2018年12大(dà)頂級雲安全威脅

發布日期:2017-12-29首頁 > IT資(zī)訊

雲計算正在不斷改變組織使用、存儲和共享數據、應用程序以及工(gōng)作負載的方式。但是與此同時,它也引發了一(yī)系列新的安全威脅和挑戰。随着越來越多的數據進入雲端,尤其是進入公共雲服務,這些資(zī)源自然而然地就淪爲了網絡犯罪分(fēn)子的目标。

公共雲的利用率正在快速增長,因此不可避免地将會導緻更多的敏感内容置于潛在風險威脅之中(zhōng)。但是,與許多人認爲的剛好相反,保護雲端中(zhōng)的企業數據的主要責任不在于雲服務提供商(shāng),而在于雲客戶本身。我(wǒ)們正處在一(yī)個雲安全過渡期,重點正從供應商(shāng)轉向客戶。

很多企業開(kāi)始認識到,花費(fèi)大(dà)量時間來判斷某個特定的雲服務提供商(shāng)是否“安全”,幾乎得不到任何結果,因爲主要責任在于使用者自身。

爲了讓企業了解雲安全問題,以便他們能夠就雲采用策略做出明智的決策,雲安全聯盟(CSA)近日發布了最新版本的《12大(dà)頂級雲安全威脅:行業見解報告》。


705-1G22QI929550.jpg
 

這一(yī)報告反映了雲計算安全聯盟(CSA)安全專家當前就雲計算中(zhōng)最重要的安全問題所達成的共識。雲計算安全聯盟表示,盡管目前雲中(zhōng)存在許多安全問題,但這份報告的重點聚焦在12個涉及雲計算的共享和按需特性方面的威脅。

爲了确定用戶最關心的問題,雲計算安全聯盟對行業專家進行了一(yī)次調查,就雲計算中(zhōng)最嚴重的安全問題編寫了一(yī)些專業意見及建議。以下(xià)是12個最嚴重的雲安全問題的具體(tǐ)内容(按照調查結果的嚴重程度排序):

  1、數據洩露

雲計算安全聯盟表示,數據洩露可能是有針對性攻擊的主要目标,也可能是人爲錯誤、應用程序漏洞或安全措施不佳所導緻的後果。這可能涉及任何非公開(kāi)發布的信息,其中(zhōng)包括個人健康信息、财務信息、個人身份信息(PII)、商(shāng)業機密以及知(zhī)識産權等。由于不同的原因,組織基于雲端的數據可能會對不同的組織具有更大(dà)的價值。數據洩露的風險并不是雲計算所獨有的,但它始終是雲計算用戶需要首要考慮的因素。

  2、身份、憑證和訪問管理不足

雲計算安全聯盟表示,惡意行爲者會通過僞裝成合法用戶、運營人員(yuán)或開(kāi)發人員(yuán)來讀取、修改和删除數據;獲取控制平台和管理功能;在傳輸數據的過程中(zhōng)進行窺探,或釋放(fàng)看似來源于合法來源的惡意軟件。因此,身份認證不足、憑證或密鑰管理不善都可能會導緻未經授權的數據訪問行爲發生(shēng),由此可能對組織或最終用戶造成災難性的損害。

  3、不安全的接口和應用程序編程接口(API)

雲計算安全聯盟表示,雲服務提供商(shāng)會公開(kāi)一(yī)組客戶使用的軟件用戶界面(UI)或API來管理和與雲服務進行交互。其配置、管理和監控都是通過這些接口來實現執行的,一(yī)般來說,雲服務的安全性和可用性也都取決于API的安全性。它們需要被設計用來防止意外(wài)和惡意的繞過安全協議的企圖。

  4、系統漏洞

系統漏洞是系統程序中(zhōng)存在的可用漏洞,利用這些漏洞,攻擊者能夠滲透進系統,并竊取數據、控制系統或中(zhōng)斷服務操作。雲計算安全聯盟表示,操作系統組件中(zhōng)存在的漏洞,使得所有服務和數據的安全性都面臨了重大(dà)的安全風險。随着雲端多租戶形式的出現,來自不同組織的系統開(kāi)始呈現彼此靠近的局面,且允許在同一(yī)平台/雲端的用戶都能夠訪問共享内存和資(zī)源,這也導緻了新的攻擊面的出現,擴大(dà)了安全風險。

