侵權(quán)投訴
訂閱
糾錯(cuò)
加入自媒體

12個(gè)頂級(jí)云安全威脅

如今,越來(lái)越多的數(shù)據(jù)和應(yīng)用程序正在向云端移動(dòng),這為組織帶來(lái)了獨(dú)特的信息安全挑戰(zhàn)。很多組織在使用云服務(wù)時(shí)將面臨12個(gè)主要的安全威脅。

云計(jì)算繼續(xù)改變組織使用、存儲(chǔ)和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。它還帶來(lái)了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數(shù)據(jù)進(jìn)入云端,特別是進(jìn)入公共云服務(wù),這些資源成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。

調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云計(jì)算安全負(fù)責(zé)人Jay Heiser表示,“公共云的使用量正在快速增長(zhǎng),因此不可避免地會(huì)導(dǎo)致更多的敏感內(nèi)容可能存在風(fēng)險(xiǎn)!

Heiser說(shuō),“與許多人的想法相反,保護(hù)組織在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商,而在于采用云計(jì)算的用戶自身。現(xiàn)在人們正處在云安全過(guò)渡期,其安全重點(diǎn)將從云計(jì)算提供商轉(zhuǎn)移到用戶。很多組織正花費(fèi)大量時(shí)間來(lái)了解某個(gè)特定的云服務(wù)提供商是否安全,但其調(diào)查幾乎沒(méi)有任何回報(bào)!

為了向企業(yè)提供有關(guān)云安全問(wèn)題的最新情況,以便他們能夠就云采用策略做出明智的決策,云計(jì)算安全聯(lián)盟(CSA)發(fā)布了最新版本的“云計(jì)算安全的12個(gè)頂級(jí)威脅”的行業(yè)洞察報(bào)告。

該報(bào)告反映了云計(jì)算安全聯(lián)盟(CSA)的安全專(zhuān)家目前對(duì)云中最重要的安全問(wèn)題的共識(shí)。雖然云中存在許多安全問(wèn)題,但云計(jì)算安全聯(lián)盟(CSA)表示,這個(gè)列表主要關(guān)注12個(gè)與云計(jì)算的共享、按需特性相關(guān)的問(wèn)題。其后續(xù)發(fā)布的《云計(jì)算的最大威脅:深度挖掘》報(bào)告探討了12種威脅中的案例研究。

為了確定人們最關(guān)注的問(wèn)題,云計(jì)算安全聯(lián)盟(CSA)對(duì)行業(yè)專(zhuān)家進(jìn)行了一項(xiàng)調(diào)查,以匯總有關(guān)云計(jì)算中最主要的安全問(wèn)題的專(zhuān)業(yè)意見(jiàn)。以下是組織面臨的一些主要的云計(jì)算安全問(wèn)題(按調(diào)查結(jié)果的嚴(yán)重程度排列):

1.?dāng)?shù)據(jù)泄露

云計(jì)算安全聯(lián)盟(CSA)表示,數(shù)據(jù)泄露是網(wǎng)絡(luò)攻擊者和黑客的主要目標(biāo),也可能只是人為錯(cuò)誤、應(yīng)用程序漏洞或糟糕的安全實(shí)踐的結(jié)果。它可能涉及任何非公開(kāi)信息,包括個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)。由于不同的原因,企業(yè)基于云計(jì)算的數(shù)據(jù)可能對(duì)不同的參與方具有價(jià)值。數(shù)據(jù)泄露的風(fēng)險(xiǎn)并非云計(jì)算所獨(dú)有,但它始終是云計(jì)算用戶最關(guān)心的問(wèn)題。

這個(gè)深度挖掘報(bào)告引用了2012年LinkedIn公司的用戶密碼泄露作為一個(gè)主要的例子。網(wǎng)絡(luò)攻擊者能夠竊取LinkedIn公司密碼數(shù)據(jù)庫(kù)的1.67億個(gè)密碼,因?yàn)樵摴静](méi)有進(jìn)行加密。應(yīng)對(duì)這種漏洞的關(guān)鍵點(diǎn)是,企業(yè)應(yīng)始終對(duì)包含用戶憑據(jù)的數(shù)據(jù)庫(kù)進(jìn)行哈希加密處理,并實(shí)施適當(dāng)?shù)娜罩居涗浐托袨楫惓7治觥?/p>

2. 身份、憑證和訪問(wèn)管理不足

云計(jì)算安全聯(lián)盟(CSA)表示,偽裝成合法用戶、運(yùn)營(yíng)商或開(kāi)發(fā)商的網(wǎng)絡(luò)攻擊者可以讀取、修改、刪除數(shù)據(jù);發(fā)布控制平臺(tái)和管理功能;窺探傳輸中的數(shù)據(jù)或發(fā)布源于合法來(lái)源的惡意軟件。因此,身份、憑證或密鑰管理不足會(huì)導(dǎo)致對(duì)數(shù)據(jù)的未經(jīng)授權(quán)訪問(wèn),并可能對(duì)組織或最終用戶造成災(zāi)難性損害。

