12大顶级云安全威胁
如今,越来越多的数据和应用程序正在向云端移动,这为组织带来了独特的信息安全挑战。很多组织在使用云服务时将面临12个主要的安全威胁。
云计算继续改变组织使用、存储和共享数据、应用程序和工作负载的方式。它还带来了一系列新的安全威胁和挑战。随着如此多的数据进入云端,特别是进入公共云服务,这些资源成为网络攻击者的主要目标。
调研机构Gartner公司副总裁兼云计算安全负责人Jay Heiser表示,“公共云的使用量正在快速增长,因此不可避免地会导致更多的敏感内容可能存在风险。”
Heiser说,“与许多人的想法相反,保护组织在云中数据的主要责任不在于服务提供商,而在于采用云计算的用户自身。现在人们正处在云安全过渡期,其安全重点将从云计算提供商转移到用户。很多组织正花费大量时间来了解某个特定的云服务提供商是否安全,但其调查几乎没有任何回报。”
为了向企业提供有关云安全问题的最新情况,以便他们能够就云采用策略做出明智的决策,云计算安全联盟(CSA)发布了最新版本的“云计算安全的12个顶级威胁”的行业洞察报告。
该报告反映了云计算安全联盟(CSA)的安全专家目前对云中最重要的安全问题的共识。虽然云中存在许多安全问题,但云计算安全联盟(CSA)表示,这个列表主要关注12个与云计算的共享、按需特性相关的问题。其后续发布的《云计算的最大威胁:深度挖掘》报告探讨了12种威胁中的案例研究。
为了确定人们最关注的问题,云计算安全联盟(CSA)对行业专家进行了一项调查,以汇总有关云计算中最主要的安全问题的专业意见。以下是组织面临的一些主要的云计算安全问题(按调查结果的严重程度排列):
1.数据泄露
云计算安全联盟(CSA)表示,数据泄露是网络攻击者和黑客的主要目标,也可能只是人为错误、应用程序漏洞或糟糕的安全实践的结果。它可能涉及任何非公开信息,包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权。由于不同的原因,企业基于云计算的数据可能对不同的参与方具有价值。数据泄露的风险并非云计算所独有,但它始终是云计算用户最关心的问题。
这个深度挖掘报告引用了2012年LinkedIn公司的用户密码泄露作为一个主要的例子。网络攻击者能够窃取LinkedIn公司密码数据库的1.67亿个密码,因为该公司并没有进行加密。应对这种漏洞的关键点是,企业应始终对包含用户凭据的数据库进行哈希加密处理,并实施适当的日志记录和行为异常分析。
2. 身份、凭证和访问管理不足
云计算安全联盟(CSA)表示,伪装成合法用户、运营商或开发商的网络攻击者可以读取、修改、删除数据;发布控制平台和管理功能;窥探传输中的数据或发布源于合法来源的恶意软件。因此,身份、凭证或密钥管理不足会导致对数据的未经授权访问,并可能对组织或最终用户造成灾难性损害。
根据这份深度挖掘报告,访问管理不足的一个例子是发现MongoDB数据库的不受保护的默认安装。这种默认实现使端口始终处于开放状态,允许访问而无需身份验证。该报告建议在所有周边设置预防性控制,并且组织扫描托管、共享和公共环境中的漏洞。
3.不安全的接口和应用程序编程接口(API)
云计算提供商公开了一组客户用来管理云服务并与之交互的软件用户界面(UI)或API。云计算安全联盟(CSA)表示,配置、管理和监控都是通过这些接口执行的,一般云计算服务的安全性和可用性取决于API的安全性。它们需要设计成防止意外和恶意企图规避政策。
4.系统漏洞
系统漏洞是可利用程序中的漏洞,网络攻击者可以利用这些漏洞渗透系统以窃取数据、控制系统或中断服务操作。云计算安全联盟(CSA)表示,操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云计算中多租户的出现,来自不同组织的系统彼此靠近,并允许访问共享内存和资源,从而创建了新的攻击面。
5.帐户劫持
云计算安全联盟(CSA)指出,帐户劫持或服务劫持并不是什么新鲜事,但云计算服务给环境带来了新的威胁。如果网络攻击者获得了对用户凭证的访问权,他们可以窃听活动和事务、操纵数据、返回伪造信息,并将客户机重定向到非法站点。帐户或服务实例可能成为攻击者的新基础。有了被盗的凭证,攻击者通常可以访问云计算服务的关键区域,从而降低这些服务的机密性、完整性、可用性。
深度挖掘报告中的一个例子:Dirty Cow公司的高级持续威胁(APT)小组能够通过弱审查或社交工程接管现有账户来获得系统的Root级控制。该报告建议了关于访问权限的必要知识,需要访问的政策以及关于帐户接管策略的社交工程培训。
6.恶意内部人士
云计算安全联盟(CSA)表示,虽然威胁程度尚未引起很大的关注,但内部威胁是一个真正的威胁。恶意内部人员(如系统管理员)可以访问潜在的敏感信息,并且可以对更关键的系统和最终的数据进行更高级别的访问。而只依靠云计算服务提供商来提高安全性的系统风险更大。
该报告引用了Zynga公司一名心怀不满的员工进行内部攻击的例子,该员工从Zynga公司下载并泄露了机密业务的数据。当时该公司没有实施严格的防损控制措施。深度挖掘报告建议实施数据丢失防护(DLP)控制,并建立安全和隐私意识计划,以改进对可疑活动的识别和报告。
最新活动更多
-
即日-11.30免费预约申请>>> 燧石技术-红外热成像系列产品试用活动
-
11月22日立即报名>> 【线上&线下同步会议】领英 跃迁向新 年度管理者峰会
-
11月29日立即预约>> 【上海线下】设计,易如反掌—Creo 11发布巡展
-
11月30日立即试用>> 【有奖试用】爱德克IDEC-九大王牌安全产品
-
即日-12.26火热报名中>> OFweek2024中国智造CIO在线峰会
-
限时免费下载立即下载 >>> 2024“机器人+”行业应用创新发展蓝皮书
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论