7．高級持續(xù)威脅（APT）

高級持續(xù)威脅（APT）是一種寄生形式的網(wǎng)絡(luò)攻擊，可以滲透到系統(tǒng)中并在目標(biāo)組織的IT基礎(chǔ)設(shè)施中建立立足點(diǎn)，從而竊取數(shù)據(jù)。高級持續(xù)威脅（APT）在很長一段時間內(nèi)暗地追尋目標(biāo)，通常會適應(yīng)防備他們的安全措施。云計算安全聯(lián)盟（CSA）表示，一旦到位，高級持續(xù)威脅（APT）可以橫向移動，通過數(shù)據(jù)中心網(wǎng)絡(luò)并融入正常的網(wǎng)絡(luò)流量，以實(shí)現(xiàn)其目標(biāo)。

8．?dāng)?shù)據(jù)丟失

云計算安全聯(lián)盟（CSA）表示，存儲在云中的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云計算服務(wù)提供商意外刪除或火災(zāi)或地震等物理災(zāi)難可導(dǎo)致客戶數(shù)據(jù)永久丟失，除非提供商或云計算消費(fèi)者采取適當(dāng)措施備份數(shù)據(jù)，遵循業(yè)務(wù)連續(xù)性的災(zāi)難恢復(fù)最佳實(shí)踐。

9．盡職調(diào)查不足

云計算安全聯(lián)盟（CSA）表示，當(dāng)企業(yè)高管制定業(yè)務(wù)戰(zhàn)略時，必須考慮云計算技術(shù)和服務(wù)提供商。在評估技術(shù)和提供商時，制定良好的路線圖和盡職調(diào)查清單對于最大的成功機(jī)會至關(guān)重要。那些急于采用云計算技術(shù)，并選擇提供商而不進(jìn)行盡職調(diào)查的組織會面臨許多風(fēng)險。

10．濫用和惡意使用云服務(wù)

云計算安全聯(lián)盟（CSA）表示，云安全服務(wù)部署、免費(fèi)云服務(wù)試驗(yàn)，以及通過支付工具欺詐性帳戶注冊的安全性較差，使云計算模型遭受惡意攻擊。網(wǎng)絡(luò)攻擊者可能會利用云計算資源針對用戶、組織或其他云計算提供商進(jìn)行攻擊。濫用基于云計算的資源的例子包括發(fā)起分布式拒絕服務(wù)攻擊、垃圾電子郵件和釣魚活動。

11．拒絕服務(wù)（DoS）

拒絕服務(wù)（DoS）攻擊旨在防止服務(wù)用戶訪問其數(shù)據(jù)或應(yīng)用程序。通過強(qiáng)制目標(biāo)云服務(wù)消耗過多的有限系統(tǒng)資源（如處理器功率、內(nèi)存、磁盤空間或網(wǎng)絡(luò)帶寬），攻擊者可能會導(dǎo)致系統(tǒng)速度降低，并使所有合法服務(wù)用戶無法訪問服務(wù)。

DNS提供商Dyn公司是深度挖掘報告中提到遭遇DoS攻擊的一個關(guān)鍵示例。外部組織可以使用Mirai惡意軟件驅(qū)使物聯(lián)網(wǎng)設(shè)備在Dyn上啟動分布式拒絕服務(wù)（DDoS）。他們之所以攻擊成功，是因?yàn)槭軗p的物聯(lián)網(wǎng)設(shè)備使用了默認(rèn)憑據(jù)。該報告建議分析異常的網(wǎng)絡(luò)流量，并審查和測試業(yè)務(wù)連續(xù)性計劃。

12．共享技術(shù)漏洞

云計算安全聯(lián)盟（CSA）指出，云計算服務(wù)提供商通過共享基礎(chǔ)設(shè)施、平臺或應(yīng)用程序來實(shí)現(xiàn)其服務(wù)的可擴(kuò)展性。云計算技術(shù)將“即服務(wù)”產(chǎn)品區(qū)分開來，而無需大幅度改變現(xiàn)成的硬件／軟件，有時會犧牲安全性。構(gòu)成支持云計算服務(wù)部署的基礎(chǔ)設(shè)施組件可能沒有設(shè)計成為能夠?yàn)槎嘧鈶艏軜?gòu)或多客戶應(yīng)用程序提供強(qiáng)大的隔離屬性。這可能導(dǎo)致共享的技術(shù)漏洞，這些漏洞可能會在所有交付模型中被利用。

深度挖掘報告中的一個例子是CloudBleed漏洞，其中外部惡意參與者可以利用其軟件中的漏洞從安全服務(wù)提供商CloudFlare竊取API密鑰、密碼和其他憑據(jù)。報告建議對所有敏感數(shù)據(jù)進(jìn)行加密，并根據(jù)敏感級別對數(shù)據(jù)進(jìn)行分段。

額外的云威脅：Spectre和Meltdown

在2018年1月，研究人員揭示了大多數(shù)現(xiàn)代微處理器中常見的設(shè)計特征，它可以允許使用惡意Javascript代碼從內(nèi)存中讀取內(nèi)容，包括加密數(shù)據(jù)。此問題的兩個變體稱為Meltdown和Spectre，會影響從智能手機(jī)到服務(wù)器的所有設(shè)備。因此將它們添加到這個云計算威脅列表中。

Spectre和Meltdown都允許進(jìn)行側(cè)通道攻擊，因?yàn)樗鼈兺黄屏藨?yīng)用程序之間的隔離。能夠通過非特權(quán)登錄訪問系統(tǒng)的攻擊者可以從內(nèi)核讀取信息，或者如果攻擊者是訪問者虛擬機(jī)（VM）上的Root用戶，則可以讀取主機(jī)內(nèi)核。

這對云計算服務(wù)提供商來說是一個大問題。雖然提供了一些補(bǔ)丁，但它們只會使實(shí)施攻擊變得更加困難。此外，修補(bǔ)補(bǔ)丁也可能會降低性能，因此某些組織可能會選擇不修補(bǔ)系統(tǒng)。CERT 咨詢公司建議更換所有受到影響的處理器。

到目前為止，還沒有已知的漏洞利用了Meltdown或Spectre這兩個缺陷，但專家們認(rèn)為它們可能會很快得到利用，云計算提供商防范它們的最佳建議是確保所有最新的漏洞都已修補(bǔ)。客戶應(yīng)該要求了解其云計算提供商如何應(yīng)對Meltdown和Spectre的信息。