議題觀點

iCloud事件看雲端安全

勤業眾信聯合會計師事務所企業風險管理服務 / 陳志明協理、江榮倫協理、周哲賢副理

國外女星艷照門事件凸顯出雲端服務資料備份的便利性與個人隱私資料外洩的風險。Apple iCloud也許還有其他漏洞,但在此之前卻能讓駭客透過工具進行成千上萬次暴力式的密碼嘗試攻擊就是一大缺失,Apple為了自清,已經請FBI介入調查,相信未來對整個事件會有更清楚的了解,但在此之前使用者可以透過以下措施自保:

1.  刪除iCloud的機敏資料

2.  啟用雙因子認證

3. 強密碼原則,且不要共用帳號與密碼

iCloud事件所引發的安全議題

iCloud洩密事件其實在今年8月份就有駭客在Github上公開iCloud暴力破解工具,讓一些設定較簡單密碼在幾萬次的嘗試下進行暴力破解的動作,這幾乎是毫無技術困難度的攻擊,Apple iCloud竟然沒有任何告警機制,而後續的明星私人照片陸續外洩而被公開時,讓雲端存放資料的安全問題又再度讓使用者失去信心,但實際上CSA STAR早已指出可行性的作法,這起資安事故是可以被避免的。

1.  雲端資料安全管理

2.  資安事件的即時掌握與反應:

iCloud相關服務沒有啟用嘗試失敗次數後鎖定帳號的功能是種下遲早被駭客攻陷的錯誤,但身為雲端服務的單位應透過各種活動的日誌進行即時性的收集、匯整、正規化與關聯分析異常行為,並能即時發現並回應,以主動出擊避免資安事故發生或進一步擴大。

雲端安全自評與供應商評估

面對雲端服務的逐漸普及,無論是雲服務還是端點的行動裝置安全,企業在選擇或使用雲端服務時,已經不能使用過往在傳統資訊架構下的管理思維, CSA的STAR除了提供企業對雲端的安全認證外,它也能提供企業自評內部的雲端服務的安全等級,並且能作為企業在選擇雲端服務供應商時的評估標準。

iCloud的洩密事件其實是可以避免的,使用者先過濾哪些資料可以上傳至雲端、啟用雙因子認證、並改用複雜性密碼且不要共用同一組帳號密碼的方式來自我保護,企業內除了透過ISO27001持續精進資訊安全外,即使不導入CSA STAR認證,仍可以參考STAR CCM的條文要求透過自評來檢視企業內部的雲端建置的安全等級,企業在選擇外部雲端服務時也能透過STAR CCM作為一個國際共通的評量標準。iCloud事件讓我們重新檢視雲端服務所帶來的便利生活與資料安全是否能和平共存的可能,而CSA 的STAR正為這些雲端安全議題的風險管理取得新的平衡點。

是否找到您要的資訊?