如今, 雲計算正在不斷改變組織使用、存儲和共用資料、應用程式以及工作負載的方式。 但是與此同時, 它也引發了一系列新的安全威脅和挑戰。
公共雲的利用率正在快速增長, 因此不可避免地將會導致更多的敏感內容置於潛在風險威脅之中。 但是, 與許多人認為的剛好相反,
很多企業開始認識到, 花費大量時間來判斷某個特定的雲服務提供者是否“安全”, 幾乎得不到任何結果, 因為主要責任在於使用者自身。
為了讓企業瞭解雲安全問題, 以便他們能夠就雲採用策略做出明智的決策, 雲安全聯盟(CSA)近日發佈了最新版本的《12大頂級雲安全威脅:行業見解報告》。
這一報告反映了雲安全聯盟(CSA)安全專家當前就雲計算中最重要的安全問題所達成的共識。 雲安全聯盟表示, 儘管目前雲中存在許多安全問題, 但這份報告的重點聚焦在12個涉及雲計算的共用和按需特性方面的威脅。
為了確定用戶最關心的問題, 雲安全聯盟對行業專家進行了一次調查, 就雲計算中最嚴重的安全問題編寫了一些專業意見及建議。 以下是12個最嚴重的雲安全問題的具體內容(按照調查結果的嚴重程度排序):
1. 資料洩露
雲安全聯盟表示, 資料洩露可能是有針對性攻擊的主要目標, 也可能是人為錯誤、應用程式漏洞或安全措施不佳所導致的後果。 這可能涉及任何非公開發佈的資訊, 其中包括個人健康資訊、財務資訊、個人身份資訊(PII)、商業機密以及智慧財產權等。 由於不同的原因, 組織基於雲端的資料可能會對不同的組織具有更大的價值。 資料洩露的風險並不是雲計算所獨有的,
就比如這周的Metasploit滲透測試課程, 提供虛擬機器操作環境, 採用最新工具、最新學習包進行演練, 傳授企業急需的技能。 課程分為15個學習階段, 理論知識與真實案例結合, 一步一個臺階地幫助初學者從零開始建立起作為滲透測試的基本技能, 也為職業的滲透測試工程提供漏洞挖掘與利用這方面的參考。
2. 身份、憑證和訪問管理不足
雲安全聯盟表示, 惡意行為者會通過偽裝成合法用戶、運營人員或開發人員來讀取、修改和刪除資料;獲取控制平臺和管理功能;在傳輸資料的過程中進行窺探, 或釋放看似來源於合法來源的惡意軟體。 因此, 身份認證不足、憑證或金鑰管理不善都可能會導致未經授權的資料訪問行為發生,
3. 不安全的介面和應用程式設計發展介面(API)
雲安全聯盟表示, 雲服務提供者會公開一組客戶使用的軟體使用者介面(UI)或API來管理和與雲服務進行交互。 其配置、管理和監控都是通過這些介面來實現執行的, 一般來說, 雲服務的安全性和可用性也都取決於API的安全性。 它們需要被設計用來防止意外和惡意的繞過安全協議的企圖。
4. 系統漏洞
系統漏洞是系統程式中存在的可用漏洞, 利用這些漏洞, 攻擊者能夠滲透進系統, 並竊取資料、控制系統或中斷服務操作。 雲安全聯盟表示, 作業系統元件中存在的漏洞, 使得所有服務和資料的安全性都面臨了重大的安全風險。 隨著雲端多租戶形式的出現,來自不同組織的系統開始呈現彼此靠近的局面,且允許在同一平臺/雲端的使用者都能夠訪問共用記憶體和資源,這也導致了新的攻擊面的出現,擴大了安全風險。
5. 帳戶劫持
雲安全聯盟指出,帳戶或服務劫持並不是什麼新鮮事物,但雲服務為這一景觀增添了新的威脅。如果攻擊者獲得了對用戶憑證的存取權限,他們就能夠竊聽使用者的活動和交易行為,操縱資料,返回偽造的資訊並將客戶重定向到非法的釣魚網站中。帳戶或服務實例可能成為攻擊者的新基礎。由於憑證被盜,攻擊者經常可以訪問雲計算服務的關鍵區域,從而危及這些服務的機密性、完整性以及可用性。
6. 惡意的內部人員
雲安全聯盟表示,雖然內部人員造成的威脅程度是存在爭議的,但不可否認的是,內部威脅確實是一種實實在在的威脅。一名懷有惡意企圖的內部人員(如系統管理員),他們能夠訪問潛在的敏感資訊,並且可以越來越多地訪問更重要的系統,並最終訪問到機密資料。僅僅依靠雲服務提供者提供安全措施的系統勢必將面臨更大的安全風險。
7. 高級持續性威脅(APT)
高級持續性威脅(APT)是一種寄生式的網路攻擊形式,它通過滲透到目標公司的IT基礎設施來建立立足點的系統,並從中竊取資料。高級持續性威脅(APT)通常能夠適應抵禦它們的安全措施,並在目標系統中“潛伏”很長一段時間。一旦準備就緒(如收集到足夠的資訊),高級持續性威脅(APT)就可以通過資料中心網路橫向移動,並與正常的網路流量相融合,以實現他們的最終目標。
8. 資料丟失
雲安全聯盟表示,存儲在雲中的資料可能會因惡意攻擊以外的原因而丟失。雲計算服務提供者的意外刪除行為、火災或地震等物理災難都可能會導致客戶資料的永久性丟失,除非雲服務提供者或雲計算用戶採取了適當的措施來備份資料,遵循業務連續性的最佳實踐,否則將無法實現災難恢復。
9. 盡職調查不足
