2021-01-31 分類: 網(wǎng)站建設
越來越多的數(shù)據(jù)和應用程序正在轉移到云上,這一趨勢帶來了獨特的信息安全挑戰(zhàn)。以下是企業(yè)在使用云服務時所面臨的十二大頂級安全威脅。
云計算正在持續(xù)改變組織機構使用、存儲和共享數(shù)據(jù)、應用程序和工作負載的方式。這也帶來了一系列新的安全威脅和挑戰(zhàn)。隨著大量數(shù)據(jù)數(shù)據(jù)進入云計算——特別是公共云服務,這些資源自然就成為了壞人的目標。
Gartner 公司副總裁兼云安全主管 Jay Heiser 表示:公共云的使用量正在快速增長,因此不可避免地會導致大量敏感內(nèi)容暴露在潛在風險當中。
與大多數(shù)人的認知可能相反,保護云中企業(yè)數(shù)據(jù)的主要責任不在于服務供應商,而在于云客戶。
“我們正處于云安全轉型時期,重點正從供應商轉移到客戶身上。企業(yè)正在認識到花大量時間試圖弄清楚某個特定的云服務供應商是否 ‘安全’,實際上并不重要。
為了讓組織機構了解云安全問題的最新動態(tài),以便他們能夠就云使用策略做出明智的決策,云安全聯(lián)盟 (Cloud Security Alliance, CSA) 發(fā)布了最新版本的《云計算十二大頂級威脅:行業(yè)洞察報告》 。
該報告描述了 CSA 安全專家一致認為的目前云所面對的大安全問題。CSA 表示,盡管云計算存在很多安全問題,但本文主要關注12個與云計算的共享和按需分配特性相關的問題。后續(xù)報告《云計算的大威脅:深度挖掘》(Top Threats to Cloud Computing: Deep Dive) 列舉了有關這12種威脅的案例研究。
為了確定主要威脅,CSA 對行業(yè)專家進行了調(diào)查,就云計算面臨的主要安全問題收集了專業(yè)意見。下面是調(diào)查得出的一些頂級云安全問題(按調(diào)查結果的嚴重程度排序):
1. 數(shù)據(jù)泄露
CSA 表示,數(shù)據(jù)泄露可能是因為有針對性的攻擊,也可能只是人為錯誤、應用程序漏洞或糟糕的安全措施導致的。數(shù)據(jù)泄露可能涉及任何不打算公開的信息,包括個人健康信息、財務信息、個人身份信息、商業(yè)秘密和知識產(chǎn)權信息。一個組織機構的云數(shù)據(jù)可能對不同的對象有不同的價值。數(shù)據(jù)泄露風險并非只有云計算獨有,但它始終是云客戶最關心的問題。
他在其《深度挖掘》(Deep Dive) 的報告中引用了2012年 LinkedIn 密碼遭黑客攻擊作為主要例證。由于 LinkedIn 沒有加密密碼數(shù)據(jù)庫,攻擊者竊取了1.67億個密碼。該報告表示,這次泄露警示組織機構應始終對包含用戶憑據(jù)的數(shù)據(jù)庫進行加鹽哈希加密處理,并進行日志記錄和異常行為分析。
2. 身份、憑據(jù)和訪問管理不當
假扮成合法用戶、操作人員或開發(fā)人員的外部入侵者可以讀取、修改和刪除數(shù)據(jù);發(fā)布控制面板和管理功能;監(jiān)視傳輸中的數(shù)據(jù)或發(fā)布來源似乎合法的惡意軟件。因此,身份、憑據(jù)或密鑰管理不當可能導致未經(jīng)授權的數(shù)據(jù)訪問,并可能對組織機構或終端用戶造成災難性的結果。
根據(jù) Deep Dive 的報告,訪問管理不當?shù)囊粋€例子是 MongoDB 數(shù)據(jù)庫默認安裝設置存在風險。該數(shù)據(jù)庫在默認安裝設置中打開了一個端口,允許訪問者在不進行身份驗證的情況下對數(shù)據(jù)庫進行訪問。該報告建議在所有周邊環(huán)境中實施預防性控制,并要求組織機構掃描托管、共享和公共環(huán)境中的漏洞。
