12個(gè)頂級(jí)云安全威脅
如今,越來(lái)越多的數(shù)據(jù)和應(yīng)用程序正在向云端移動(dòng),這為組織帶來(lái)了獨(dú)特的信息安全挑戰(zhàn)。很多組織在使用云服務(wù)時(shí)將面臨12個(gè)主要的安全威脅。
云計(jì)算繼續(xù)改變組織使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。它還帶來(lái)了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數(shù)據(jù)進(jìn)入云端,特別是進(jìn)入公共云服務(wù),這些資源成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。
調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云計(jì)算安全負(fù)責(zé)人Jay Heiser表示,“公共云的使用量正在快速增長(zhǎng),因此不可避免地會(huì)導(dǎo)致更多的敏感內(nèi)容可能存在風(fēng)險(xiǎn)!
Heiser說(shuō),“與許多人的想法相反,保護(hù)組織在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商,而在于采用云計(jì)算的用戶自身。現(xiàn)在人們正處在云安全過(guò)渡期,其安全重點(diǎn)將從云計(jì)算提供商轉(zhuǎn)移到用戶。很多組織正花費(fèi)大量時(shí)間來(lái)了解某個(gè)特定的云服務(wù)提供商是否安全,但其調(diào)查幾乎沒(méi)有任何回報(bào)!
為了向企業(yè)提供有關(guān)云安全問(wèn)題的最新情況,以便他們能夠就云采用策略做出明智的決策,云計(jì)算安全聯(lián)盟(CSA)發(fā)布了最新版本的“云計(jì)算安全的12個(gè)頂級(jí)威脅”的行業(yè)洞察報(bào)告。
該報(bào)告反映了云計(jì)算安全聯(lián)盟(CSA)的安全專(zhuān)家目前對(duì)云中最重要的安全問(wèn)題的共識(shí)。雖然云中存在許多安全問(wèn)題,但云計(jì)算安全聯(lián)盟(CSA)表示,這個(gè)列表主要關(guān)注12個(gè)與云計(jì)算的共享、按需特性相關(guān)的問(wèn)題。其后續(xù)發(fā)布的《云計(jì)算的最大威脅:深度挖掘》報(bào)告探討了12種威脅中的案例研究。
為了確定人們最關(guān)注的問(wèn)題,云計(jì)算安全聯(lián)盟(CSA)對(duì)行業(yè)專(zhuān)家進(jìn)行了一項(xiàng)調(diào)查,以匯總有關(guān)云計(jì)算中最主要的安全問(wèn)題的專(zhuān)業(yè)意見(jiàn)。以下是組織面臨的一些主要的云計(jì)算安全問(wèn)題(按調(diào)查結(jié)果的嚴(yán)重程度排列):
1.?dāng)?shù)據(jù)泄露
云計(jì)算安全聯(lián)盟(CSA)表示,數(shù)據(jù)泄露是網(wǎng)絡(luò)攻擊者和黑客的主要目標(biāo),也可能只是人為錯(cuò)誤、應(yīng)用程序漏洞或糟糕的安全實(shí)踐的結(jié)果。它可能涉及任何非公開(kāi)信息,包括個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)。由于不同的原因,企業(yè)基于云計(jì)算的數(shù)據(jù)可能對(duì)不同的參與方具有價(jià)值。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并非云計(jì)算所獨(dú)有,但它始終是云計(jì)算用戶最關(guān)心的問(wèn)題。
這個(gè)深度挖掘報(bào)告引用了2012年LinkedIn公司的用戶密碼泄露作為一個(gè)主要的例子。網(wǎng)絡(luò)攻擊者能夠竊取LinkedIn公司密碼數(shù)據(jù)庫(kù)的1.67億個(gè)密碼,因?yàn)樵摴静](méi)有進(jìn)行加密。應(yīng)對(duì)這種漏洞的關(guān)鍵點(diǎn)是,企業(yè)應(yīng)始終對(duì)包含用戶憑據(jù)的數(shù)據(jù)庫(kù)進(jìn)行哈希加密處理,并實(shí)施適當(dāng)?shù)娜罩居涗浐托袨楫惓7治觥?/p>
2. 身份、憑證和訪問(wèn)管理不足
云計(jì)算安全聯(lián)盟(CSA)表示,偽裝成合法用戶、運(yùn)營(yíng)商或開(kāi)發(fā)商的網(wǎng)絡(luò)攻擊者可以讀取、修改、刪除數(shù)據(jù);發(fā)布控制平臺(tái)和管理功能;窺探傳輸中的數(shù)據(jù)或發(fā)布源于合法來(lái)源的惡意軟件。因此,身份、憑證或密鑰管理不足會(huì)導(dǎo)致對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn),并可能對(duì)組織或最終用戶造成災(zāi)難性損害。
