越来越多的数据和应用程序正在向云端迁移,这一趋势带来了独特的信息安全挑战。以下是企业在使用云服务时面临的十二大安全威胁。云计算正在继续改变组织使用、存储和共享数据、应用程序和工作负载的方式。这也带来了一系列新的安全威胁和挑战。随着大量数据进入云端——尤其是公共云服务——这些资源自然成为坏人的目标。Gartner副总裁兼云安全总监JayHeiser表示:公有云的使用增长迅速,大量敏感内容暴露在潜在风险中是不可避免的。与大多数人可能认为的相反,保护云中企业数据的主要责任不在于服务提供商,而在于云客户。“我们正处于云安全转型时期,重点从供应商转移到客户。企业意识到花费大量时间试图弄清楚特定的云服务提供商是否“安全”实际上并不重要。为了让组织了解云安全问题的最新发展,以便他们能够就云使用策略做出明智的决策,云安全联盟(CSA)发布了最新版本的《云计算十二大顶级威胁:行业洞察报告》。报告描述了CSA安全专家的共识CSA表示,虽然云计算存在很多安全问题,但本文重点讨论了与云计算的共享和点播特性相关的12个问题。后续报告《云计算的最大威胁:深度挖掘》(TopThreatstoCloudComputing:DeepDive)列出了这12种威胁的案例研究。为确定顶级威胁,CSA对行业专家进行了调查,以收集有关云计算面临的顶级安全问题的专业意见。以下是调查的结果一些最重要的云安全问题(按调查结果的严重程度排序):1.数据泄露根据CSA的说法,数据泄露可能是针对性攻击的结果,也可能仅仅是由于人为错误、应用程序漏洞或安全措施不力数据泄露可能涉及任何不打算公开的信息,包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权信息。一个组织的云数据对于不同的对象可能有不同的值。数据泄露风险这并不是云计算独有的,但它始终是云客户最关心的问题。在他的《深度挖掘》(深潜)报告中,他引用了2012年的LinkedIn密码破解作为一个典型的例子。由于LinkedIn没有加密其密码数据库,攻击者窃取了1.67亿个密码。该报告称,该漏洞是一个警告,即组织应始终对包含用户凭据的数据库进行加盐和哈希处理,并执行日志记录和异常行为分析。2.不当的身份、凭证和访问管理外部入侵者冒充合法用户、操作员或开发人员可以读取、修改和删除数据;发布控制面板和管理功能;监控传输中的数据或发布看似合法的恶意软件的来源。因此,身份、凭证或密钥管理不当可能会导致未经授权的数据访问,从而给组织或最终用户带来潜在的灾难性后果。根据DeepDive报告,访问管理不善的一个例子是MongoDB数据库的风险默认安装设置。数据库在默认安装设置中开放了一个端口,允许访问者无需身份验证即可访问数据库。该报告建议在所有外围环境中实施预防性控制,并要求组织扫描托管、共享和公共环境中的漏洞。3.不安全的接口和应用程序编程接口(API)云提供商公开了一组软件用户界面(UI)或API,客户通过这些接口管理云服务并与之交互。CSA表示,配置、管理和监控都是使用这些接口执行的,云服务的安全性和可用性通常取决于API的安全性。它们需要被设计成阻止意外和恶意的规避政策的企图。4.系统漏洞系统漏洞是程序中可利用的漏洞,攻击者可以利用它潜入系统窃取数据、控制系统或中断服务操作。CSA表示,操作系统组件中的漏洞将所有服务和数据的安全置于重大风险之中。随着云用户的增加,不同组织的系统彼此靠近并被授予访问共享内存和资源的权限,从而创造了新的攻击角度。5.账户劫持CSA指出,账户或服务劫持并不新鲜,但云服务的出现带来了新的威胁。如果攻击者获得对用户凭据的访问权限,他们就可以监控用户活动和交易、操纵数据、返回虚假信息并将客户重定向到非法站点。帐户或服务实例可能成为攻击者的新基础。使用窃取的凭据,攻击者可以访问云计算服务的关键部分,从而危及这些服务的机密性、完整性和可用性。DeepDive报告中的一个示例:DirtyCowAdvancedPersistentThreat(APT)组织能够通过弱审查或社会工程学接管现有帐户以获得系统根权限。该报告建议采用“需要知道”和“需要访问”的访问策略,以及针对帐户接管策略的社会工程。6.恶意内部人员CSA表示,虽然威胁的程度值得商榷,但内部威胁造成风险的事实是无可争辩的。