都上云了安全嗎?2018年留神這些云安全威脅
隨著云計算越來越廣泛的應(yīng)用到各行各業(yè)中,其安全問題也隨之而來。相較于傳統(tǒng)應(yīng)用,云計算引起的安全事件和風(fēng)險要高出很多,其原因在于用戶及信息資源的高度化集中。不安全的云服務(wù)將增加敏感數(shù)據(jù)泄露、丟失、惡意攻擊等風(fēng)險。你知道嗎?在過去的一年間,全球58%的企業(yè)承認(rèn)自己曾遭遇過數(shù)據(jù)泄露問題。到了2018年,來自云計算的安全威脅恐怕只增不減,而這12個云安全威脅尤其要注意。
都上云了安全嗎?2018年留神這些云安全威脅
其實,云端成為網(wǎng)絡(luò)犯罪分子的目標(biāo)并不奇怪,因為這里存儲著大量的數(shù)據(jù),尤其是公有云。對此,相關(guān)云安全專家也指出“公有云的應(yīng)用正在快速增長,因此不可避免地會導(dǎo)致出現(xiàn)更多的潛在風(fēng)險敏感內(nèi)容”。為了讓大家,特別是企業(yè)用戶了解云安全,以便采用正確的策略與決策,云計算安全聯(lián)盟(CSA)發(fā)布了最新版的《云計算的12大威脅:行業(yè)見解報告》,并針對云計算中最嚴(yán)重的安全問題,匯總了一些專業(yè)的意見和建議。
首先要注意的就是數(shù)據(jù)泄露問題。當(dāng)中,既有可能是網(wǎng)絡(luò)攻擊者發(fā)動的竊取行為,也有人為錯誤、應(yīng)用漏洞等導(dǎo)致的數(shù)據(jù)泄露。因此,這就有可能涉及像個人信息、財務(wù)信息、個人身份識別信息或是商業(yè)機密與知識產(chǎn)權(quán),事因不同其所帶來的影響等級也就不同。我們說,盡管數(shù)據(jù)泄露威脅并非云計算所獨有的安全威脅,但卻需要云計算用戶重點防范。
網(wǎng)絡(luò)犯罪分子分常善于將自己偽裝成合法“身份”,例如用戶、運營人員、開發(fā)人員,可以毫不費力的讀取、修改、刪除數(shù)據(jù),獲取權(quán)限接管系統(tǒng)。當(dāng)有用戶傳輸數(shù)據(jù)時,他們便可從中窺探數(shù)據(jù),發(fā)布看似合法的惡意軟件。因此,身份不足、憑證和訪問管理不善,都可能導(dǎo)致未經(jīng)授權(quán)的數(shù)據(jù)被訪問,更甚者對組織和最終用戶帶來災(zāi)難性的損失。
再者,就是不安全的接口和應(yīng)用程序編程接口(API)。云計算提供商提供了一組客戶使用的軟件用戶界面(UI)或API來管理和與云服務(wù)交互。對此,云計算安全聯(lián)盟表示,其配置、管理和監(jiān)控都是通過這些接口來執(zhí)行的,通常情況下云服務(wù)的安全性和可用性取決于API的安全性,需要對其進行設(shè)計以防止意外和惡意企圖。
在我們已知的網(wǎng)絡(luò)攻擊中,有很多次是由于系統(tǒng)漏洞所致。攻擊者利用這些系統(tǒng)漏洞,侵入系統(tǒng)竊取數(shù)據(jù)、控制系統(tǒng)或破壞服務(wù)。云計算安全聯(lián)盟認(rèn)為,操作系統(tǒng)組件中的漏洞使得所有服務(wù)和數(shù)據(jù)的安全性都面臨重大風(fēng)險,隨著云端出現(xiàn)多租戶,來自不同組織的系統(tǒng)彼此靠近,并且允許訪問共享內(nèi)存和資源,從而創(chuàng)建新的攻擊面。
接著再來說賬戶劫持。盡管賬戶或服務(wù)劫持并非什么新鮮事,但涉及到云,如果攻擊者獲得對用戶憑證的訪問權(quán)限,他們就可以竊聽活動與交易,操縱數(shù)據(jù),返回偽造的信息并將客戶重定向到非法的站點。由于憑證被盜,攻擊者能經(jīng)常訪問云計算服務(wù)的關(guān)鍵區(qū)域,從而危及這些服務(wù)的機密性、完整性、可用性。
