安全雲端轉型之路

據國際數據公司（IDC）預測，至2025年，全球數據量將激增至175皆位元組（ZB），當中，公有雲將承載49%的數據量。尤為引人注目的是，物聯網設備將貢獻90ZB的數據量。雲端為企業數碼化轉型帶來了無可比擬的靈活性、高效性及便捷性，其巨大價值不容輕忽。面對日益激烈的市場競爭，大多數企業已別無選擇，唯有擁抱雲端，方能保持領先。

然而，新技術往往伴隨著新風險，雲端亦不例外。無論是基礎設施即服務（IaaS）、平台即服務（PaaS）還是軟體即服務（SaaS），企業在享受雲端帶來的便利時，也不得不面對更大的數碼攻擊面。網絡威脅者利用新興途徑和手段，肆意破壞系統，當中，網絡供應鏈和API相關威脅尤為嚴峻。在雲端環境中，威脅者不斷升級戰術、技術和流程，向上游滲透，在製造商和供應商開發的軟硬體中嵌入惡意代碼。這些代碼如同「隱形殺手」，若缺乏有效的檢測和應對措施，將長期潛伏，最終可能為黑客提供可乘之機，實施勒索軟體攻擊或數據竊取活動。

因此，在企業踏上雲端轉型的過程中，深入瞭解雲端獨有的特性至關重要。這些特性在傳統本地環境中並不存在，要求企業必須以全新的視角審視和應對雲端安全挑戰。

在傳統本地環境中，數據的所有權、管理、監控及合規性主要由企業自身掌控，這使得機構對其網絡安全態勢擁有了更高的控制權。然而，隨著雲計算的興起，這一格局已悄然改變。根據美國網絡安全和基礎設施安全局（CISA）發布的《雲安全技術參考架構》2.0版本（Cloud Security Technical Reference Architecture v2.0），不同類型的雲服務模型（即IaaS、PaaS和SaaS）在責任劃分上存在差異。

儘管這使管理變得更加複雜，但這也意味著組織現在也可以對供應商和服務提供商給予更多信任和所有權，以滿足某些要求。

這帶來了網絡風險的下一個要點：衡量和管理網絡風險現在需要超越組織範圍。雲供應商和服務提供商必須被視為組織更大的數字攻擊面的一部分，因為其系統的妥協或破壞可能會導致下游影響。組織應明確定義服務級別協議和合同，以便與服務提供商就將要部署的雲系統的共同責任達成共識。

工作負載遷移過程中的一個常見陷阱便是「原樣照搬」的心態，即將應用程式和網絡安全控制措施簡單地從本地環境遷移到雲端，而忽略了對工作流程的重新設計。企業必須認識到，每個雲原生環境都具備獨特的架構，與傳統的本地架構大相徑庭。這就要求網絡安全團隊深入瞭解每個特定環境，並進行相應配置，以確保數據免受違反安全策略的行為侵害。此外，雲計算的發展使得IT團隊能夠更便捷地創建新數據庫。因此，我們需要開發自動化流程來監控這些新數據庫，及時檢測任何異常行為。

在邊界層構建「高牆」並限制入口點的傳統策略，同樣是亟待轉變的思維。在當今的數位化時代，這種做法已不再適用。隨著企業紛紛採用雲技術，敏感數據等核心資源可能遍布雲端各個角落。此外，新冠肺炎疫情催生了以居家辦公為主的工作模式，進一步模糊了信任與非信任邊界之間的界限。正是這一界限的模糊，使得在數位互聯的企業環境中實施零信任策略變得至關重要。零信任不僅僅是一場技術層面的探討，更是一種全新的安全戰略。

我們採用分階段實施的方法，與NIST網絡安全框架（包括識別、保護、檢測、響應和恢復）保持一致，協助企業成功部署零信任策略。我們首先對關鍵資源進行細緻分類和選擇，然後協助企業深入瞭解其通信流程、所使用的協議和端口。同時，我們還對用戶和角色的權限進行嚴格審查，以最大限度地減少他們訪問資源所需的應用程式級權限。

現在可用的工具和框架比五年前多得多，這使得開發工作變得更加自動化和精簡。例如，SG技術堆疊和中央平台，如基礎設施即代碼（SIaC）、CloudSCAPE、shiphats等，都是可供公眾使用的資源。這些工具可以幫助機構和組織採用最佳實踐，安全地執行他們的數位或基於雲端的項目。

雲端安全運營若缺乏機器學習與人工智能在威脅偵測方面的應用，其效能將大打折扣。我們的安全運營中心（SOC）融合人工智能和機器學習技術，並與安全編排、自動化及響應（SOAR）平台等自動化工具集成，顯著提升了我們對高級威脅的快速偵測與響應能力。如此一來，原本用於手動操作的資源得以釋放，轉而投入到諸如威脅追蹤與事件響應等更具價值的任務中。 

 
為了進一步提升安全運營中心在威脅偵測與響應方面的效率，我們聚焦三大核心領域推動網絡人工智能的發展：一是網絡人工智能基礎設施，二是數據科學，三是機器學習運營。 

• 顯著降低有關方面在機器學習開發與運維中建設AI基礎設施的復雜度
• 借助雲端豐富的運營數據資源，實現數據模型的快速試驗、測試、部署與調優
• 相較於本地部署，雲端運行機器學習模型更具成本效益
• 可根據需求輕鬆擴展機器學習運維規模
• 借助雲服務供應商提供的現成軟件開發工具包（SDK）和應用程序接口（API），實現更便捷的集成與更快速的部署