如今，世界各地的組織正在收集、存儲和管理不斷增加的數據。許多人決定將這些數據存儲在云中，因為將數據保存在自己的數據中心是不可持續(xù)的。但隨后發(fā)生了難以想象的事情，很多組織從黑客那里收到贖金郵件，通知他們已經掌握了云中組織數據的控制權，并且要求為他們的數據支付大量贖金。那么該怎么辦？

首先，需要向其他具有豐富公共經驗的企業(yè)學習。例如，如果Uber公司在2016年為其數據泄露支付了贖金，并希望永遠不會出現攻擊的話，那么這將會導致客戶失去信任。此外，它可能會公開展示一個漏洞，并吸引其他黑客試圖攻擊實施另一次劫持。不幸的是，對于Uber公司而言，這次網絡襲擊事件于2017年底公開，他們現在面臨憤怒的客戶、利益相關者和監(jiān)管機構的質疑和批評。他們將如何處理？組織可以做些什么來防止這種大規(guī)模的數據泄露事件發(fā)生？

企業(yè)需要做的最重要的事情之一就是要及時了解他們面臨的各種威脅。人們正處于IT環(huán)境正在經歷戲劇性數字化轉型的時代，傳統(tǒng)基礎設施被現代基于云計算的解決方案所取代。隨著云計算解決方案的日益普及，一種新型的企業(yè)安全威脅正在出現，它依賴于勒索軟件的浪潮：它被稱為“泄漏的云存儲桶”。

什么是泄漏的云存儲桶？

當數據暴露在公共云上時，通常是由于存儲桶配置錯誤導致的，它被稱為泄漏的云存儲桶事件。

每個公共云存儲服務都提供存儲桶，這是AWS為存儲云上數據對象的存儲庫創(chuàng)造的術語（Azure稱他們?yōu)椋lob＇）。企業(yè)客戶能夠以他們選擇的任何方式配置存儲桶，其中包括維護存儲桶的區(qū)域，存儲桶中對象的生命周期規(guī)則，一般訪問權限等等。

在過去的一年里，出現了一系列此類事件，這些事件困擾著很多組織，如Uber、Verizon、Viacom、道瓊斯，甚至美國的軍事組織。

那么誰應該受到責備？是客戶、云計算提供商、存儲供應商還是黑客？事實證明，問題的根本原因不在于涉及的云計算提供商，無論是AWS、Microsoft、IBM還是Google，還有企業(yè)管理員正在配置和使用這些存儲桶的方式。最終，大多數情況都可以解決用戶錯誤的原始問題。

這真的很令人驚訝嗎？讓人們不要忘記，調研機構Gartner公司預測95％的云計算安全故障將是客戶的錯。

IT行業(yè)人士通常都知道用戶或管理員的錯誤一直困擾著IT組織。這是泄漏的云存儲桶面臨的情況。

這些存儲桶有兩個主要屬性不應忽略。首先，云存儲和存儲桶是駐留在私有云和防火墻邊界之外的共享服務。其次，云存儲桶基于對象存儲，它不會強制組織多年來使用的文件系統(tǒng)訪問控制列表（ACL）來定義文件級粒度權限。

與傳統(tǒng)IT或傳統(tǒng)存儲的數十年企業(yè)IT體驗相比，云計算存儲管理的固有缺點加上云存儲管理的不成熟，導致存儲的數據沒有得到保護，可能成為黑客的獵物，而黑客經常運行掃描搜索下一個受害者。

該怎么做才能避免泄漏云存儲桶？

幸運的是，有一些簡單的預防措施可以確保數據在組織的邊界內得到保護：

（1）加密數據并將鑰匙放在口袋里

如果IT人員遵循一個簡單的規(guī)則：如果企業(yè)的數據存儲在外部環(huán)境，則必須被加密，那么IT人員才能放心。正如沒有人在沒有VPN的情況下可以通過公共Wi－Fi訪問敏感信息一樣，企業(yè)不應該在沒有適當加密的情況下使用公共云存儲。如果數據在空閑時加密，并且只有某些工作人員可以訪問加密密鑰，則無需擔心存儲桶是否泄露：加密數據對任何未授權的用戶都是無用的。這是一種至關重要的保險措施，可以防止有一天發(fā)生錯誤的概率，無論其大小如何。

（2）管理訪問權限

使用多層訪問控制系統(tǒng)，該系統(tǒng)從存儲桶本身的訪問權限一直到相關工作負載的文件級別，保留權限并將它們連接到中央目錄身份驗證系統(tǒng)。

（3）投資數據丟失預防（DLP）

利用DLP軟件監(jiān)控數據訪問模式，并找出可以檢測數據泄漏的偏差。這些工具還可以阻止策略違規(guī)，從而可以阻止用戶在企業(yè)的防護措施之外發(fā)送敏感數據。

（4）鎖定端點和辦公室

使用企業(yè)移動管理（EMM ） 移動設備管理（MDM）工具消除影子IT，在企業(yè)提供的和BYOD設備中創(chuàng)建安全的生產力空間。

（5）定期滲透測試

在向網絡添加新基礎設施（例如云存儲）時，滲透測試至關重要。但是，這種優(yōu)良的作法是定期進行測試以評估組織的安全狀況，并確保不會出現新的泄漏。

所有這些措施都應該成為所有組織隱私議程的首要任務，只有這樣，他們才有機會保護自己免受許多泄漏的云存儲桶受害者所遭受的命運。