2018年要考慮的12大云安全威脅
如今,云計算不斷改變組織使用、存儲和共享數據、應用程序和工作負載的方式。但也帶來了一系列新的安全威脅和挑戰。隨著大量數據進入云端,尤其是進入公共云服務,這些資源成為網絡犯罪分子的首要目標。
調研機構 Gartner公司副總裁兼云計算安全負責人Jay Heiser說:“公共云的應用正在快速增長,因此不可避免地會導致出現更多的潛在風險敏感內容。”
與許多人認為的相反,保護云端中的企業數據的主要責任不在于云計算服務提供商,而在于云客戶。Heiser說:“我們正處在一個云計算安全過渡期,重點正從供應商轉向客戶。很多企業花費大量時間來確定某個特定的云服務提供商是否安全,但幾乎沒有什么結果,因為在于其自身。”
為了讓企業了解云安全問題,以便他們能夠就云采用策略做出明智的決策,云計算安全聯盟(CSA)發布了最新版本的“云計算的12大威脅:行業見解報告。”
這個報告反映了云計算安全聯盟安全專家當前就云計算中最重要的安全問題達成的共識。這份報告指出,盡管云端存在許多安全問題,但企業主要關注的是云計算的共享和按需特性。為了確定人們最關心的問題,云計算安全聯盟對行業專家進行了調查,就云計算中最嚴重的安全問題匯總編寫了一些專業的意見和建議。以下是人們面臨的12個最重要的云安全問題(按照調查結果的嚴重程度排列):
1.數據泄露
云計算安全聯盟表示,數據泄露是具有針對性攻擊的主要目標,也可能是人為錯誤、應用程序漏洞或安全措施不佳的結果。它可能涉及任何不適合公開發布的信息,包括個人健康信息、財務信息、個人可識別信息、商業秘密和知識產權。由于不同的原因,組織基于云端的數據可能對某些組織具有更大的價值。數據泄露的風險并不是云計算獨有的情況,但它始終是云計算用戶的首要考慮因素。
2.身份、憑證和訪問管理不善
云計算安全聯盟表示,網絡犯罪分子偽裝成合法用戶、運營人員或開發人員可以讀取、修改和刪除數據,獲取控制平臺和管理功能,在用戶傳輸數據的過程中進行窺探,發布似乎來源于合法來源的惡意軟件。因此,身份不足、憑證或密鑰管理不善可能導致未經授權的數據訪問,并可能對組織或最終用戶造成災難性的損害。
3.不安全的接口和應用程序編程接口(API)
云計算提供商提供了一組客戶使用的軟件用戶界面(UI)或API來管理和與云服務交互。云計算安全聯盟稱,其配置、管理和監控都是通過這些接口來執行的,通常情況下,云服務的安全性和可用性取決于API的安全性。他們需要進行設計以防止意外和惡意的企圖。
4.系統漏洞
系統漏洞是攻擊者可以用來侵入系統竊取數據、控制系統或破壞服務操作的程序中可利用的漏洞。云計算安全聯盟表示,操作系統組件中的漏洞使得所有服務和數據的安全性都面臨重大風險。隨著云端出現多租戶,來自不同組織的系統彼此靠近,并且允許訪問共享內存和資源,從而創建新的攻擊面。
5.賬戶劫持
云計算安全聯盟指出,賬戶或服務劫持并不是什么新鮮事物,但云服務為這一景觀增添了新的威脅。如果攻擊者獲得對用戶憑證的訪問權限,他們可以竊聽活動和交易,操縱數據,返回偽造的信息并將客戶重定向到非法的站點。賬戶或服務實例可能成為攻擊者的新基礎。由于憑證被盜,攻擊者經常可以訪問云計算服務的關鍵區域,從而危及這些服務的機密性、完整性、可用性。
6.懷有惡意的內部人士
云計算安全聯盟表示,雖然有些威脅的嚴重程度是有爭議的,但內部威脅是一個真正的威脅。懷有惡意的內部人員(如系統管理員)可以訪問潛在的敏感信息,可以更多地訪問更重要的系統,并最終訪問數據。僅依靠云服務提供商提供安全措施的系統將面臨更大的風險。
7.高級持續性威脅(APT)
高級持續性威脅(APT)是一種寄生的網絡攻擊形式,它滲透到目標公司IT基礎設施建立立足點的系統,從中竊取數據。高級持續性威脅(APT)在很長一段時間內逐步達到目標,經常能夠適應抵御它們的安全措施。一旦部署到位,高級持續性威脅(APT)可以通過數據中心網絡橫向移動,并與正常的網絡流量融合,達到他們的目的。
8.數據丟失
云計算安全聯盟表示,存儲在云端的數據可能因惡意攻擊以外的原因而丟失。云計算服務提供商遭遇意外刪除、火災或地震等物理災難可能導致客戶數據的永久丟失,云計算提供商或客戶應當采取適當的措施來備份數據,遵循業務連續性的最佳實踐,實現災難恢復。
9.盡職調查不足
云計算安全聯盟表示,企業當高管制定業務戰略時,必須對云計算技術和服務提供商進行考量。在評估云計算技術和提供商時,制定一個良好的路線圖和盡職調查清單對于獲得最大的成功至關重要。而急于采用云計算技術并選擇提供商沒有執行盡職調查的組織將面臨諸多風險。
10.濫用和惡意使用云服務
云計算安全聯盟指出,安全性差的云服務部署,免費的云服務試用,以及通過支付工具欺詐進行的欺詐性賬戶登錄將云計算模式暴露在惡意攻擊之下。攻擊者可能會利用云計算資源來定位用戶、組織或其他云計算提供商。濫用云端資源的例子包括啟動分布式拒絕服務攻擊、垃圾郵件和網絡釣魚攻擊。
11.拒絕服務(DoS)
拒絕服務(DoS)攻擊旨在防止服務的用戶訪問其數據或應用程序。可以通過強制目標云服務消耗過多的有限系統資源,如處理器能力,內存,磁盤空間或網絡帶寬,攻擊者可能會導致系統速度下降,并使所有合法的用戶無法訪問服務。
12.共享的技術漏洞
云計算安全聯盟指出,云計算服務提供商通過共享基礎架構,平臺或應用程序來擴展其服務。云技術將“即服務”產品劃分為多個產品,而不會大幅改變現成的硬件/軟件(有時以犧牲安全性為代價)。構成支持云教育處服務部署的底層組件可能并未設計成為多租戶架構或多客戶應用程序提供強大的隔離屬性。這可能會導致共享的技術漏洞,可能在所有交付模式中被攻擊者利用。
