12大頂級云安全威脅
如今,越來越多的數(shù)據(jù)和應用程序正在向云端移動,這為組織帶來了獨特的信息安全挑戰(zhàn)。很多組織在使用云服務時將面臨12個主要的安全威脅。
云計算繼續(xù)改變組織使用、存儲和共享數(shù)據(jù)、應用程序和工作負載的方式。它還帶來了一系列新的安全威脅和挑戰(zhàn)。隨著如此多的數(shù)據(jù)進入云端,特別是進入公共云服務,這些資源成為網(wǎng)絡攻擊者的主要目標。
調(diào)研機構(gòu)Gartner公司副總裁兼云計算安全負責人Jay Heiser表示,“公共云的使用量正在快速增長,因此不可避免地會導致更多的敏感內(nèi)容可能存在風險!
Heiser說,“與許多人的想法相反,保護組織在云中數(shù)據(jù)的主要責任不在于服務提供商,而在于采用云計算的用戶自身,F(xiàn)在人們正處在云安全過渡期,其安全重點將從云計算提供商轉(zhuǎn)移到用戶。很多組織正花費大量時間來了解某個特定的云服務提供商是否安全,但其調(diào)查幾乎沒有任何回報!
為了向企業(yè)提供有關(guān)云安全問題的最新情況,以便他們能夠就云采用策略做出明智的決策,云計算安全聯(lián)盟(CSA)發(fā)布了最新版本的“云計算安全的12個頂級威脅”的行業(yè)洞察報告。
該報告反映了云計算安全聯(lián)盟(CSA)的安全專家目前對云中最重要的安全問題的共識。雖然云中存在許多安全問題,但云計算安全聯(lián)盟(CSA)表示,這個列表主要關(guān)注12個與云計算的共享、按需特性相關(guān)的問題。其后續(xù)發(fā)布的《云計算的最大威脅:深度挖掘》報告探討了12種威脅中的案例研究。
為了確定人們最關(guān)注的問題,云計算安全聯(lián)盟(CSA)對行業(yè)專家進行了一項調(diào)查,以匯總有關(guān)云計算中最主要的安全問題的專業(yè)意見。以下是組織面臨的一些主要的云計算安全問題(按調(diào)查結(jié)果的嚴重程度排列):
1.數(shù)據(jù)泄露
云計算安全聯(lián)盟(CSA)表示,數(shù)據(jù)泄露是網(wǎng)絡攻擊者和黑客的主要目標,也可能只是人為錯誤、應用程序漏洞或糟糕的安全實踐的結(jié)果。它可能涉及任何非公開信息,包括個人健康信息、財務信息、個人身份信息、商業(yè)秘密和知識產(chǎn)權(quán)。由于不同的原因,企業(yè)基于云計算的數(shù)據(jù)可能對不同的參與方具有價值。數(shù)據(jù)泄露的風險并非云計算所獨有,但它始終是云計算用戶最關(guān)心的問題。
這個深度挖掘報告引用了2012年LinkedIn公司的用戶密碼泄露作為一個主要的例子。網(wǎng)絡攻擊者能夠竊取LinkedIn公司密碼數(shù)據(jù)庫的1.67億個密碼,因為該公司并沒有進行加密。應對這種漏洞的關(guān)鍵點是,企業(yè)應始終對包含用戶憑據(jù)的數(shù)據(jù)庫進行哈希加密處理,并實施適當?shù)娜罩居涗浐托袨楫惓7治觥?/p>
2. 身份、憑證和訪問管理不足
云計算安全聯(lián)盟(CSA)表示,偽裝成合法用戶、運營商或開發(fā)商的網(wǎng)絡攻擊者可以讀取、修改、刪除數(shù)據(jù);發(fā)布控制平臺和管理功能;窺探傳輸中的數(shù)據(jù)或發(fā)布源于合法來源的惡意軟件。因此,身份、憑證或密鑰管理不足會導致對數(shù)據(jù)的未經(jīng)授權(quán)訪問,并可能對組織或最終用戶造成災難性損害。
根據(jù)這份深度挖掘報告,訪問管理不足的一個例子是發(fā)現(xiàn)MongoDB數(shù)據(jù)庫的不受保護的默認安裝。這種默認實現(xiàn)使端口始終處于開放狀態(tài),允許訪問而無需身份驗證。該報告建議在所有周邊設(shè)置預防性控制,并且組織掃描托管、共享和公共環(huán)境中的漏洞。
