业内新闻

12个顶级云安全威胁

编辑/作者:安安 2019-06-21 我要评论

如今,越来越多的数据和应用程序正在向云端移动,这为组织带来了独特的信息安全挑战。很多组织在使用云服务时将面临12个主要的安全威胁。 云计算继续改变组织使用...

  如今,越来越多的数据和应用程序正在向云端移动,这为组织带来了独特的信息安全挑战。很多组织在使用云服务时将面临12个主要的安全威胁。

  云计算继续改变组织使用、存储和共享数据、应用程序和工作负载的方式。它还带来了一系列新的安全威胁和挑战。随着如此多的数据进入云端,特别是进入公共云服务,这些资源成为网络攻击者的主要目标。

  调研机构Gartner公司副总裁兼云计算安全负责人Jay Heiser表示,“公共云的使用量正在快速增长,因此不可避免地会导致更多的敏感内容可能存在风险。”

  Heiser说,“与许多人的想法相反,保护组织在云中数据的主要责任不在于服务提供商,而在于采用云计算的用户自身。现在人们正处在云安全过渡期,其安全重点将从云计算提供商转移到用户。很多组织正花费大量时间来了解某个特定的云服务提供商是否安全,但其调查几乎没有任何回报。”

  为了向企业提供有关云安全问题的最新情况,以便他们能够就云采用策略做出明智的决策,云计算安全联盟(CSA)发布了最新版本的“云计算安全的12个顶级威胁”的行业洞察报告。

  该报告反映了云计算安全联盟(CSA)的安全专家目前对云中最重要的安全问题的共识。虽然云中存在许多安全问题,但云计算安全联盟(CSA)表示,这个列表主要关注12个与云计算的共享、按需特性相关的问题。其后续发布的《云计算的最大威胁:深度挖掘》报告探讨了12种威胁中的案例研究。

  为了确定人们最关注的问题,云计算安全联盟(CSA)对行业专家进行了一项调查,以汇总有关云计算中最主要的安全问题的专业意见。以下是组织面临的一些主要的云计算安全问题(按调查结果的严重程度排列):

  1.数据泄露

  云计算安全联盟(CSA)表示,数据泄露是网络攻击者和黑客的主要目标,也可能只是人为错误、应用程序漏洞或糟糕的安全实践的结果。它可能涉及任何非公开信息,包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权。由于不同的原因,企业基于云计算的数据可能对不同的参与方具有价值。数据泄露的风险并非云计算所独有,但它始终是云计算用户最关心的问题。

  这个深度挖掘报告引用了2012年LinkedIn公司的用户密码泄露作为一个主要的例子。网络攻击者能够窃取LinkedIn公司密码数据库的1.67亿个密码,因为该公司并没有进行加密。应对这种漏洞的关键点是,企业应始终对包含用户凭据的数据库进行哈希加密处理,并实施适当的日志记录和行为异常分析。

  2. 身份、凭证和访问管理不足

  云计算安全联盟(CSA)表示,伪装成合法用户、运营商或开发商的网络攻击者可以读取、修改、删除数据;发布控制平台和管理功能;窥探传输中的数据或发布源于合法来源的恶意软件。因此,身份、凭证或密钥管理不足会导致对数据的未经授权访问,并可能对组织或最终用户造成灾难性损害。

  根据这份深度挖掘报告,访问管理不足的一个例子是发现MongoDB数据库的不受保护的默认安装。这种默认实现使端口始终处于开放状态,允许访问而无需身份验证。该报告建议在所有周边设置预防性控制,并且组织扫描托管、共享和公共环境中的漏洞。

  3.不安全的接口和应用程序编程接口(API)

  云计算提供商公开了一组客户用来管理云服务并与之交互的软件用户界面(UI)或API。云计算安全联盟(CSA)表示,配置、管理和监控都是通过这些接口执行的,一般云计算服务的安全性和可用性取决于API的安全性。它们需要设计成防止意外和恶意企图规避政策。

  4.系统漏洞

  系统漏洞是可利用程序中的漏洞,网络攻击者可以利用这些漏洞渗透系统以窃取数据、控制系统或中断服务操作。云计算安全联盟(CSA)表示,操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云计算中多租户的出现,来自不同组织的系统彼此靠近,并允许访问共享内存和资源,从而创建了新的攻击面。

  5.帐户劫持

  云计算安全联盟(CSA)指出,帐户劫持或服务劫持并不是什么新鲜事,但云计算服务给环境带来了新的威胁。如果网络攻击者获得了对用户凭证的访问权,他们可以窃听活动和事务、操纵数据、返回伪造信息,并将客户机重定向到非法站点。帐户或服务实例可能成为攻击者的新基础。有了被盗的凭证,攻击者通常可以访问云计算服务的关键区域,从而降低这些服务的机密性、完整性、可用性。

  深度挖掘报告中的一个例子:Dirty Cow公司的高级持续威胁(APT)小组能够通过弱审查或社交工程接管现有账户来获得系统的Root级控制。该报告建议了关于访问权限的必要知识,需要访问的政策以及关于帐户接管策略的社交工程培训。

  6.恶意内部人士

  云计算安全联盟(CSA)表示,虽然威胁程度尚未引起很大的关注,但内部威胁是一个真正的威胁。恶意内部人员(如系统管理员)可以访问潜在的敏感信息,并且可以对更关键的系统和最终的数据进行更高级别的访问。而只依靠云计算服务提供商来提高安全性的系统风险更大。

