11個主要的云安全威脅
如今,越來越多的企業正在將數據和應用程序遷移到云中,這帶來了獨特的信息安全挑戰。而企業在使用云計算服務時將面臨11個主要的云安全威脅。
云計算繼續改變企業使用、存儲和共享數據、應用程序、工作負載的方式。它還帶來了許多新的安全威脅和挑戰。隨著大量數據進入云計算(尤其是公共云服務),這些資源自然成為不良行為者的目標。
調研機構Gartner公司副總裁兼云安全負責人Jay Heiser表示,“公共云應用正在迅速增長,因此不可避免地導致敏感信息面臨更多的潛在風險。”
與許多人的想法相反,保護企業在云中數據的主要責任不在于服務提供商,而在于客戶本身。Heiser表示,“我們正處于一個云安全過渡期,在這個過渡期內,人們的注意力正從提供商轉向客戶。很多企業正在認識到,花大量時間試圖弄清楚某個云計算服務提供商是否‘安全’實際上沒有回報。”
為了使組織對云安全問題有新的了解,以便他們可以就云采用策略做出有根據的決策,云安全聯盟(CSA)發布了其新版本的《云計算的11個最大威脅報告》。
該報告反映了云安全聯盟(CSA)社區中的安全專家之間當前就云中最重要的安全問題達成的共識。云安全聯盟(CSA)表示,盡管云中存在許多安全問題,但這個列表主要關注11個與云計算的共享、按需特性相關的問題。
去年的調查報告中列出的幾項威脅排名今年有所下降,其中包括拒絕服務、共享技術漏洞、云計算服務提供商數據丟失和系統漏洞。報告指出,“調查表明,由云計算服務提供商負責的傳統安全問題似乎不那么令人擔憂。相反,我們看到更多的是需要解決位于技術堆棧更高層的安全問題,是高級管理層決策的結果。”
為了確定人們更為關注的問題,云安全聯盟(CSA)對行業專家進行了一項調查,以就云計算中比較大的安全性問題收集專業意見。以下是主要的云安全性問題(按調查結果的嚴重性順序依次排列):
1.數據泄露
數據泄露的威脅在去年的調查中仍然保持其首要的位置。不難理解其原因,因為數據泄露可能會嚴重損害企業的聲譽和財務。它們可能會導致知識產權(IP)損失和重大法律責任。
云安全聯盟(CSA)關于數據泄露威脅的關鍵要點包括:
- 攻擊者需要獲取數據,因此企業需要定義其數據的價值及其丟失的影響。
- 誰有權訪問數據是解決保護數據的關鍵問題。
- 通過全球互聯網可訪問的數據最容易受到錯誤配置或利用。
- 加密可以保護數據,但需要在性能和用戶體驗之間進行權衡。
- 企業需要考慮云服務提供商經過測試的可靠事件響應計劃。
2.配置錯誤和變更控制不足
配置錯誤和變更控制不足是對云安全聯盟(CSA)列表的新威脅,考慮到許多企業意外地通過云計算泄露數據的例子,這不足為奇。例如,云安全聯盟(CSA)引用了Exactis事件,云計算提供商因配置錯誤開放了Elasticsearch數據庫,其中包含2.3億名美國消費者的個人數據,可供公眾訪問。由于備份服務器配置不正確,其威脅與數據泄露一樣嚴重, Level One Robotics公司泄露了100多家制造公司的IP。
云安全聯盟(CSA)表示,這不僅僅是企業必須關注的數據丟失,還有為了破壞業務而刪除或修改資源。報告將大部分錯誤配置歸咎于糟糕的變更控制實踐。
云安全聯盟(CSA)關于配置錯誤和變更控制不力的關鍵要點包括:
- 基于云計算的資源的復雜性使其難以配置。
- 不要期望傳統的控制和變更管理方法在云中有效。
- 使用自動化和技術,這些技術會持續掃描錯誤配置的資源。
3.缺乏云安全架構和策略