3. 不安全接口和應用程序接口(API)
云供應商公開了一套軟件用戶界面 (UI) 或 API,客戶通過這些工具管理云服務并與之進行交互。CSA 表示,供應、管理和監(jiān)測都是使用這些接口執(zhí)行的,一般云服務的安全性和可用性取決于 API 的安全性。它們需要被設計成能夠阻擋企圖避開政策的意外和惡意企圖。
4. 系統(tǒng)漏洞
系統(tǒng)漏洞是程序中可利用的漏洞,攻擊者可以利用這些漏洞潛入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務操作。CSA 表示,操作系統(tǒng)組件中的漏洞使所有服務和數(shù)據(jù)的安全性面臨重大風險。隨著云端用戶增加,不同組織機構的系統(tǒng)彼此靠近,并被賦予了訪問共享內(nèi)存和資源的權限,從而產(chǎn)生了一個新的攻擊角度。
5. 賬戶劫持
CSA 指出,帳戶或服務劫持并不新鮮,但云服務的出現(xiàn)帶來了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權,他們就可以監(jiān)視用戶活動和交易,操縱數(shù)據(jù),返回偽造的信息,并將客戶重定向到非法站點。帳戶或服務實例可能成為攻擊者的新依據(jù)。使用竊取的憑證,攻擊者可以訪問云計算服務的關鍵部分,從而破壞這些服務的機密性、完整性和可用性。
Deep Dive 報告中的一個例子:Dirty Cow 高級持續(xù)威脅 (APT) 小組能夠通過薄弱的審查或社會工程接管現(xiàn)有帳戶,從而獲得系統(tǒng)root權限。該報告建議對訪問權限實行 “需要知道” 和 “需要訪問” 策略,并對帳戶接管策略進行社交工程訓練。
6. 惡意內(nèi)部人員
CSA 表示,盡管威脅程度有待商榷,但內(nèi)部威脅會制造風險這一事實毋庸置疑。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息,并且逐漸可以對更關鍵的系統(tǒng)進行更高級別的訪問,并最終訪問數(shù)據(jù)。如果僅依靠云服務供應商來保持系統(tǒng)安全,那么系統(tǒng)將面臨巨大的安全風險。
報告中引用了一名心懷不滿的 Zynga 員工的例子,該員工下載并竊取了公司的機密商業(yè)數(shù)據(jù)。當時沒有防丟失控制措施。Deep Dive 報告建議實施數(shù)據(jù)丟失防護 (DLP) 控制,提高安全和隱私意識,以改進對可疑活動的識別和報告。
7. 高級持續(xù)威脅(APTs)
APTs 是一種寄生形式的網(wǎng)絡攻擊,它滲透到系統(tǒng)中,在目標公司的IT基礎架構扎根,然后竊取數(shù)據(jù)。APT 在很長一段時間內(nèi)會秘密追蹤自己的目標,通常能適應那些旨在防御它們的安全措施。一旦到位,APT 可以橫向移動通過數(shù)據(jù)中心網(wǎng)絡,并融入到正常的網(wǎng)絡流量中來實現(xiàn)他們的目標。
8. 數(shù)據(jù)丟失
存儲在云中的數(shù)據(jù)可能會因為惡意攻擊以外的原因丟失,CSA 說道。云服務供應商意外刪除或物理災難(如火災或地震)可能導致客戶數(shù)據(jù)的永久性丟失,除非供應商或云消費者進行了數(shù)據(jù)備份,遵循了業(yè)務連續(xù)性和災難恢復方面的好實踐。
9. 盡職調(diào)查不夠徹底
CSA 表示,當高管制定業(yè)務策略時,必須考慮到云技術和服務提供商。在評估技術和供應商時,制定一個完善的路線圖和盡職調(diào)查清單至關重要。那些急于采用云技術,但沒有在進行盡職調(diào)查的情況下選擇供應商的組織機構將面臨很多風險。
10. 濫用和惡意使用云服務
