如下信息:姓名,住址(城市、州和邮编)、国家、电子邮件、生日。还可能包括你的个人资料、采购历史和账单地址(城市、州和邮编),以及您的Play Station网络/Qriocity密码安全答案。”
5月1日,索尼公司高层正式向公众道歉并承诺尽快恢复网站服务。
5月2日,仅事隔一天,索尼服务器再遭黑客攻击,该公司的另外一款游戏“Qriocity”服务也有近2500万用户被黑客窃取了姓名、地址和密码。这两次泄密事件使得索尼数据遭窃案受影响的用户可能超过1亿人,成为迄今规模最大的用户数据外泄案。
5月9日,据国外媒体报道,索尼第三次遭遇网络黑客攻击,一台存储了2011年索尼“sweepstakes”比赛选手资料的服务器被黑客攻陷。
从索尼泄密看云计算安全
本次的索尼泄密事件最为直观的向人们展示了当云计算遭遇攻击后所将带来的破坏性损失。此前,普渡大学电脑安全专家吉尼•斯塔福德(Gene Stafford)教授在美国国会作证时称,索尼使用了过时的Apache Web服务器软件,同时也没有安装防火墙。但索尼方面断然否认了斯塔福德的说法。
去年,中国云计算联盟列出了云计算安全七宗罪:数据丢失/泄漏、共享技术漏洞、内奸、不安全的应用程序接口、没有正确运用云计算、未知的风险。索尼泄密事件的真实原因尚不得而知,但从中我们可以发现一些云计算服务端的安全问题。
云端应用潜藏未知威胁
索尼的PlayStation网络用于PlayStation3的在线游戏,并向PlayStation等游戏机提供软件下载服务。Qriocity服务也运行在相同的网络基础设施上,给索尼的消费类电子产品提供音频和视频服务。可以说,这是索尼向其广大用户提供服务的公有云平台。
从索尼目前公布的资料来看,黑客可能是通过索尼的某台应用服务器为跳板实施的入侵。可以肯定的是,索尼云平台存在未能及时发现的安全漏洞才让黑客寻得入侵的机会。比对云计算安全七宗罪来看,“不安全的应用程序接口”与“共享技术漏洞”很可能是罪魁祸首之一。
现在是一个应用为王的时代,互联网上存储着海量的应用程序随时供人们获取,而每时每刻又有新的应用程序被不断上传到网络。海量的应用在给人们的生活带来便利的同时,也带来了无尽的安全隐患。因为应用程序的编写者,更多所注重的是用户的使用体验,程序自身的安全性很少被人们所关注,而编写应用程序所使用的语言、连接的数据库、调用的插件、运行的操作系统等都可能存在着尚未被发现的安全漏洞。这一个个的漏洞叠加使得应用程序成为了恶意攻击者眼中的诱人蛋糕,应用程序自身的价值,成为了恶意攻击者选取“蛋糕”的标准。
云计算的服务器端正存储着这海量的应用,同时服务器自身也是依赖于各类应用才能得以顺畅运转,为用户随时提供服务。对于恶意攻击者而言,他们或者可以通过安全等级更低的用户终端里的应用程序漏洞,逆向潜伏进入云计算的服务器端;或者直接利用云计算服务器端应用程序的隐藏漏洞直接实施入侵。
可以说,应用安全问题在新互联网时代里至关重要,特别是对于新互联网环境下的云计算,提供应用服务是其核心目的。而这个核心地带,正在成为安全关注的新焦点。索尼通过PSN等公有云平台为其广大用户随时随地的提供应用服务,而云端应用所潜藏的各类未知安全威胁,也将索尼公有云平台置于了危险之中。
全球传统行业里的一些大型巨头(如:金融巨头)就是出于安全问题的考虑,尚不敢采用公有云模式,而是在其内部搭建了私有云系统。借助其现有安全防护体系,确保私有云的安全性。
云端数据需加强防护