這個問題從云計算出現時就一直存在,但今年已成為云安全聯盟(CSA)的新問題。將系統和數據遷移到云中所需的時間最小化的愿望通常優先于安全性。因此,該公司可以使用非針對其設計的安全性基礎設施和策略在云中運營。這出現在2019年的清單上的事實表明,更多的企業意識到這是一個值得關注的問題。
云安全聯盟(CSA)關于缺乏云安全架構和策略的關鍵要點包括:
- 安全體系結構需要與業務目標保持一致。
- 開發和實施安全體系結構框架。
- 保持威脅模型為新的版本。
- 部署連續監視功能。
4.身份、憑證、訪問和密鑰管理不力
列表中的另一個新威脅是對數據、系統和物理資源(如服務器機房和建筑物)的訪問管理和控制不力。該報告指出,云計算要求企業改變與身份和訪問管理(IAM)有關的做法。沒有這樣做的后果可能導致安全事件和破壞,其原因是:
- 憑據保護不足
- 缺乏自動輪換密碼密鑰、密碼和證書的功能
- 缺乏可擴展性
- 無法使用多因素身份驗證
- 無法使用強密碼
云安全聯盟(CSA)關于身份、證書、訪問和密鑰管理不足的關鍵要點包括:
- 安全帳戶,包括使用雙因素身份驗證
- 限制使用root帳戶
- 根據業務需求和最低特權原則,隔離和細分帳戶、虛擬私有云和身份組
- 采用程序化、集中式方法進行密鑰輪換。
- 刪除未使用的憑據和訪問權限。
5.帳戶劫持
帳戶劫持仍然是今年第五大云威脅。隨著網絡釣魚嘗試變得更加有效和更具針對性,攻擊者獲得高權限帳戶訪問權的風險非常大。網絡釣魚并不是攻擊者獲取憑據的唯一方法。他們還可以通過其他方式竊取賬戶。
一旦攻擊者可以使用合法帳戶進入系統,他們就可能造成大量破壞,其中包括盜竊或破壞重要數據、中止服務交付或財務欺詐。云安全聯盟(CSA)建議對用戶進行帳戶劫持的危險和跡象的培訓和教育,以很大程度地降低風險。
云安全聯盟(CSA)關于帳戶劫持的關鍵要點包括:
- 帳戶憑據被盜后,不僅要重置密碼。需要從根本原因入手解決問題。
- 深度防御方法和強大的身份識別與訪問管理(IAM)控制是很好的防御方法。
6.內部威脅
來自受信任內部人員的威脅在云中與內部部署系統一樣嚴重。組織內部人員可以是現任或前任員工、承包商或可信賴的業務合作伙伴,這些是無需突破公司防御即可訪問其系統的任何人。
內部人士造成的損害并不一定懷有惡意,他們可能會無意間使數據和系統面臨風險。云安全聯盟(CSA)引用了波洛蒙研究所的2018年內部威脅成本研究報告,該報告指出,報告的所有內部事件中有64%是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云計算服務器,在個人設備上存儲敏感數據,或成為網絡釣魚電子郵件的受害者。
云安全聯盟(CSA)關于內部威脅的關鍵要點包括:
- 對員工進行有關正確做法的培訓和教育,以保護數據和系統。使教育成為一個持續的過程。
- 定期審核和修復配置錯誤的云計算服務器。
- 限制對關鍵系統的訪問。
7.不安全的接口和API
不安全的接口和API從去年的第三名跌至第七名。2018年發生了眾所周知的Facebook數據泄露事件,影響了全秋5000多萬個帳戶,這是其查看方式功能中引入的漏洞的結果。尤其是當與用戶界面相關聯時,API漏洞可以為攻擊者提供竊取用戶或員工憑據的清晰途徑。
云安全聯盟(CSA)報告指出,企業需要了解API和用戶界面是系統中最容易暴露的部分,并且鼓勵通過設計方法來構建它們來保證安全性。
