保護雲端資產：從何著手？

為了保障動態雲端環境的安全，企業必須能持續不斷地搜尋及評估雲端資產，才能在新弱點揭露以及企業環境變動時很快地偵測出問題。以下幾點是入門須知。  

雲端服務和應用程式靈活有彈性且符合成本效率，最重要的是，它們讓企業得以很快地針對客戶需求做出回應，並且管理與日俱增的遠端人力。事實上，有 81% 的公司行號至少使用一個雲端應用程式或一部分的雲端運算基礎架構。 

雲端帶來靈活與效率的好處，但隨之而來的是如何在雲端環境下保護及保障資產與工作負載的挑戰。受到高度矚目的資料外洩事件讓我們學到的教訓是，資料擁有者才是雲端資產的最終負責人，而不是雲端服務供應商。

隨著網路、端點和雲端環境中的新弱點與日俱增，您會發現，您的舊型弱點管理工具已不敷使用，既無法應付現今複雜多變的 IT 態勢，也無法保護現代的攻擊破綻。從 2015 年到 2020 年，CVE 的通報數量年平均成長率為 36.6%。您需要一套有效的解決方案，以便協助您根據風險對貴公司造成的危害程度來排定修復的優先順序。

那麼，該從何著手？我的建議是一開始一定要密切注意員工、處理流程和技術，而且一定要按照這個順序。原因何在？因為企業可能原本已經部署了最好的技術，但如果資安團隊跟雲端團隊各自為政、無法配合，或如果企業的業務處理流程有瑕疵，那麼將無法保護雲端中的任何資產。

需優先解決的三大資安難題

1. 員工彼此不溝通：我親身體會資安團隊與業務單位之間彼此溝通不良的情況。我的一位 IT 同仁曾經這麼形容：「跟業務團隊的人合作就像在寒冷的冬天早晨帶約克夏出門一樣。我套上牽繩往前走，狗狗偏偏要往反方向走，因為牠並不想去。最後我們雙方都精疲力盡。」在多數公司裡，資安團隊和雲端團隊都在各自的業務單位中各行其政。Tenable 委託 Forrester Consulting 進行的最新研究顯示，在受訪的 400 多位資安主管中，只有一半表示他們會跟其他團隊合作，讓風險降低目標與業務需求互相配合。當企業的多個團隊之間缺乏合作時，企業便難以保護、控制及取得雲端資產的能見度，進而置安全態勢於風險之中。
2. 業務流程存在落差：使用內部部署的傳統網路時，掌握工作負載和應用程式較為容易。步入雲端環境後，要掌握雲端現況的樣貌就變得困難重重。這是因為行銷和研發人員等非 IT 職務的員工往往會建立 (有時也會丟棄) 一些雲端資產，使企業無法實際盤點所有的雲端資產。例如，最近我遇到一家公司，他們在 AWS 中有 2,000 個雲端資產。經過搜尋掃描後，他們發現實際上的資產數量將近 3,500 個。在我們進一步調查後，發現他們處理未標記的雲端資產以及遺失子帳戶的業務流程有落差。這種情況在多數公司中並不少見。
3. 「對於一無所知的東西當然也無從保護！」：雖然這是一句老生常談，但就保護雲端資產而言卻再實在不過。多數公司都面臨在動態雲端環境中搜尋及評估暫時性 (生命週期短暫) 資產的困境。根據 Forrester 的研究調查，在受訪的 800 多名資安與業務主管中，只有 44% 表示他們的資安團隊對於自家公司最重要的資產能見度甚佳。 不過，Tenable 本身進行的研究顯示，即使找到資產，實際上也只有 20% 的資產受到曝險評估。原因何在？因為傳統的雲端弱點管理既複雜又費時。必須安裝掃描器和代理程式，最新弱點的偵測也可能會延遲好幾週。簡而言之，雲端發展速度太快，讓傳統 IT 安全功能無力應付。

