12個頂級云安全威脅
如今,越來越多的數(shù)據(jù)和應(yīng)用程序正在向云端移動,這為組織帶來了獨特的信息安全挑戰(zhàn)。很多組織在使用云服務(wù)時將面臨12個主要的安全威脅。
云計算繼續(xù)改變組織使用、存儲和共享數(shù)據(jù)、應(yīng)用程序和工作負(fù)載的方式。它還帶來了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數(shù)據(jù)進(jìn)入云端,特別是進(jìn)入公共云服務(wù),這些資源成為網(wǎng)絡(luò)攻擊者的主要目標(biāo)。
調(diào)研機(jī)構(gòu)Gartner公司副總裁兼云計算安全負(fù)責(zé)人Jay Heiser表示,“公共云的使用量正在快速增長,因此不可避免地會導(dǎo)致更多的敏感內(nèi)容可能存在風(fēng)險!
Heiser說,“與許多人的想法相反,保護(hù)組織在云中數(shù)據(jù)的主要責(zé)任不在于服務(wù)提供商,而在于采用云計算的用戶自身,F(xiàn)在人們正處在云安全過渡期,其安全重點將從云計算提供商轉(zhuǎn)移到用戶。很多組織正花費(fèi)大量時間來了解某個特定的云服務(wù)提供商是否安全,但其調(diào)查幾乎沒有任何回報!
為了向企業(yè)提供有關(guān)云安全問題的最新情況,以便他們能夠就云采用策略做出明智的決策,云計算安全聯(lián)盟(CSA)發(fā)布了最新版本的“云計算安全的12個頂級威脅”的行業(yè)洞察報告。
該報告反映了云計算安全聯(lián)盟(CSA)的安全專家目前對云中最重要的安全問題的共識。雖然云中存在許多安全問題,但云計算安全聯(lián)盟(CSA)表示,這個列表主要關(guān)注12個與云計算的共享、按需特性相關(guān)的問題。其后續(xù)發(fā)布的《云計算的最大威脅:深度挖掘》報告探討了12種威脅中的案例研究。
為了確定人們最關(guān)注的問題,云計算安全聯(lián)盟(CSA)對行業(yè)專家進(jìn)行了一項調(diào)查,以匯總有關(guān)云計算中最主要的安全問題的專業(yè)意見。以下是組織面臨的一些主要的云計算安全問題(按調(diào)查結(jié)果的嚴(yán)重程度排列):
1.?dāng)?shù)據(jù)泄露
云計算安全聯(lián)盟(CSA)表示,數(shù)據(jù)泄露是網(wǎng)絡(luò)攻擊者和黑客的主要目標(biāo),也可能只是人為錯誤、應(yīng)用程序漏洞或糟糕的安全實踐的結(jié)果。它可能涉及任何非公開信息,包括個人健康信息、財務(wù)信息、個人身份信息、商業(yè)秘密和知識產(chǎn)權(quán)。由于不同的原因,企業(yè)基于云計算的數(shù)據(jù)可能對不同的參與方具有價值。數(shù)據(jù)泄露的風(fēng)險并非云計算所獨有,但它始終是云計算用戶最關(guān)心的問題。
這個深度挖掘報告引用了2012年LinkedIn公司的用戶密碼泄露作為一個主要的例子。網(wǎng)絡(luò)攻擊者能夠竊取LinkedIn公司密碼數(shù)據(jù)庫的1.67億個密碼,因為該公司并沒有進(jìn)行加密。應(yīng)對這種漏洞的關(guān)鍵點是,企業(yè)應(yīng)始終對包含用戶憑據(jù)的數(shù)據(jù)庫進(jìn)行哈希加密處理,并實施適當(dāng)?shù)娜罩居涗浐托袨楫惓7治觥?/p>
2. 身份、憑證和訪問管理不足
云計算安全聯(lián)盟(CSA)表示,偽裝成合法用戶、運(yùn)營商或開發(fā)商的網(wǎng)絡(luò)攻擊者可以讀取、修改、刪除數(shù)據(jù);發(fā)布控制平臺和管理功能;窺探傳輸中的數(shù)據(jù)或發(fā)布源于合法來源的惡意軟件。因此,身份、憑證或密鑰管理不足會導(dǎo)致對數(shù)據(jù)的未經(jīng)授權(quán)訪問,并可能對組織或最終用戶造成災(zāi)難性損害。