我們常說‘家賊難防!鋵,威脅有時不單單來自外部,很有可能出自內(nèi)部人員。對此,云計算安全聯(lián)盟表示,雖然有些威脅的嚴(yán)重程度存有爭議,但內(nèi)部威脅卻是一個真正的威脅。心懷鬼胎的內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息,可以更多地訪問更重要的系統(tǒng),并最終訪問數(shù)據(jù)。僅依靠云服務(wù)提供商提供安全措施的系統(tǒng)將面臨更大的風(fēng)險。
在眾多攻擊形式中,高級持續(xù)性威脅(APT)是一種寄生的網(wǎng)絡(luò)攻擊形式,其能滲透到目標(biāo)IT基礎(chǔ)設(shè)施建立立足點的系統(tǒng),從而竊取數(shù)據(jù)。高級持續(xù)性威脅(APT)在很長一段時間內(nèi)逐步達到目標(biāo),經(jīng)常能夠適應(yīng)抵御它們的安全措施。一旦完成部署,高級持續(xù)性威脅(APT)可以通過數(shù)據(jù)中心網(wǎng)絡(luò)橫向移動,并與正常的網(wǎng)絡(luò)流量融合,達到他們的目的。
除了數(shù)據(jù)泄露,云安全面臨的另一個問題就是數(shù)據(jù)丟失。對此,云計算安全聯(lián)盟表示,存儲在云端的數(shù)據(jù)可能因惡意攻擊以外的原因而丟失。例如云服務(wù)提供商遭遇意外刪除、火災(zāi)或地震等物理災(zāi)難可能導(dǎo)致客戶數(shù)據(jù)的永久丟失,云服務(wù)提供商或客戶應(yīng)當(dāng)采取適當(dāng)?shù)拇胧﹤浞輸?shù)據(jù),遵循業(yè)務(wù)連續(xù)性的最佳實踐,實現(xiàn)災(zāi)難恢復(fù)。
還有就是盡職調(diào)查不足。企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時,必須對云計算技術(shù)和服務(wù)提供商進行充分的考量,且在對云計算技術(shù)和提供商進行評估時,要制定一個良好的路線圖和盡職調(diào)查清單,這些都至關(guān)重要;而急于采用云計算技術(shù)并選擇提供商沒有執(zhí)行盡職調(diào)查的組織,將面臨諸多風(fēng)險。
我們說,那些安全性差、免費試用以及通過支付工具欺詐進行的欺詐性賬戶登錄,將云計算模式暴露在惡意攻擊之下,而攻擊者們很可能利用云計算資源來定位用戶、組織或其他云計算提供商,啟動分布式拒絕服務(wù)攻擊、垃圾郵件和網(wǎng)絡(luò)釣魚攻擊等都屬于濫用云端資源。
云計算的另一個安全威脅就是DoS,即拒絕服務(wù)攻擊,其目的是防止服務(wù)的用戶訪問其數(shù)據(jù)或應(yīng)用程序?梢酝ㄟ^強制目標(biāo)云服務(wù)消耗過多的有限系統(tǒng)資源,如處理器能力,內(nèi)存,磁盤空間或網(wǎng)絡(luò)帶寬,網(wǎng)絡(luò)攻擊者可能會導(dǎo)致系統(tǒng)速度下降,并使所有合法的用戶無法訪問服務(wù)。
最后一個威脅來自共享的技術(shù)漏洞。云計算安全聯(lián)盟指出,云計算服務(wù)提供商通過共享基礎(chǔ)架構(gòu),平臺或應(yīng)用程序來擴展其服務(wù)。云技術(shù)將“即服務(wù)”產(chǎn)品劃分為多個產(chǎn)品,而不會大幅改變現(xiàn)成的軟/硬件,有時甚至以犧牲安全性為代價。構(gòu)成支持云教育處服務(wù)部署的底層組件可能并未設(shè)計成為多租戶架構(gòu)或多客戶應(yīng)用程序提供強大的隔離屬性。這可能會導(dǎo)致共享的技術(shù)漏洞,面臨在所有交付模式中被攻擊者利用的安全風(fēng)險。
未來,隨著更多企業(yè)將業(yè)務(wù)遷移至云端,其安全性與合規(guī)性將成為最主要的關(guān)注點。鑒于2017年發(fā)生的一系列云安全問題,如何更好地保護消費者和終端用戶將成為重點,而2018年也將成為云安全的分水嶺。在這里,我們也衷心希望2018云安全事件少發(fā)。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
編輯推薦
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市