說到這裡，您可能會感嘆「天啊，我們何時才能喘口氣？」嗯，繼續看下去就會知道，您的救星來了。 

保護雲端資產：3 大重要步驟

1. 團隊彼此之間對雲端資產的處理要相互配合：消除部門各行其政的弊病、打造團隊攜手合作的環境乃是達成一致能見度及控管雲端資產的關鍵第一步。Forrester 進行的研究調查顯示，相較於孤立行事的安全主管，與業務單位密切合作的安全主管對於報告所屬企業安全或風險等級的信心高出了 8 倍。與使用雲端的團隊成員溝通時，必須在與他們切身業務需求相關的背景下勾勒出網路安全威脅的影響範圍，並且在談話的過程中善加利用「延展性」、「靈活度」、「品質」和「業務持續性」等字眼。定期召開檢討會議並向業務利害關係人公布資安團隊的績效指標會很有幫助。如果有管理權方面的授權問題，不妨研擬有創意的因應措施，例如建立一套有共識的 IT 安全權限供大家使用，甚至透過常見的雲端原生格式 (如建立 CloudFormation 範本) 來行使此權限。這種方式不僅可達到資安團隊需要的成果，同時也能使雲端管理員省時省力。
2. 確保雲端安全機制運用良好的實務做法：研擬能配合雲端發展速度的優良安全實務做法是保護企業雲端資產的另一大重要步驟。將這些最佳做法融入整體公司文化中有助於減輕管理負擔，並可消弭業務流程的安全缺口。例如，落實所有雲端資產皆標上標籤的策略就可以讓企業有效管理資源、控管成本並降低風險。一旦強制執行這些措施，研發人員就能享有啟動測試環境的自由；資安團隊可以掌握哪些內容已經建立，並大幅減少搜尋資產和負責人以解決安全疑慮所需耗費的時間。另一個值得讚許的雲端實務做法是將企業的所有子帳戶與雲端的對應父代計數加以連結。這樣一來，管理員就能全盤掌握企業的整個雲端資產、有效降低網路風險並瞭解企業在任何一個雲端環境中的整體曝險情況。
3. 搜尋及持續評估弱點是關鍵：如果要保護及保障瞬息萬變和不斷擴充的環境，那麼具備分辨並快速評估雲端資產的能力是接下來的一大步。若企業使用 Amazon Web Services (AWS) 之類的雲端服務，則即時搜尋雲端資產不僅能發揮現有投資的最高效益，還可以讓企業對所有已知或未知的資產擁有完整的能見度。除了幾近即時地全然掌握所有資產，企業還需要能持續不斷地評估雲端的評估方式，以防有新的資產部署或有新的弱點揭露。

就像剛才提到的，傳統的雲端弱點管理既複雜又費時。Tenable 的無障礙評估在這方面有莫大助益。Tenable.io 最新推出的無障礙評估有別於其他弱點管理工具，因為它可充分運用原生的 AWS 工具 (包括 AWS Systems Manager (SSM) 代理程式) 持續不斷地搜尋和評估 Elastic Compute Cloud (EC2) 執行個體的弱點，無需設定掃描、管理憑證或安裝代理程式。這讓企業得以在發現新弱點時和執行個體來來去去的變動環境中，快速偵測出安全問題。它能讓企業幾近即時地掌握雲端環境，隨時準確清查所有資產和曝險。這種方式在動態雲端環境中搜尋及評估暫時性 (生命週期短暫) 資產時特別有效。

無障礙評估的設計能夠配合雲端的速度。但它還不止於此。無障礙評估可說是風險型弱點管理的一大要素，能針對弱點提供深入的分析和見解，同時運用 Tenable 的 Predictive Prioritization 功能，協助企業將全副心力放在最重要的弱點上。 

若想要進一步瞭解如何利用無障礙評估在幾秒內設定一整套風險型弱點管理方案，在幾分鐘內獲得可據以採取行動的結果，請觀看無障礙評估概述影片。