根据云安全厂商Skyhigh Networks公司发布的最新统计结果,目前每位员工在工作当中所使用的平均云服务数量高达30种。
不过各类云服务的安全性水平也有所区别。Skyhigh方面对全球16000家不同云服务供应商进行了审查,具体包括他们是否采用加密数据、对客户隐私的处理方式以及知识产权保护手段、是否允许匿名使用、是否会在账户中止后立即删除相关数据以及最近一段时间是否遭遇到安全问题——总计有50种不同安全相关指标被纳入考量。
各云服务在排名当中还考虑到其用户数量,因为云服务项目的使用群体规模越大,可能给企业带来安全风险的可能性也就越高。
Skyhigh公司在此次分析当中汇总了全球超过2300万用户的匿名云使用数据,这些受众的所在企业遍布金融服务、医疗卫生、公共事业、教育、零售、能源以及运输等多个行业。
网易免费邮箱
在此次排名当中,风险水平最高的为网易公司提供的免费在线电子邮箱服务,其闲置数据并未进行加密,这意味着攻击者能够通过服务器访问对用户数据进行直接查阅。这同时意味着网易公司的员工能够查看用户邮件中的具体内容。网易是一家中国企业,同时也是中国国内规模最大的电子邮箱服务供应商。该公司宣称目前其邮箱服务用户已经超过7.9亿。
新浪微博
作为此次上榜的另一家中国企业,新浪微博是由新浪公司提供的一套类似于Twitter的社交服务方案,据称其注册用户已经超过6亿且每天消息发布数量达到1亿条。中国用户必须利用自己的手机号码或者身份证号才能通过注册验证。就在去年,中国政府针对新浪公司内容审查纰漏对其进行了罚款及其它制裁措施。新浪微博也曾经成为攻击活动的受害者,其用户会收到包含恶意链接的私信消息。
优酷
优酷是中国本土的一家视频共享站点,其功能定位与YouTube非常类似,而且由于托管大量侵权视频内容而备受关注。根据相关报道,该公司还曾配合中国政府对其内容进行审查并将客户数据同第三方以及政府当局进行共享。
Pastebin
基于云的文本共享工具Pastebin允许用户以公开或者私人方式实现信息发布,但目前其已经成为臭名昭著的失窃数据共享站点。Pastebin在广告宣传中称其不会将数据与第三方共享,这可能会给用户造成自身隐私能够切实得到保护的错觉。然而其存储数据并未经过加密,而且该服务曾于今年3月遭遇数据泄露事故。
Promptfile
Promptfile是一家免费云文件存储站点,其承诺“隐私与安全”保护但实际上却无法支撑用户及组织机构对于安全的具体要求。该服务并未针对知识产权所有权制定出定义政策,这意味着用户虽然对上传数据具备所有权、但却并不受法律保护。该站点还没有对数据进行加密,这意味着上传数据可能面临着来自内部或者外部的威胁风险,且不提供任何企业级访问管理功能。
4chan
作为一家在线论坛站点,4chan已经成为本次排名当中最臭名昭著的高风险服务之一。已经有众多恶意人士利用4chan组织黑客活动以及指向个人及企业的DDoS攻击,而且该站点没有针对隐私或者知识产权定义保护政策。4chan支持匿名使用,因此我们很难追踪使用情况并降低用户对安全风险的顾虑。
Kickass Torrents
Kickass Torrents不仅是个供用户分享侵权内容种子链接的站点,同时也已经因为存在大量恶意下载活动而被谷歌所屏蔽。该站点曾经多次进行过域名变更,且目前有诈骗分子建立山寨网站以重新定向搜索引擎的流量指向——同时利用恶意软件感染访问者设备。考虑到上述状况,Kickass Torrents将给企业带来极为严重的安全风险,而且我们很难单纯利用域名对其进行屏蔽。
警告:该站点自身也给出了恶意软件警告提示。
Free-OCR
此站点提供一款免费的光学字符识别工具,并能够对上传数据进行收集,不过其目前几乎不具备任何针对数据安全性及版权归属的管理政策。能够将图像内文字转化为文本形式的便利功能可能会吸引相当一部分企业用户,但请注意大家上传数据的所有权在该站点中往往得不到任何保障。
Document Cloud
作为另一款在线文件共享平台,Document Cloud允许用户在其上进行文档的存储、注释与共享。该项服务宣称自身可供记者等职业保存自己的主要文件数据。不过它缺少各类保护功能,甚至连基本的数据加密机制亦不存在。Document Cloud没有针对账户中止或者账户中止后的数据保留问题做出任何政策性定义。这意味着数据可能会永久存在于Document Cloud服务当中——无论用户是否需要将其彻底删除。另外,该服务还与政府方面共享数据,这意味着我们的敏感数据有可能被政府所掌握。除此之外,该服务还允许用户群组立足于项目进行协作,这可能意味着用户可能会将业务数据保留于其中并作为共享文件存在。
Veoh-tv
Veoh-tv的功能定位属于基于云的电视频道,大家可以在其中保存自己的视频播放列表。除了版权问题之外,该服务还曾于今年8月遭到到安全事故——其有可能导致姓名、电子邮箱地址以及个人身份信息等用户数据面临安全风险。举例来讲,该站点在注册时会要求用户输入生日信息。该服务还会主动与第三方共享用户数据,且不会事先向用户发送通知——这可能是有史以来最糟糕的隐私政策设定了。
来源:51CTO