恶意的内部人员,例如系统管理员,可以获得对潜在敏感信息的访问权限,并且越来越多地获得对更关键系统以及最终数据的更高级别的访问权限。如果仅仅依靠云服务提供商来保证系统安全,系统将面临巨大的安全风险。该报告引用了一名心怀不满的Zynga员工的例子,他下载并窃取了公司的机密业务数据。当时没有防丢失控制。DeepDive报告建议实施数据丢失防护(DLP)控制,提高安全性和隐私意识,并改进对可疑活动的识别和报告。7.高级持续性威胁(APT)APT是一种寄生形式的网络攻击,它会渗入系统,在目标公司的IT基础设施中扎根,然后窃取数据。APT会在很长一段时间内秘密跟踪其目标,通常会适应旨在防御它们的安全措施。一旦到位,APT就可以通过数据中心网络横向移动并融入正常的网络流量中以实现其目标。8.数据丢失CSA表示,存储在云中的数据可能因恶意攻击以外的原因而丢失。云服务提供商意外删除或物理灾难(如火灾或地震)可能导致客户数据永久丢失,除非提供商或云消费者已备份数据并遵循业务连续性和灾难恢复方面的最佳实践。9.尽职调查不足CSA表示,当高管制定业务战略时,必须考虑云技术和服务提供商。在评估技术和供应商时,拥有可靠的路线图和尽职调查清单至关重要。在选择供应商时未进行尽职调查就急于采用云技术的组织面临许多风险。10.滥用和恶意使用云服务根据CSA的说法,不安全的云服务部署、免费云服务试用和欺诈性帐户注册都会使云计算模型面临恶意攻击。恶意行为者可能会利用云计算资源来瞄准用户、组织或其他云提供商。滥用云相关资源的示例包括发起分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。11.拒绝服务(DoS)DoS攻击旨在阻止使用服务的用户访问他们的数据或应用程序。通过强制目标云服务消耗过多的系统资源(例如处理能力、内存、磁盘空间或网络带宽),攻击者可以降低系统速度并使该服务的所有合法用户都无法访问该服务。DNS提供商Dyn是DeepDive报告中DoS攻击的主要示例。一个外部组织使用Mirai恶意软件通过物联网设备在Dyn上发起分布式拒绝服务(DDoS)。攻击成功是因为受感染的物联网设备使用了默认凭证。该报告建议分析异常网络流量并审查和测试业务连续性计划。12.共享技术漏洞CSA指出,云服务提供商通过共享基础设施、平台或应用程序来提供可扩展的服务。云技术带来了“即服务”概念,无需对现有硬件和软件进行实质性更改——有时会以牺牲安全性为代价。构成云服务部署的基本组件可能并非旨在为多租户架构或多租户应用程序提供强大的隔离。这可能会导致可在所有交付模型中被利用的共享技术漏洞。Cloudbleed漏洞是DeepDive报告中的一个例子,在该漏洞中,外部人员能够利用其软件中的漏洞从安全服务提供商Cloudflare窃取API密钥、密码和其他凭证。该报告建议加密所有敏感数据并根据敏感级别对数据进行分段。其他:Spectre和Meltdown2018年1月,研究人员报告了大多数现代微处理器共有的设计特征,可以利用恶意Javascript代码从内存中读取内容,包括加密数据。该漏洞的两个变体,称为Meltdown和Spectre,影响从智能手机到服务器的各种设备。正是由于后者,我们将它们包含在这份云威胁列表中。Spectre和Meltdown都能够进行边信道攻击,因为它们破坏了应用程序之间的隔离。通过非特权登录访问系统的攻击者可以从内核读取信息,如果攻击者是来宾虚拟机(VM)的根用户,则可以从主机内核读取信息。这对云服务提供商来说是一个巨大的问题。当补丁可用时,攻击者将更难攻击。打补丁会降低性能,因此一些企业可能选择不打补丁他们的系统。CERT建议更换所有受影响的处理器——但在无法更换的情况下很难做到这一点。到目前为止,还没有任何已知的Meltdown或Spectre漏洞,但专家们一致认为它们很可能很快就会出现。云提供商防范它们的最佳建议是确保所有最新的补丁都已到位。客户应该向云提供商询问他们的Meldown和Spectre策略。《云计算十二大顶级威胁:行业洞察报告》:https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/id:gooann-sectv)获取授权】点此查看作者更多好文
