他們被攻破,全球都停擺!
雲端巨頭不能輸的資安戰
文●曹博凱
生成式AI的崛起,加速「萬物上雲」的時代到來。但企業搶著上雲,又必須餵資料給AI學習,也讓駭客有更多目標可攻擊。
根據資安廠商Check Point Research,今年第二季全球各組織平均每週受到的網路攻擊次數再創新高,年增達三成。雲端安不安全,變成企業數位化、推動AI轉型的先決條件。
微軟幫企業接軌「雲與地」!擁龐大軟體用戶優勢,資安產品最全
如果把雲端比喻作戰場, 那公有雲的三大巨頭, 即亞馬遜網路服務公司(AWS)、微軟Azure、Google雲端平台(GCP),就是戰場上最具影響力的領主們,而資安的能力,則是他們手上能左右戰局的關鍵武器。
畢竟三巨頭合計占全球約七成的市場,他們幾乎定義了雲端世界,且任一家安全防護網被攻破,都會釀成世界級的災難。
這三大巨頭也都祭出不同策略來最大化自己的優勢,以在這場資安新局中搶下一席之地。
微軟Azure的策略,不是要客戶去做「最徹底」的轉型,而是去保證客戶可以有「最順暢」的轉型。
研究機構IDC台灣資深市場分析師林雅惠指出,微軟的優勢在於深耕企業市場已久,很了解企業級的資安怎麼做,不論是過去著重的端點防護,到現在新的雲端環境都有涵蓋,這讓Azure有業界最完整的資安產品組合。
完整的產品組合對老牌企業更具吸引力,因為他們很多的工作負載還是在「地端」,雲跟地一起保護仍是必要的,「所以企業很看重雲跟地的無縫接軌,他們考量的是整合性,這給微軟很大的優勢,帶動微軟在這塊市場的擴張,」林雅惠表示。
微軟的策略顯然是奏效的,加上本來使用微軟辦公軟體的企業就很多,帶給Azure先天優勢,開發這些潛在的忠誠客戶就能有不錯成效。根據SynergyResearch Group,Azure今年第一季市占率上升至二五%,與龍頭AWS的差距正持續縮小。
Google的GCP,走了跟Azure截然不同的路。因為Google本身就是雲端原生(cloud native,指應用程式的建構和提供皆在雲端)的公司,GCP的資安技術也為雲端而生,加上Google原本就具備領先的大數據分析服務,這些強大技術成為吸引客戶的關鍵。
▲Google雖然在雲端市場市占居老3,但近年在資安賽道積極購併,它曾在2022年斥資54億美元買下資安公司
Mandiant,以強化自家雲端的自動化威脅偵測,也創下Google收購金額第2高紀錄。
Google積極購併強化「武器庫」雲端原生技術強大,還捧鉅資補強
尤其許多資安技術其實原本是Google內部自己使用,成熟後再向市場推出。
林雅惠說明,GCP就像是在用內部創業的方式來帶動資安技術的成長,例如BeyondCorp,這項二○一一年就問世的技術,原本是Google內部的零信任網路架構,意思是員工不須用VPN,也能安全存取公司的雲端或地端資料,現在已成為GCP的服務之一,更是遠距工作時代的必備資安技術。
為了拚資安技術,Google是三巨頭中最積極購併的一家。光二○二二年,它就一口氣出手買下三家知名資安公司。
而今年七月傳出Google想砸二百三十億美元天價收購資安新星Wiz,展現其拚資安的決心,這筆鉅額足以創下Google和全資安界最高的收購金額,但該案最終破局。
為何Google想拿下Wiz?林雅惠指出,因為近幾年資安技術的複雜性越來越高,不論供給方或需求方都在想辦法減少「資安摩擦力」,也就是簡化管理,避免用太多層關卡來確保資安。所以像Wiz這種主打雲端原生應用程式防護平台(CNAPP)、提供高度整合性的業者,特別具有競爭力。
林雅惠補充,Wiz現在與三大公有雲都有合作,而Google選擇收購Wiz,而不是合作的路線,除了想要強化自己的資安產品組合外,有可能是想削弱Wiz與其他公有雲的合作,只把核心技術留給自己。
▲AWS是最早誕生的公有雲服務商,內部有「Securityis Job Zero」的說法,即資安優於其他工作。(AWS提供)
AWS基礎設施市占39%,穩坐龍頭 廣邀第三方服務商合作,成新創最愛
微軟有龐大的既有平台用戶可以無縫接軌、Google坐擁強大技術實力,兩者都來勢洶洶,做為龍頭的AWS如何防守?答案是把基礎顧好,環境好,自然會有人加入你的陣營。