云安全聯盟(CSA)關于不安全的接口和API的關鍵要點包括:
- 采取良好的API做法,例如監督庫存、測試、審計和異常活動保護等項目。
- 保護API密鑰并避免重用。
- 考慮開放的API框架,例如開放云計算接口(OCCI)或云基礎設施管理接口(CIMI)。
8.控制平臺薄弱
控制平臺涵蓋了數據復制、遷移和存儲的過程。根據云安全聯盟(CSA)的說法,如果負責這些過程的人員無法完全控制數據基礎設施的邏輯、安全性和驗證,則控制平臺將很薄弱。管理人員需要了解安全配置、數據流向以及架構盲點或弱點。否則可能會導致數據泄漏、數據不可用或數據損壞。
云安全聯盟(CSA)關于控制平臺薄弱的關鍵要點括:
- 確保云計算服務提供商提供了履行法律和法定義務所需的安全控制。
- 進行盡職調查,以確保云計算服務提供商擁有足夠的控制平臺。
9.元結構和應用程序結構故障
云計算服務提供商的元結構保存有關如何保護其系統的安全信息,并通過API調用公開該信息。云安全聯盟(CSA)將元結構稱為云服務提供商/客戶的“分界線”。API幫助客戶檢測未經授權的訪問,但還包含高度敏感的信息,例如日志或審核系統數據。
這條“分界線”也是潛在的故障點,可能使攻擊者能夠訪問數據或破壞云客戶。API實施不佳通常是導致漏洞的原因。云安全聯盟(CSA)指出,例如,不成熟的云計算服務提供商可能不知道如何正確地向其客戶提供API。
另一方面,客戶可能不了解如何正確實施云計算應用程序。當他們連接非為云環境設計的應用程序時,尤其如此。
云安全聯盟(CSA)關于元結構和應用程序結構失敗的關鍵要點包括:
- 確保云計算服務提供商提供可見性,并公開緩解措施。
- 在云原生設計中實施適當的功能和控件。
- 確保云計算服務提供商進行滲透測試并向客戶提供發現結果。
10.云計算使用情況有限的可見性
安全專業人員普遍抱怨云計算環境使他們對檢測和防止惡意活動所需的許多數據視而不見。云安全聯盟(CSA)將這種有限的使用可見性挑戰分為兩類:未經批準的應用程序使用和未經批準的應用程序濫用。
許可的應用程序濫用可能是使用許可的應用程序的授權人員或使用被盜憑據的外部威脅參與者。云安全聯盟(CSA)報告稱,安全團隊需要能夠通過檢測異常行為來區分有效用戶和無效用戶。
云安全聯盟(CSA)關于有限的云使用可見性的關鍵要點包括:
- 從上到下開發與人員、流程和技術相關的云計算可見性工作。
- 在組織范圍內進行強制性培訓,了解可接受的云使用政策和執行情況。
- 讓云安全架構師或第三方風險管理人員查看所有未經批準的云服務。
- 投資云訪問安全代理(CASB)或軟件定義的網關(SDG),以分析出站活動。
- 投資Web應用程序防火墻以分析入站連接。
- 在整個組織中實施零信任模型。
11.濫用和惡意使用云計算服務
攻擊者越來越多地使用合法的云計算服務來支持其活動。例如,他們可能使用云計算服務在GitHub等站點上托管偽裝的惡意軟件,發起DDoS攻擊,分發網絡釣魚電子郵件,挖掘數字貨幣,執行自動點擊欺詐或進行暴力攻擊以竊取憑據。
云安全聯盟(CSA)表示,云計算服務提供商應有適當的緩解措施,以防止和發現濫用行為,例如付款工具欺詐或濫用云計算服務。對于云計算提供商來說,建立事件響應框架以應對濫用并允許客戶報告濫用也很重要。
云安全聯盟(CSA)關于濫用和濫用云服務的關鍵要點包括:
- 監控員工的云計算使用情況是否受到濫用。
- 使用云計算數據丟失防護(DLP)解決方案來監視和阻止數據泄露。
