雲計算的11類頂級威脅
❑ 導 讀
“頂級威脅”報告旨在提高對雲平臺威脅、風險和漏洞的認識,此類問題通常由雲計算按需和共享的天生特徵導致。
全文共計2504字,預計閱讀時間8分鐘
來源 | 雲安全聯盟CSA(轉載請註明來源)
編輯 | 蒲蒲
如今,越來越多的企業正在將數據和應用程序遷移到雲中,這帶來了獨特的信息安全挑戰。日前,CSA大中華區發佈了新版本的《雲計算的11類頂級威脅》(中文版),本報告主要關注11個與雲計算的共享、按需特性相關的問題。
“頂級威脅”報告旨在提高對雲平臺威脅、風險和漏洞的認識,此類問題通常由雲計算按需和共享的天生特徵導致。
1.數據泄露
數據泄露是指敏感、受保護或機密信息被未經授權的個人發佈、查看、竊取或使用的網絡安全事件。數據泄露可能是蓄意攻擊的主要目的,也可能僅僅是人爲錯誤、應用程序漏洞或安全措施不足的結果。
數據泄露涉及任何非公開發布的信息,包括但不限於個人健康信息、財務信息、個人可識別信息(PII)、商業祕密和知識產權。
2.配置錯誤和變更控制不足
當計算資產設置不正確時,就會產生配置錯誤,這時常會使它們面對惡意活動時倍顯脆弱。一些常見的例子包括:
不安全的數據存儲要素(元素)或容器
過多的權限
默認憑證和配置設置保持不變
標準的安全控制措施被禁用
雲資源的配置錯誤是導致數據泄露的主要原因,可能會導致刪除或修改資源以及服務中斷。
3.缺乏雲安全架構和策略
放眼全球,各組織均在逐步把他們的部分IT基礎設施遷移到公有云之上。在遷移過渡期中,最大的挑戰之一就是實現能夠承受網絡攻擊的安全架構。
無論公司規模大小,對於雲上遷移、部署、使用而言,合適的安全架構和策略都是必要的。成功的網絡攻擊會對業務造成嚴重的影響,包括財務損失、聲譽受損、法律後果和罰款等。
4.身份,憑證,訪問和密鑰管理不足
雲計算對傳統內部系統的身份和訪問管理(IAM)方面引入了多種變化。這些不一定是新問題。相反,在雲計算中這些是更重要的問題,因爲雲計算會深刻影響身份,憑據和訪問管理。由於以下原因,可能會造成安全事件及數據泄露:
憑據保護不足
缺乏加密祕鑰、密碼和證書的定期自動更新機制
缺乏可擴展的身份、憑據及訪問控制系統
無法使用多因子認證方式
無法使用強密碼
5.帳戶劫持
帳戶劫持是一種威脅,在這種威脅中,惡意攻擊者可能獲得並濫用特權或敏感帳戶。在雲環境中,風險最高的帳戶是雲服務或訂閱賬戶。
帳戶和服務劫持意味着完全的失陷:對帳戶、其服務以及內部數據的控制。在這種情況下,跟帳戶相關的所有業務邏輯、功能、數據和應用程序都有風險這種失陷的後果有時很嚴重。
6.內部威脅
內部威脅可能導致專有信息和知識產權的損失。與攻擊相關的系統停機時間會對公司的生產效率產生負面影響。此外,數據丟失或對其他客戶傷害會降低對公司服務的信心。處理內部安全事件涉及遏制、補救、事件響應、調查、事後分析、升級、監控和監視。這些活動可以大大增加公司的工作量和安全預算。
波尼蒙研究所(PonemonInstitute)報告稱,在接受採訪的公司中,2017年(每家公司)內部事件的平均成本超過870萬美元,最高成本高達2650萬美元
7.不安全的接口和API
設計不良的API可能會被濫用,甚至數據泄露。被破壞,暴露或黑客攻擊的API已導致了一些重大的數據泄露。組織必須瞭解設計接口並將它們放到Internet上所必須的安全要求。
8.控制平面薄弱
薄弱的控制面可能會因被竊取或損壞而導致數據丟失。這可能會導致巨大的業務影響,特別是在數據丟失中包括私人用戶數據。還可能招致對數據丟失的監管處罰。例如,根據歐盟通用數據保護條例(GDPR)的規定,產生的罰款可能高達2000萬歐元-或全球收入的4%。
9.元結構和應用程序結構失效
元結構和應用結構是雲服務的關鍵組件。雲服務提供商在這些功能上的故障可能會嚴重影響所有云服務的用戶。同時,雲租戶的錯誤配置,可能會在財務和操作上對用戶帶來困擾。
10.有限的雲使用可見性
當組織不具備可視化和分析組織內使用雲服務是安全的還是非安全、不當的能力時,就會出現有限的雲使用可見性。這個概念被分解爲兩個關鍵的挑戰:
未經批准的應用程序使用:當員工使用雲應用程序和資源而沒有獲得公司IT和安全部門的特別許可和支持時,就會發生這種情況。
批准程序濫用:企業往往無法分析使用授權應用程序的內部人員是如何使用其已獲批准的應用程序的。
11.濫用及違法使用雲服務
惡意攻擊者可能會利用雲計算能力來攻擊用戶、組織以及雲供應商,也會使用雲服務來搭建惡意軟件。。
一旦攻擊者成功入侵客戶的雲基礎設施管理平臺,攻擊者可以利用雲服務來做非法事情,而客戶還需要對此買單。如果攻擊者一直在消耗資源,比如進行電子貨幣挖礦,那客戶還需一直爲此而買單。
另外,攻擊者還可以使用雲來存儲和傳播惡意或釣魚攻擊。公司必須要注意該風險,並且有辦法來處理這些新型攻擊方式。這可以包含對雲上基礎架構或雲資源API調用進行安全監控。
報告還顯示,拒絕服務,共享技術漏洞以及雲服務提供商數據丟失和系統漏洞之類的問題,已不在本報告之列。這表明,由雲服務提供商負責的傳統安全問題似乎已經有效的緩解。
報告如下