Radware：仍有1/3受訪企業僅靠公有雲供應商的防護來保護企業資產

Covid-19的大流行加速公司遷移雲端化的決定，而快速遷徙雲端的過程中，伴隨的攻擊和風險層出不窮，Radware 2020的資訊技術安全報告中概述了疫情大流行對企業數位化轉型計畫的影響，並且訪問了超過260家企業的高階主管，從他們的視角中得知企業是如何應對不斷演變的安全威脅形勢。

因應疫情所產生的影響，企業管理層往往需要透過特定調整來迅速控管成本和運營效率，報告中也指出，企業組織中擁有靈活的IT基礎設施和完備的應變計畫更能在疫情中脫穎而出。而為實現公司長遠的經營目標和穩固的企業韌性，企業高階主管通常會制定以下關鍵策略以維持企業的正常運作:

• 建構強大的數字基礎設施
• 將 IT 基礎架構雲端化
• 加速將網路資產遷移到雲端
• 朝向遠程勞動力的調整
• 採用機器學習、人工智能和自動化來提高彈性和業務效率
• 部署差異化安全解決方案
• ​通過佈署非接觸式經濟的需求來搶佔市場商機

根據報告調查，有76%的公司高層表示疫情大大地加速了他們遷徙雲端的計畫，此外在金融、電信和零售業都有超過7成的高階主管認為混合雲的環境和自動防護使得公司更具適應力和恢復力。

雲端化所帶動的新科技整合在企業主管的訪問中，最被期望達成前五大排行為：營收的增加、供應商管理、增加營收項目、增加股東價值和減少運營成本。然而，雲端化的進程需耗時四到五年，在疫情壓縮了進程導致資安佈署的不夠周全，再加上雲端大範圍面積的特性容易遭受攻擊，企業仍須回過頭來檢視雲端資安和漏洞的根本問題。

遠距辦公的必然性

疫情發展至今，超過95%企業表示實地上班受到疫情很大程度的影響，而遠程辦公變成不可避免的趨勢，為了支持大規模遠程辦公，企業組織加快採用託管服務並遷移到雲端以建構有彈性的基礎設施，為此IT人員需要迅速配合公司政策，確保網路基礎架構足夠穩定並且支持遠距上班的人員，在登入公司的作業系統同時確保使用權限和安全性。

在疫情稍微趨緩的期間，雖然有部分公司開始恢復彈性實地上班，但仍有許多公司像是google, Twitter,則表示遠距辦公的模式將會繼續無限期延長，以因應疫情反覆變化所帶來的重複衝擊。透過訪問260家以上的企業主管，我們得知了遠距辦公施辦後許多意料之外的優點，包括有超過35%的受訪企業表示公司的生產力和效率大幅提升、42%表示員工的生活和工作間更能取得平衡，在這工作彈性的基礎之下，工作的效率更能提升，也更能留下公司人才、有21%認為減少了公司運營成本，和減少通勤的時間成本，此外遠距辦公施辦也可以吸收到一些本來不具備地緣條件的優秀人才。

針對垂直市場在金融業、電信業和零售的企業受訪者中，近55%的高階主管表示2021至2022年公司內部至少會維持一半以上的員工繼續維持遠程辦公。而到了2022年還會有超過50%的企業繼續採用遠距上班的模式。

近55%的高階主管表示2021至2022年公司內部至少會維持一半以上的員工繼續維持遠程辦公。

疫情下的雲端資安思維

隨著遠程辦公和非接觸式經濟模式的盛行，有32%的受訪企業僅僅依靠公有雲端供應商的防護來保護企業資產，公有雲端的供應商在其標準化的防護機制之下，僅能確保容器基礎架構與作業系統的安全。換句話說，作為使用單位，仍需自行負責保護那些被你放到雲端上的工作負載，再者，不同的雲端服務型態：基礎架構服務 (IaaS)、平台服務 (PaaS) 或軟體服務 (SaaS)，決定了各自不同元素該由雲端供應商或使用端來負起保護的責任。企業用戶在不夠了解共同分擔責任(shared responsibilities)的情況下，僅依賴雲端供應商的防護，是造成雲端資安破口的主因之一。

• 50%的高階主管對企業防範未知網路威脅的能力没有信心。
• 30%的高階主管稱，自疫情爆發以來，網路攻擊有所增加。
• 35%的網路攻擊需要事件回應機制。

企業主管對當今和未來攻擊的顧慮

雲端安全性的考量指標

儘管雲端服務使得企業能夠快速針對疫情後所衍伸的問題和其市場機會做出應對，但這種碎片化的雲端作業模式也增加了運算資源和應用程式資源的安全顧慮。企業可能認為雲端供應商正在保護他們在雲端資料和資產，但他們卻沒有意識到除卻基本的保護框架，他們還暴露多少攻擊風險在外，根據Radware 2019年網路應用安全報告，有65%人並不了解雲端安全共同責任的分界線，更有53%在資料外洩後認為是雲端供應商的問題。

要了解這兩者之間的落差, 企業必須擁有完整的解決方案能夠替他們審視多種平台交錯作業下的安全威脅和風險，這些解決方案必須具備3種能力：

1. 透過減少攻擊廣度來阻止攻擊
2. 檢測和識別不斷變化的威脅
3. 以準確有效的緩解措施做出響應

高階主管往往會透過主動調整來減少風險的暴露，並且將公司的管理目標和網路安全問題做一致性的調整, 以下為他們在審視安全風險的考量和經驗法則:
•　網路拓撲和配置的變化
•　應用程序適應到原生雲端架構中的挑戰
•　雲端工作負載的變化，例如容器、應用程式, API、儲存等
•　數據訪問/身份驗證方法的完善
•　遠程辦公可能造成的法規問題
•　第三方軟體介面管理

未來幾年，為求更完善的數位化，企業將持續轉向雲端，並增加對 IT 基礎設施、應用程式、機器學習、人工智能和自動化的投資。為迎合這些轉變，企業必須確保自身在資安防護的廣度和深度，才能對抗日新月異的資安新威脅。

*本文節錄翻譯自Radware《最高管理層視角報告》。

資料來源：INFO SECURITY