根據(jù)這份深度挖掘報(bào)告,訪問(wèn)管理不足的一個(gè)例子是發(fā)現(xiàn)MongoDB數(shù)據(jù)庫(kù)的不受保護(hù)的默認(rèn)安裝。這種默認(rèn)實(shí)現(xiàn)使端口始終處于開(kāi)放狀態(tài),允許訪問(wèn)而無(wú)需身份驗(yàn)證。該報(bào)告建議在所有周邊設(shè)置預(yù)防性控制,并且組織掃描托管、共享和公共環(huán)境中的漏洞。
3.不安全的接口和應(yīng)用程序編程接口(API)
云計(jì)算提供商公開(kāi)了一組客戶用來(lái)管理云服務(wù)并與之交互的軟件用戶界面(UI)或API。云計(jì)算安全聯(lián)盟(CSA)表示,配置、管理和監(jiān)控都是通過(guò)這些接口執(zhí)行的,一般云計(jì)算服務(wù)的安全性和可用性取決于API的安全性。它們需要設(shè)計(jì)成防止意外和惡意企圖規(guī)避政策。
4.系統(tǒng)漏洞
系統(tǒng)漏洞是可利用程序中的漏洞,網(wǎng)絡(luò)攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。云計(jì)算安全聯(lián)盟(CSA)表示,操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險(xiǎn)。隨著云計(jì)算中多租戶的出現(xiàn),來(lái)自不同組織的系統(tǒng)彼此靠近,并允許訪問(wèn)共享內(nèi)存和資源,從而創(chuàng)建了新的攻擊面。
5.帳戶劫持
云計(jì)算安全聯(lián)盟(CSA)指出,帳戶劫持或服務(wù)劫持并不是什么新鮮事,但云計(jì)算服務(wù)給環(huán)境帶來(lái)了新的威脅。如果網(wǎng)絡(luò)攻擊者獲得了對(duì)用戶憑證的訪問(wèn)權(quán),他們可以竊聽(tīng)活動(dòng)和事務(wù)、操縱數(shù)據(jù)、返回偽造信息,并將客戶機(jī)重定向到非法站點(diǎn)。帳戶或服務(wù)實(shí)例可能成為攻擊者的新基礎(chǔ)。有了被盜的憑證,攻擊者通常可以訪問(wèn)云計(jì)算服務(wù)的關(guān)鍵區(qū)域,從而降低這些服務(wù)的機(jī)密性、完整性、可用性。
深度挖掘報(bào)告中的一個(gè)例子:Dirty Cow公司的高級(jí)持續(xù)威脅(APT)小組能夠通過(guò)弱審查或社交工程接管現(xiàn)有賬戶來(lái)獲得系統(tǒng)的Root級(jí)控制。該報(bào)告建議了關(guān)于訪問(wèn)權(quán)限的必要知識(shí),需要訪問(wèn)的政策以及關(guān)于帳戶接管策略的社交工程培訓(xùn)。
6.惡意內(nèi)部人士
云計(jì)算安全聯(lián)盟(CSA)表示,雖然威脅程度尚未引起很大的關(guān)注,但內(nèi)部威脅是一個(gè)真正的威脅。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問(wèn)潛在的敏感信息,并且可以對(duì)更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級(jí)別的訪問(wèn)。而只依靠云計(jì)算服務(wù)提供商來(lái)提高安全性的系統(tǒng)風(fēng)險(xiǎn)更大。
該報(bào)告引用了Zynga公司一名心懷不滿的員工進(jìn)行內(nèi)部攻擊的例子,該員工從Zynga公司下載并泄露了機(jī)密業(yè)務(wù)的數(shù)據(jù)。當(dāng)時(shí)該公司沒(méi)有實(shí)施嚴(yán)格的防損控制措施。深度挖掘報(bào)告建議實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)控制,并建立安全和隱私意識(shí)計(jì)劃,以改進(jìn)對(duì)可疑活動(dòng)的識(shí)別和報(bào)告。
發(fā)表評(píng)論
請(qǐng)輸入評(píng)論內(nèi)容...
請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字
圖片新聞
最新活動(dòng)更多
-
精彩回顧立即查看>> 【線下會(huì)議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會(huì)
-
精彩回顧立即查看>> 松下新能源中國(guó)布局:鋰一次電池新品介紹
-
精彩回顧立即查看>> 2024 智能家居出海論壇
-
精彩回顧立即查看>> 2024中國(guó)國(guó)際工業(yè)博覽會(huì)維科網(wǎng)·激光VIP企業(yè)展臺(tái)直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會(huì)暨展覽會(huì)
編輯推薦
- 高級(jí)軟件工程師 廣東省/深圳市
- 自動(dòng)化高級(jí)工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷(xiāo)售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級(jí)銷(xiāo)售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專(zhuān)家 廣東省/江門(mén)市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市