3.不安全的接口和應用程序編程接口(API)
云計算提供商公開了一組客戶用來管理云服務并與之交互的軟件用戶界面(UI)或API。云計算安全聯(lián)盟(CSA)表示,配置、管理和監(jiān)控都是通過這些接口執(zhí)行的,一般云計算服務的安全性和可用性取決于API的安全性。它們需要設(shè)計成防止意外和惡意企圖規(guī)避政策。
4.系統(tǒng)漏洞
系統(tǒng)漏洞是可利用程序中的漏洞,網(wǎng)絡攻擊者可以利用這些漏洞滲透系統(tǒng)以竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務操作。云計算安全聯(lián)盟(CSA)表示,操作系統(tǒng)組件中的漏洞使所有服務和數(shù)據(jù)的安全性面臨重大風險。隨著云計算中多租戶的出現(xiàn),來自不同組織的系統(tǒng)彼此靠近,并允許訪問共享內(nèi)存和資源,從而創(chuàng)建了新的攻擊面。
5.帳戶劫持
云計算安全聯(lián)盟(CSA)指出,帳戶劫持或服務劫持并不是什么新鮮事,但云計算服務給環(huán)境帶來了新的威脅。如果網(wǎng)絡攻擊者獲得了對用戶憑證的訪問權(quán),他們可以竊聽活動和事務、操縱數(shù)據(jù)、返回偽造信息,并將客戶機重定向到非法站點。帳戶或服務實例可能成為攻擊者的新基礎(chǔ)。有了被盜的憑證,攻擊者通?梢栽L問云計算服務的關(guān)鍵區(qū)域,從而降低這些服務的機密性、完整性、可用性。
深度挖掘報告中的一個例子:Dirty Cow公司的高級持續(xù)威脅(APT)小組能夠通過弱審查或社交工程接管現(xiàn)有賬戶來獲得系統(tǒng)的Root級控制。該報告建議了關(guān)于訪問權(quán)限的必要知識,需要訪問的政策以及關(guān)于帳戶接管策略的社交工程培訓。
6.惡意內(nèi)部人士
云計算安全聯(lián)盟(CSA)表示,雖然威脅程度尚未引起很大的關(guān)注,但內(nèi)部威脅是一個真正的威脅。惡意內(nèi)部人員(如系統(tǒng)管理員)可以訪問潛在的敏感信息,并且可以對更關(guān)鍵的系統(tǒng)和最終的數(shù)據(jù)進行更高級別的訪問。而只依靠云計算服務提供商來提高安全性的系統(tǒng)風險更大。
該報告引用了Zynga公司一名心懷不滿的員工進行內(nèi)部攻擊的例子,該員工從Zynga公司下載并泄露了機密業(yè)務的數(shù)據(jù)。當時該公司沒有實施嚴格的防損控制措施。深度挖掘報告建議實施數(shù)據(jù)丟失防護(DLP)控制,并建立安全和隱私意識計劃,以改進對可疑活動的識別和報告。
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個字
最新活動更多
-
即日-11.30免費預約申請>>> 燧石技術(shù)-紅外熱成像系列產(chǎn)品試用活動
-
11月25日立即預約>> 【上海線下】設(shè)計,易如反掌—Creo 11發(fā)布巡展
-
11月30日立即試用>> 【有獎試用】愛德克IDEC-九大王牌安全產(chǎn)品
-
即日-12.26火熱報名中>> OFweek2024中國智造CIO在線峰會
-
限時免費下載立即下載 >>> 2024“機器人+”行業(yè)應用創(chuàng)新發(fā)展藍皮書
-
即日-2025.8.1立即下載>> 《2024智能制造產(chǎn)業(yè)高端化、智能化、綠色化發(fā)展藍皮書》
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市