CSA 表示,不安全的云服務部署、免費的云服務試用以及欺詐賬戶注冊,都將云計算模型暴露在惡意攻擊之下。惡意人員可能會利用云計算資源來針對用戶、組織機構或其他云供應商。濫用云關聯(lián)資源的例子包括發(fā)起分布式拒絕服務攻擊、垃圾郵件和釣魚攻擊。
11. 拒絕服務 (DoS)
DoS 攻擊旨在阻止使用服務的用戶訪問他們的數(shù)據(jù)或應用程序。通過強制目標云服務消耗過多的系統(tǒng)資源(如處理能力,內(nèi)存,磁盤空間或網(wǎng)絡帶寬), 攻擊者可以使系統(tǒng)速度降低,并使所有合法的服務用戶無法訪問服務。
DNS 供應商 Dyn 是 Deep Dive 報告中 DoS 攻擊的一個主要例子。一個外部組織使用 Mirai 惡意軟件通過物聯(lián)網(wǎng)設備, 在 Dyn 上啟動分布式拒絕服務 (DDoS)。這次攻擊之所以能成功,是因為受到攻擊的物聯(lián)網(wǎng)設備使用了默認憑證。該報告建議分析異常的網(wǎng)絡流量,并審查和測試業(yè)務連續(xù)性計劃。
12. 共享的技術漏洞
CSA 指出,云服務供應商通過共享基礎架構、平臺或應用程序來提供可擴展的服務。云技術帶來了 “即服務” 概念,而沒有對現(xiàn)有的硬件和軟件進行實質(zhì)性改動——有時是以犧牲安全性為代價的。組成支持云服務部署的基礎組件,其設計目的可能不是為了多用戶架構或多用戶應用程序提供強大的隔離功能。這可能導致共享技術漏洞,這些漏洞可能會在所有交付模型中被利用。
Deep Dive 報告中的一個例子是 Cloudbleed 漏洞,在這個漏洞中,一個外部人員能夠利用其軟件中的一個漏洞從安全服務供應商 Cloudflare 中竊取 API 密鑰、密碼和其他憑據(jù)。該報告建議對所有敏感數(shù)據(jù)進行加密,并根據(jù)敏感級別對數(shù)據(jù)進行分段。
其他:幽靈(Spectre)和熔斷(Meltdown)
2018年1月,研究人員報告了大多數(shù)現(xiàn)代微處理器的一個常見設計特性,利用該特性使用惡意 Javascript 代碼可以從內(nèi)存中讀取內(nèi)容,包括加密數(shù)據(jù)。這一漏洞的兩種變體分別被稱為熔斷 (Meltdown) 和幽靈 (Spectre),它們影響了從智能手機到服務器的各種設備。正因為后者,我們才把它們列入這個云威脅列表中。
Spectre 和 Meltdown 都能進行旁路攻擊,因為它們打破了應用程序之間的相互隔離。能夠通過非特權登錄訪問系統(tǒng)的攻擊者可以從內(nèi)核讀取信息,如果攻擊者是客戶虛擬機 (VM) 上 root 用戶,則可以讀取主機內(nèi)核。
對于云服務提供商來說,這是一個巨大的問題。當補丁可用時,攻擊者會更難發(fā)動攻擊。補丁可能會降低性能,因此一些企業(yè)可能選擇不給系統(tǒng)打補丁。CERT 建議更換所有受影響的處理器——但還沒有代替品時,很難做到這一點。
到目前為止,還沒有任何已知的利用 Meltdown 或 Spectre 的漏洞,但專家們一致認為,這些漏洞很可能很快就會出現(xiàn)。對于云供應商來說,防范它們的好建議是確保所有最新補丁都已到位??蛻魬撘乒烫峁┧麄儜獙?Meldown 和 Spectre 的策略。
文章題目:十二大主流云安全威脅
網(wǎng)址分享:http://jinyejixie.com/news32/98382.html
成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站建設、全網(wǎng)營銷推廣、響應式網(wǎng)站、移動網(wǎng)站建設、軟件開發(fā)、云服務器
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容