恶意攻击者实现成功地入侵并不是其最终目的,在当今互联网时代,网络犯罪集团的本质目的是为了最大化的获取经济利益。恶意攻击者成功入侵后还需要找寻有价值的数据信息,并将这些信息窃取到恶意攻击者的老巢里。如果这些数据已经被加密保护,那么恶意攻击者还需要进行反向解密操作,获取真实的数据。最后将这些数据贩卖或者公布出去,恶意攻击者才最终实现了自己的目的。
如果索尼采取了严密的数据丢失防护,那么哪怕恶意攻击者成功入侵了索尼的云端服务器,也依然难以获得有效的数据信息。但就在索尼被入侵不久,就有黑客在论坛上挂牌销售220万个来自索尼PSN网络数据泄漏受害者的个人信息,虽然之前索尼曾表示信用卡信息已经得到加密,但事实上数据库里的内容已经被读出。目前看来,索尼对其云端数据的安全防护并不严密。也正因此,才又一次给恶意攻击者打开了方便之门。
整个互联网世界的本质,就是由“0”、“1”所组成的各类数据。可以说,互联网的安全问题,本质上就是数据的安全问题。如果能够实现对数据的严密防护,那么所有的恶意入侵都将变为无效的攻击。
要相对云端的数据进行有效的防护,至少要做到三点:对数据的存储容器数据库做好严密防护;对数据自身进行加密保护;设置严谨的操作权限,使得恶意攻击者找不到数据、拿不走数据、看不到数据。
从本次泄密事件来看,索尼在其云端平台的数据安全防护方面似乎很薄弱,甚至可能是根本就没有建立一个严谨的数据丢失防护体系。
云端安全管理至关重要
这次的索尼泄密门里最引人注目的一点是,在索尼方面发现遭遇入侵后的半个月时间里,索尼又接连遭遇黑客入侵却束手无策,只能听任恶意攻击者随意入侵其云端服务器,窃取各类用户数据信息。这恰恰暴露了索尼对其云计算平台的安全管理中,存在着致命的缺陷。实际上,正是在入侵事件暴露后,索尼才宣布新设立首席信息安全官一职,负责监管PSN网络安全。
安全防护中最为重要的一个环节就是安全管理,一个企业即便购买并部署了众多的安全防护设备,可如果没有一个有效的安全管理体系,那么一切安全设备就都只是摆设。如果缺少了有效的安全管理,那么就不能实现有效的监督与制衡机制,无法及时发现潜在的安全威胁。
特别是对于云计算,大数据量聚集在云计算服务端,其背后所蕴藏的安全问题也极为惊人,网络管理、安全管理缺一不可。但现在,云计算平台的网络管理已经被深入实施,而安全管理虽然已经被人们所认识,但依然缺乏具体的实施,索尼泄密门就是一件典型的代表事件。云计算平台里的数据需要管理、云计算平台里的应用需要管理、云计算平台里的人员需要管理,安全管理涉及到云计算体系的每个部分。正是由于安全管理的缺失,使得恶意入侵者可以从容的、一次又一次的侵入索尼云端平台,肆意窃取用户数据。
云计算的未来要“杞人忧天”不要“因噎废食”
索尼泄密门事件,折射了新互联网时代下云计算的诸多安全问题。实际上,本次恶意攻击者对索尼云平台发起的入侵及数据的窃取还仅仅算是小试牛刀,恶意攻击者所能造成的破坏还可以更大。比如:将恶意程序嵌入索尼云端平台的各类应用程序里,借助索尼云服务平台,进行更为广泛的传播,让破坏力更加深入。
但是,云计算是未来发展的主流,云计算给人们带来的便利远大于其安全问题所带来的损失,我们不能由于各类云计算安全事件的发生就因噎废食。索尼泄密事件给了人们很好的警醒,让人们更加清晰的发现了云计算的安全缺陷。为了保障云计算能更好的服务于人类,我们鼓励在对待云计算安全问题上持“杞人忧天”的态度,从最坏的角度去思考、去预防,在保证用户使用体验的前提下,为云计算提供最为严密的安全防护。
|