  该报告引用了Zynga公司一名心怀不满的员工进行内部攻击的例子,该员工从Zynga公司下载并泄露了机密业务的数据。当时该公司没有实施严格的防损控制措施。深度挖掘报告建议实施数据丢失防护(DLP)控制,并建立安全和隐私意识计划,以改进对可疑活动的识别和报告。

  7.高级持续威胁(APT)

  高级持续威胁(APT)是一种寄生形式的网络攻击,可以渗透到系统中并在目标组织的IT基础设施中建立立足点,从而窃取数据。高级持续威胁(APT)在很长一段时间内暗地追寻目标,通常会适应防备他们的安全措施。云计算安全联盟(CSA)表示,一旦到位,高级持续威胁(APT)可以横向移动,通过数据中心网络并融入正常的网络流量,以实现其目标。

  8.数据丢失

  云计算安全联盟(CSA)表示,存储在云中的数据可能会因恶意攻击以外的原因而丢失。云计算服务提供商意外删除或火灾或地震等物理灾难可导致客户数据永久丢失,除非提供商或云计算消费者采取适当措施备份数据,遵循业务连续性的灾难恢复最佳实践。

  9.尽职调查不足

  云计算安全联盟(CSA)表示,当企业高管制定业务战略时,必须考虑云计算技术和服务提供商。在评估技术和提供商时,制定良好的路线图和尽职调查清单对于最大的成功机会至关重要。那些急于采用云计算技术,并选择提供商而不进行尽职调查的组织会面临许多风险。

  10.滥用和恶意使用云服务

  云计算安全联盟(CSA)表示,云安全服务部署、免费云服务试验,以及通过支付工具欺诈性帐户注册的安全性较差,使云计算模型遭受恶意攻击。网络攻击者可能会利用云计算资源针对用户、组织或其他云计算提供商进行攻击。滥用基于云计算的资源的例子包括发起分布式拒绝服务攻击、垃圾电子邮件和钓鱼活动。

  11.拒绝服务(DoS)

  拒绝服务(DoS)攻击旨在防止服务用户访问其数据或应用程序。通过强制目标云服务消耗过多的有限系统资源(如处理器功率、内存、磁盘空间或网络带宽),攻击者可能会导致系统速度降低,并使所有合法服务用户无法访问服务。

  DNS提供商Dyn公司是深度挖掘报告中提到遭遇DoS攻击的一个关键示例。外部组织可以使用Mirai恶意软件驱使物联网设备在Dyn上启动分布式拒绝服务(DDoS)。他们之所以攻击成功,是因为受损的物联网设备使用了默认凭据。该报告建议分析异常的网络流量,并审查和测试业务连续性计划。

  12.共享技术漏洞

  云计算安全联盟(CSA)指出,云计算服务提供商通过共享基础设施、平台或应用程序来实现其服务的可扩展性。云计算技术将“即服务”产品区分开来,而无需大幅度改变现成的硬件/软件,有时会牺牲安全性。构成支持云计算服务部署的基础设施组件可能没有设计成为能够为多租户架构或多客户应用程序提供强大的隔离属性。这可能导致共享的技术漏洞,这些漏洞可能会在所有交付模型中被利用。

  深度挖掘报告中的一个例子是CloudBleed漏洞,其中外部恶意参与者可以利用其软件中的漏洞从安全服务提供商CloudFlare窃取API密钥、密码和其他凭据。报告建议对所有敏感数据进行加密,并根据敏感级别对数据进行分段。

  额外的云威胁:Spectre和Meltdown

  在2018年1月,研究人员揭示了大多数现代微处理器中常见的设计特征,它可以允许使用恶意Javascript代码从内存中读取内容,包括加密数据。此问题的两个变体称为Meltdown和Spectre,会影响从智能手机到服务器的所有设备。因此将它们添加到这个云计算威胁列表中。

  Spectre和Meltdown都允许进行侧通道攻击,因为它们突破了应用程序之间的隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,或者如果攻击者是访问者虚拟机(VM)上的Root用户,则可以读取主机内核。

  这对云计算服务提供商来说是一个大问题。虽然提供了一些补丁,但它们只会使实施攻击变得更加困难。此外,修补补丁也可能会降低性能,因此某些组织可能会选择不修补系统。CERT 咨询公司建议更换所有受到影响的处理器。

  到目前为止,还没有已知的漏洞利用了Meltdown或Spectre这两个缺陷,但专家们认为它们可能会很快得到利用,云计算提供商防范它们的最佳建议是确保所有最新的漏洞都已修补。客户应该要求了解其云计算提供商如何应对Meltdown和Spectre的信息。

文章来源:企业网

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 严把网络安全关|CIS 2020天威诚信精彩亮相

    严把网络安全关|CIS 2020天威诚信精彩亮相

  • 鼎和保险公司荣获CIS2020中国网络安全创新年度金

    鼎和保险公司荣获CIS2020中国网络安全创新年度金

  • 通付盾荣登《2020中国网络安全产业100强》榜单

    通付盾荣登《2020中国网络安全产业100强》榜单

  • 腾讯安全与奇安信达成战略合作

    腾讯安全与奇安信达成战略合作