每个公司都面临的云安全风险

据专家分析，到 2020 年，全球云计算市场预计将大幅扩大至 1910 亿美元，而 2015 年为 910 亿美元。和更低的成本，使许多行业将数据迁移到云端。

云数据安全漏洞是一个可能影响任何公司的主要问题，并阻止了一些公司在其信息技术部门采用云。

在云平台 Slack、Adobe Creative Cloud、LastPass 和 Evernote 遭到高调入侵后，研究人员已经确定了 IT 部门应该关注的几个云风险。 LastPass 的云漏洞最为严重，因为该服务保留了用户的所有云服务密码和网站。如果拥有密码，尤其是那些拥有不间断访问权限的管理员密码，网络犯罪分子可能会对公司的基础设施发动野蛮攻击。大多数公司不知道他们的云安全何时遭到破坏，并且需要经过严格的云安全培训并获得云安全认证的 IT 专业人员的服务。

什么是云安全

云安全是一组用于保护云计算的虚拟数据、IP、服务、应用程序和相关基础设施的策略、应用程序、控制和技术。

知识产权和敏感数据被盗或丢失

公司越来越多地将敏感数据存储在云上，云上最常见的敏感数据是私有数据，占云中存储数据的 47%。其次是个人身份数据（28.1%），支付数据（13.6%），而加密的健康报告数据有11.3%的数据存储在云端。据统计，存储在云服务上的文件中有 21% 包含敏感数据和知识产权。如果特定云服务出现漏洞，网络犯罪分子将获得对所有这些敏感数据的完全访问权限。

对最终用户操作松散控制

一些员工可能在公司不知情的情况下使用云服务，这些员工可能在没有监督的情况下做任何事情。例如，即将离开公司的销售人员可以检索所有客户联系人的报告，将其保存在他们的私有云数据存储服务中，并在他们被另一个竞争对手雇用后使用这些信息。这是所谓的常见内部威胁的一个例子。

身份验证失效、帐户被盗和凭据受损

如果您的密码管理不善、密码较弱，并且采取了简单的身份验证措施，那么您的云数据总是容易受到损害。公司经常难以管理自己的身份，因此他们试图聘请具有云安全认证的专业人员 来处理工作。当用户离开组织或他们的工作职能发生变化时，他们有时会忘记停止用户访问。接受过云安全培训的开发人员 可以创建多因素身份验证系统，例如手机身份验证、一次使用后过期的密码（一次性密码 OTP）和智能卡，以帮助保护云服务。一些开发人员犯了一个常见的错误，即将加密密钥和凭据放在他们项目的源代码中，并在 GitHub 等公共存储库中共享。

引发针对性攻击的恶意软件感染

云服务也被用作转换提取数据的载体。发现了黑客使用的一种新颖的数据转换和提取技术，攻击者将敏感数据编码为视频和音频文件并在 YouTube 上共享。还有一些恶意软件可以使用私人 Twitter 帐户一次提取 140 个字符的敏感数据。对于 Dyre 形式的恶意软件，黑客可以使用文件共享服务通过网络钓鱼攻击向目标发送病毒。

被黑的 API 和接口

现在几乎所有应用和云服务都提供 API，IT 人员使用 API 和接口与云服务交互和管理，包括提供云管理、供应、跟踪和编排的服务。

云服务的可用性和安全性通常取决于 API 的安全性，您拥有的 API 越多，您就越容易受到攻击。黑客通常以 API 为目标来渗透系统并控制它们。虽然您可能无法完全删除 API，但专业的云安全培训可以帮助您降低它们带来的风险。

客户或业务合作伙伴之间的合同违约

通常，业务合作伙伴之间的合同会限制数据的处理方式以及谁有权访问这些数据。如果没有适当的引导，员工可以未经授权将这些受限制的数据移动到云端，从而导致违反合同并可以对公司采取法律行动。一个很好的例子是云服务在其条款和条件中有权与第三方公司共享上传到其服务的所有数据，从而允许他们违反公司与其用户之间达成的保密协议。

APT 寄生虫

APT 是 Advanced Persistent Threat 的首字母缩写词。这是一种无声攻击模式，黑客未经授权访问您的系统，利用您的数据，并在您不知情的情况下留在那里。

APT 在网络中横向移动并与正常流量集成，因此很难检测您是否接受过云安全培训 .顶级云提供商使用先进的技术来阻止 ATP 渗透他们的基础设施。云用户应勤于检测云账户中的APT承诺。

永久数据丢失

随着云技术的发展，永久性数据丢失的情况极为罕见。然而，恶意黑客可以从云中永久删除数据以破坏数据中心和业务。防止数据丢失的成本不是云服务提供商的唯一责任，因为客户还必须与提供商合作。 F 客户端在将数据上传到云端之前对其进行加密，客户端必须谨慎保护加密密钥。

缺乏对云的理解

在没有适当云安全培训的情况下使用云服务的公司 或者没有获得云安全认证的员工 可能会遇到大量的财务、商业、法律、合规和技术风险。

建议这些公司聘请具有云安全认证的人员提供服务，他们了解与云技术相关的所有概念和基本复杂性。