雲安全聯盟表示,當企業高管制定業務戰略時,必須充分考慮到雲計算技術和服務提供者。在評估雲技術和服務提供者時,制定一個良好的路線圖和盡職調查清單對於獲得最大的成功機會可謂至關重要。而在沒有執行盡職調查的情況下,就急於採用雲計算技術並選擇提供商的組織勢必將面臨諸多安全風險。
10. 濫用和惡意使用雲服務
雲安全聯盟指出,雲服務部署不充分,免費的雲服務試用以及通過支付工具欺詐進行的欺詐性帳戶登錄,將使雲計算模式暴露於惡意攻擊之下。惡意行為者可能會利用雲計算資源來定位使用者、組織或其他雲服務提供者。其中濫用雲端資源的例子包括啟動分散式拒絕服務攻擊(DDoS)、垃圾郵件和網路釣魚攻擊等。
11. 拒絕服務(DoS)
拒絕服務(DoS)攻擊旨在防止服務的使用者訪問其資料或應用程式。拒絕服務(DoS)攻擊可以通過強制目標雲服務消耗過多的有限系統資源(如處理器能力,記憶體,磁碟空間或網路頻寬),來説明攻擊者降低系統的運行速度,並使所有合法的使用者無法訪問服務。
12. 共用的技術漏洞
雲安全聯盟指出,雲計算服務提供者通過共用基礎架構、平臺或應用程式來擴展其服務。雲技術將“即服務”(as-a-service)產品劃分為多個產品,而不會大幅改變現成的硬體/軟體(有時以犧牲安全性為代價)。構成支援雲計算服務部署的底層元件,可能並未設計成為“多租戶”架構或多客戶應用程式提供強大的隔離性能。這可能會導致共用技術漏洞的出現,並可能在所有交付模式中被惡意攻擊者濫用。
隨著雲端多租戶形式的出現,來自不同組織的系統開始呈現彼此靠近的局面,且允許在同一平臺/雲端的使用者都能夠訪問共用記憶體和資源,這也導致了新的攻擊面的出現,擴大了安全風險。5. 帳戶劫持
雲安全聯盟指出,帳戶或服務劫持並不是什麼新鮮事物,但雲服務為這一景觀增添了新的威脅。如果攻擊者獲得了對用戶憑證的存取權限,他們就能夠竊聽使用者的活動和交易行為,操縱資料,返回偽造的資訊並將客戶重定向到非法的釣魚網站中。帳戶或服務實例可能成為攻擊者的新基礎。由於憑證被盜,攻擊者經常可以訪問雲計算服務的關鍵區域,從而危及這些服務的機密性、完整性以及可用性。
6. 惡意的內部人員
雲安全聯盟表示,雖然內部人員造成的威脅程度是存在爭議的,但不可否認的是,內部威脅確實是一種實實在在的威脅。一名懷有惡意企圖的內部人員(如系統管理員),他們能夠訪問潛在的敏感資訊,並且可以越來越多地訪問更重要的系統,並最終訪問到機密資料。僅僅依靠雲服務提供者提供安全措施的系統勢必將面臨更大的安全風險。
7. 高級持續性威脅(APT)
高級持續性威脅(APT)是一種寄生式的網路攻擊形式,它通過滲透到目標公司的IT基礎設施來建立立足點的系統,並從中竊取資料。高級持續性威脅(APT)通常能夠適應抵禦它們的安全措施,並在目標系統中“潛伏”很長一段時間。一旦準備就緒(如收集到足夠的資訊),高級持續性威脅(APT)就可以通過資料中心網路橫向移動,並與正常的網路流量相融合,以實現他們的最終目標。
8. 資料丟失
雲安全聯盟表示,存儲在雲中的資料可能會因惡意攻擊以外的原因而丟失。雲計算服務提供者的意外刪除行為、火災或地震等物理災難都可能會導致客戶資料的永久性丟失,除非雲服務提供者或雲計算用戶採取了適當的措施來備份資料,遵循業務連續性的最佳實踐,否則將無法實現災難恢復。
9. 盡職調查不足
雲安全聯盟表示,當企業高管制定業務戰略時,必須充分考慮到雲計算技術和服務提供者。在評估雲技術和服務提供者時,制定一個良好的路線圖和盡職調查清單對於獲得最大的成功機會可謂至關重要。而在沒有執行盡職調查的情況下,就急於採用雲計算技術並選擇提供商的組織勢必將面臨諸多安全風險。
10. 濫用和惡意使用雲服務
雲安全聯盟指出,雲服務部署不充分,免費的雲服務試用以及通過支付工具欺詐進行的欺詐性帳戶登錄,將使雲計算模式暴露於惡意攻擊之下。惡意行為者可能會利用雲計算資源來定位使用者、組織或其他雲服務提供者。其中濫用雲端資源的例子包括啟動分散式拒絕服務攻擊(DDoS)、垃圾郵件和網路釣魚攻擊等。
11. 拒絕服務(DoS)
拒絕服務(DoS)攻擊旨在防止服務的使用者訪問其資料或應用程式。拒絕服務(DoS)攻擊可以通過強制目標雲服務消耗過多的有限系統資源(如處理器能力,記憶體,磁碟空間或網路頻寬),來説明攻擊者降低系統的運行速度,並使所有合法的使用者無法訪問服務。
12. 共用的技術漏洞
雲安全聯盟指出,雲計算服務提供者通過共用基礎架構、平臺或應用程式來擴展其服務。雲技術將“即服務”(as-a-service)產品劃分為多個產品,而不會大幅改變現成的硬體/軟體(有時以犧牲安全性為代價)。構成支援雲計算服務部署的底層元件,可能並未設計成為“多租戶”架構或多客戶應用程式提供強大的隔離性能。這可能會導致共用技術漏洞的出現,並可能在所有交付模式中被惡意攻擊者濫用。