根據(jù)這份深度挖掘報告,訪問管理不足的一個例子是發(fā)現(xiàn)MongoDB數(shù)據(jù)庫的不受保護(hù)的默認(rèn)安裝。這種默認(rèn)實現(xiàn)使端口始終處于開放狀態(tài),允許訪問而無需身份驗證。該報告建議在所有周邊設(shè)置預(yù)防性控制,并且組織掃描托管、共享和公共環(huán)境中的漏洞。
3.不安全的接口和應(yīng)用程序編程接口(API)
云計算提供商公開了一組客戶用來管理云服務(wù)并與之交互的軟件用戶界面(UI)或API。云計算安全聯(lián)盟(CSA)表示,配置、管理和監(jiān)控都是通過這些接口執(zhí)行的,一般云計算服務(wù)的安全性和可用性取決于API的安全性。它們需要設(shè)計成防止意外和惡意企圖規(guī)避政策。
4.系統(tǒng)漏洞
系統(tǒng)漏洞是可利用程序中的漏洞,網(wǎng)絡(luò)攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務(wù)操作。云計算安全聯(lián)盟(CSA)表示,操作系統(tǒng)組件中的漏洞使所有服務(wù)和數(shù)據(jù)的安全性面臨重大風(fēng)險。隨著云計算中多租戶的出現(xiàn),來自不同組織的系統(tǒng)彼此靠近,并允許訪問共享內(nèi)存和資源,從而創(chuàng)建了新的攻擊面。
5.帳戶劫持
云計算安全聯(lián)盟(CSA)指出,帳戶劫持或服務(wù)劫持并不是什么新鮮事,但云計算服務(wù)給環(huán)境帶來了新的威脅。如果網(wǎng)絡(luò)攻擊者獲得了對用戶憑證的訪問權(quán),他們可以竊聽活動和事務(wù)、操縱數(shù)據(jù)、返回偽造信息,并將客戶機(jī)重定向到非法站點。帳戶或服務(wù)實例可能成為攻擊者的新基礎(chǔ)。有了被盜的憑證,攻擊者通?梢栽L問云計算服務(wù)的關(guān)鍵區(qū)域,從而降低這些服務(wù)的機(jī)密性、完整性、可用性。
深度挖掘報告中的一個例子:Dirty Cow公司的高級持續(xù)威脅(APT)小組能夠通過弱審查或社交工程接管現(xiàn)有賬戶來獲得系統(tǒng)的Root級控制。該報告建議了關(guān)于訪問權(quán)限的必要知識,需要訪問的政策以及關(guān)于帳戶接管策略的社交工程培訓(xùn)。
6.惡意內(nèi)部人士
云計算安全聯(lián)盟(CSA)表示,雖然威脅程度尚未引起很大的關(guān)注,但內(nèi)部威脅是一個真正的威脅。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息,并且可以對更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進(jìn)行更高級別的訪問。而只依靠云計算服務(wù)提供商來提高安全性的系統(tǒng)風(fēng)險更大。
該報告引用了Zynga公司一名心懷不滿的員工進(jìn)行內(nèi)部攻擊的例子,該員工從Zynga公司下載并泄露了機(jī)密業(yè)務(wù)的數(shù)據(jù)。當(dāng)時該公司沒有實施嚴(yán)格的防損控制措施。深度挖掘報告建議實施數(shù)據(jù)丟失防護(hù)(DLP)控制,并建立安全和隱私意識計劃,以改進(jìn)對可疑活動的識別和報告。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
圖片新聞
最新活動更多
-
12月19日立即報名>> 【線下會議】OFweek 2024(第九屆)物聯(lián)網(wǎng)產(chǎn)業(yè)大會
-
精彩回顧立即查看>> 2024中國國際工業(yè)博覽會維科網(wǎng)·激光VIP企業(yè)展臺直播
-
精彩回顧立即查看>> 【產(chǎn)品試用】RSE30/60在線紅外熱像儀免費(fèi)試用
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
-
精彩回顧立即查看>> 【線下會議】全數(shù)會2024電子元器件展覽會
-
精彩回顧立即查看>> 三菱電機(jī)紅外傳感器的特性以及相關(guān)應(yīng)用領(lǐng)域
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市