根據(jù)這份深度挖掘報(bào)告,訪問(wèn)管理不足的一個(gè)例子是發(fā)現(xiàn)MongoDB數(shù)據(jù)庫(kù)的不受保護(hù)的默認(rèn)安裝。這種默認(rèn)實(shí)現(xiàn)使端口始終處于開(kāi)放狀態(tài),允許訪問(wèn)而無(wú)需身份驗(yàn)證。該報(bào)告建議在所有周邊設(shè)置預(yù)防性控制,并且組織掃描托管、共享和公共環(huán)境中的漏洞。

3.不安全的接口和應(yīng)用程序編程接口(API)

云計(jì)算提供商公開(kāi)了一組客戶用來(lái)管理云服務(wù)并與之交互的軟件用戶界面(UI)或API。云計(jì)算安全聯(lián)盟(CSA)表示,配置、管理和監(jiān)控都是通過(guò)這些接口執(zhí)行的,一般云計(jì)算服務(wù)的安全性和可用性取決于API的安全性。它們需要設(shè)計(jì)成防止意外和惡意企圖規(guī)避政策。

4.系統(tǒng)漏洞

系統(tǒng)漏洞是可利用程序中的漏洞,網(wǎng)絡(luò)攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。云計(jì)算安全聯(lián)盟(CSA)表示,操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險(xiǎn)。隨著云計(jì)算中多租戶的出現(xiàn),來(lái)自不同組織的系統(tǒng)彼此靠近,并允許訪問(wèn)共享內(nèi)存和資源,從而創(chuàng)建了新的攻擊面。

5.帳戶劫持

云計(jì)算安全聯(lián)盟(CSA)指出,帳戶劫持或服務(wù)劫持并不是什么新鮮事,但云計(jì)算服務(wù)給環(huán)境帶來(lái)了新的威脅。如果網(wǎng)絡(luò)攻擊者獲得了對(duì)用戶憑證的訪問(wèn)權(quán),他們可以竊聽(tīng)活動(dòng)和事務(wù)、操縱數(shù)據(jù)、返回偽造信息,并將客戶機(jī)重定向到非法站點(diǎn)。帳戶或服務(wù)實(shí)例可能成為攻擊者的新基礎(chǔ)。有了被盜的憑證,攻擊者通常可以訪問(wèn)云計(jì)算服務(wù)的關(guān)鍵區(qū)域,從而降低這些服務(wù)的機(jī)密性、完整性、可用性。

深度挖掘報(bào)告中的一個(gè)例子:Dirty Cow公司的高級(jí)持續(xù)威脅(APT)小組能夠通過(guò)弱審查或社交工程接管現(xiàn)有賬戶來(lái)獲得系統(tǒng)的Root級(jí)控制。該報(bào)告建議了關(guān)于訪問(wèn)權(quán)限的必要知識(shí),需要訪問(wèn)的政策以及關(guān)于帳戶接管策略的社交工程培訓(xùn)。

6.惡意內(nèi)部人士

云計(jì)算安全聯(lián)盟(CSA)表示,雖然威脅程度尚未引起很大的關(guān)注,但內(nèi)部威脅是一個(gè)真正的威脅。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問(wèn)潛在的敏感信息,并且可以對(duì)更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級(jí)別的訪問(wèn)。而只依靠云計(jì)算服務(wù)提供商來(lái)提高安全性的系統(tǒng)風(fēng)險(xiǎn)更大。

該報(bào)告引用了Zynga公司一名心懷不滿的員工進(jìn)行內(nèi)部攻擊的例子,該員工從Zynga公司下載并泄露了機(jī)密業(yè)務(wù)的數(shù)據(jù)。當(dāng)時(shí)該公司沒(méi)有實(shí)施嚴(yán)格的防損控制措施。深度挖掘報(bào)告建議實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)控制,并建立安全和隱私意識(shí)計(jì)劃,以改進(jìn)對(duì)可疑活動(dòng)的識(shí)別和報(bào)告。

1  2  下一頁(yè)>  
聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點(diǎn)和對(duì)其真實(shí)性負(fù)責(zé),如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問(wèn)題的,請(qǐng)聯(lián)系我們。

發(fā)表評(píng)論

0條評(píng)論,0人參與

請(qǐng)輸入評(píng)論內(nèi)容...

請(qǐng)輸入評(píng)論/評(píng)論長(zhǎng)度6~500個(gè)字

您提交的評(píng)論過(guò)于頻繁,請(qǐng)輸入驗(yàn)證碼繼續(xù)

  • 看不清,點(diǎn)擊換一張  刷新

暫無(wú)評(píng)論

暫無(wú)評(píng)論

    安防 獵頭職位 更多
    文章糾錯(cuò)
    x
    *文字標(biāo)題:
    *糾錯(cuò)內(nèi)容:
    聯(lián)系郵箱:
    *驗(yàn) 證 碼:

    粵公網(wǎng)安備 44030502002758號(hào)