  5、賬戶劫持

雲計算安全聯盟指出,賬戶或服務劫持并不是什麽新鮮事物(wù),但雲服務爲這一(yī)景觀增添了新的威脅。如果攻擊者獲得了對用戶憑證的訪問權限,他們就能夠竊聽(tīng)用戶的活動和交易行爲,操縱數據,返回僞造的信息并将客戶重定向到非法的釣魚站點中(zhōng)。賬戶或服務實例可能成爲攻擊者的新基礎。由于憑證被盜,攻擊者經常可以訪問雲計算服務的關鍵區域,從而危及這些服務的機密性、完整性以及可用性。

  6、惡意的内部人員(yuán)

雲計算安全聯盟表示,雖然内部人員(yuán)造成的威脅程度是存在争議的,但不可否認的是,内部威脅确實是一(yī)種實實在在的威脅。一(yī)名懷有惡意企圖的内部人員(yuán)(如系統管理員(yuán)),他們能夠訪問潛在的敏感信息,并且可以越來越多地訪問更重要的系統,并最終訪問到機密數據。僅僅依靠雲服務提供商(shāng)提供安全措施的系統勢必将面臨更大(dà)的安全風險。

  7、高級持續性威脅(APT)

高級持續性威脅(APT)是一(yī)種寄生(shēng)式的網絡攻擊形式,它通過滲透到目标公司的IT基礎設施來建立立足點的系統,并從中(zhōng)竊取數據。高級持續性威脅(APT)通常能夠适應抵禦它們的安全措施,并在目标系統中(zhōng)“潛伏”很長一(yī)段時間。一(yī)旦準備就緒(如收集到足夠的信息),高級持續性威脅(APT)就可以通過數據中(zhōng)心網絡橫向移動,并與正常的網絡流量相融合,以實現他們的最終目标。

  8、數據丢失

雲計算安全聯盟表示,存儲在雲中(zhōng)的數據可能會因惡意攻擊以外(wài)的原因而丢失。雲計算服務提供商(shāng)的意外(wài)删除行爲、火(huǒ)災或地震等物(wù)理災難都可能會導緻客戶數據的永久性丢失,除非雲服務提供商(shāng)或雲計算用戶采取了适當的措施來備份數據,遵循業務連續性的最佳實踐,否則将無法實現災難恢複。

  9、盡職調查不足

雲計算安全聯盟表示,當企業高管制定業務戰略時,必須充分(fēn)考慮到雲計算技術和服務提供商(shāng)。在評估雲技術和服務提供商(shāng)時,制定一(yī)個良好的路線圖和盡職調查清單對于獲得最大(dà)的成功機會可謂至關重要。而在沒有執行盡職調查的情況下(xià),就急于采用雲計算技術并選擇提供商(shāng)的組織勢必将面臨諸多安全風險。

  10、濫用和惡意使用雲服務

雲計算安全聯盟指出,雲服務部署不充分(fēn),免費(fèi)的雲服務試用以及通過支付工(gōng)具欺詐進行的欺詐性賬戶登錄,将使雲計算模式暴露于惡意攻擊之下(xià)。惡意行爲者可能會利用雲計算資(zī)源來定位用戶、組織或其他雲服務提供商(shāng)。其中(zhōng)濫用雲端資(zī)源的例子包括啓動分(fēn)布式拒絕服務攻擊(DDoS)、垃圾郵件和網絡釣魚攻擊等。

  11、拒絕服務(DoS)

拒絕服務(DoS)攻擊旨在防止服務的用戶訪問其數據或應用程序。拒絕服務(DoS)攻擊可以通過強制目标雲服務消耗過多的有限系統資(zī)源(如處理器能力,内存,磁盤空間或網絡帶寬),來幫助攻擊者降低系統的運行速度,并使所有合法的用戶無法訪問服務。

  12、共享的技術漏洞

雲計算安全聯盟指出,雲計算服務提供商(shāng)通過共享基礎架構、平台或應用程序來擴展其服務。雲技術将“即服務”(as-a-service)産品劃分(fēn)爲多個産品,而不會大(dà)幅改變現成的硬件/軟件(有時以犧牲安全性爲代價)。構成支持雲計算服務部署的底層組件,可能并未設計成爲“多租戶”架構或多客戶應用程序提供強大(dà)的隔離(lí)性能。這可能會導緻共享技術漏洞的出現,并可能在所有交付模式中(zhōng)被惡意攻擊者濫用。