AWS台灣暨香港總經理王定愷告訴商周,「我們內部有句話叫『經驗無法壓縮』,意思是有些經驗要達到一定規模才能學到。」而AWS最主要的經驗優勢之一,在於做為世界上第一家公有雲服務商,已在全球建設出最完善和安全的雲端基礎設施。
若以整體雲端市場來看, 前兩大的AWS和Azure市占率只差六個百分點,但如果看「基礎架構即服務」(IaaS,透過網路使用IT基礎設施的服務,例如運算、儲存等),根據科技顧問公司Gartner統計,去年AWS市占率高達三九%,與Azure的差距也擴大到十六個百分點。
Gartner副總裁分析師納格(Sid Nag)指出,「 微軟的策略是從軟體服務(SaaS)往下,而亞馬遜一直是從IaaS往上。」尤其生成式AI興起,大量的AI訓練都在這些基礎設施上運行,使IaaS的重要性更加提升。「IaaS是撐起所有船隻的浪潮,」納格表示。
基礎設施上的領先,並沒有讓AWS選擇去壟斷市場,而是透過軟體市集(AWS Marketplace) 廣邀第三方服務商來合作。根據AWS提供的資料,它的雲端服務數量比第二大的Azure多了六○%。
林雅惠解釋,從資安角度看,這樣做有兩個好處,一是能夠彌補AWS的SaaS自有產品多元性不如微軟和Google的劣勢,改讓第三方來填補;二是對第三方服務商而言,東道主的自有產品越少,自己的生存空間才越大。例如在Azure上,鮮少有第三方能跟微軟本身強大的端點防護媲美,所以做端點防護的廠商,可能更傾向去AWS。
AWS的彈性加上豐富的第三方服務選項,也對新創獨具吸引力,《富比世》去年「下一個十億美元新創」榜單上,超過八成的新創都使用AWS服務。
資安人才缺口達4百萬人 全球開搶!「懂AI也懂資安」最夯
三大巨頭在資安這塊新戰場各自拚技術、拚生態,那對一般人來說,能在這個新戰局中做什麼?答案是成為新時代所需的人才。
正如同AWS首席資訊安全長(CISO)貝特茲(Chris Betz)在今年舉辦的雲端安全會議(re:Inforce)上說道,「現在找到AI人才很困難,尋找資安人才也很困難,但同時找到理解這兩者交集的人,更加困難。」
根據國際資訊系統安全認證協會(ISC2) 統計, 截至去年,全球資安人才缺口高達約四百萬人,根本供不應求。
為此,目前三大巨頭都在開辦免費的資安和AI人才訓練課程,積極拉攏人才加入自家生態系,對求職者也算是一大福音。
AWS全球安全服務副總裁羅斯曼(Hart Rossman)對商周表示,現在最炙手可熱的高階安全領導人才,最好兼顧產業知識、看懂代碼的能力,以及具備資料科學和機械學習的知識。
後兩者看似很難,但他看過的一些案例是,有些人在六到九個月就能透過課程學完,「你不需要回到學校拿個博士學位才會這些,」羅斯曼說。
亞馬遜安全長看AI新威脅:攻擊鏈升級,身分盜取是最大風險
施密特(Steve Schmidt)是亞馬遜集團首席安全長(CSO),此前他曾在AWS擔任資訊安全長(CISO)長達12年,可說他正是亞馬遜龐大帝國安全問題的大腦。他是如何看待資安領域最新的趨勢?以下為專訪紀要:
商周問(以下簡稱問):生成式AI的興起造成什麼新的資安威脅?
施密特答(以下簡稱答):生成式AI讓攻擊者可以更容易克服以前釣魚信件文法和邏輯上的漏洞,這讓他們更容易盜取身分,再把惡意軟體裝到你的系統裡。所以我們也在想辦法辨別哪些攻擊來自AI,藉此打破駭客的攻擊鏈。攻擊和防守方都在演進,這就像是個你追我跑的遊戲。
問:除了AI創造出更擬真的攻擊,還有什麼新的威脅?
答:俄烏戰爭讓許多公司突然面臨國家級的攻擊,特別是物流和貨運公司,這是從沒遇過的。
另一個是勒索軟體,5年前勒索軟體的問題跟現在根本不能比。而且這不是針對某些特定產業,是所有人都可能遇到,包括醫院、地方政府等小型組織。
問:企業進行雲端化、強化資安時,該從何著手?
答:在資安方面,你可以先思考這些重要問題:你有什麼樣的資料?這些資料要存在哪?該如何儲存?誰可以存取?以什麼原因、在什麼時間點存取?你做的防護如何向政府管制單位證明有效?
對於缺乏資安人才的中小企業、傳統製造業,我們通常會建議去找到適合的第三方資安服務商,尤其要注意身分盜竊問題,因為那仍是導致勒索軟體成功的最大風險。決定由哪家服務商來保障你企業的安全,會是你最重要的決定之一。
(採訪整理●曹博凱)
閱讀完整內容
本文摘錄自
他們被攻破,全球都停擺!雲端巨頭不能輸的資安戰
商業周刊
2024/8月 第1919期
相關