102大主流云安全要挟

愈来愈多的数据和利用程序正在转移到云上，这一趋势带来了独特的信息安全挑战。以下是企业在使用云服务时所面对的102大顶级安全要挟。

　

　　云计算正在延续改变组织机构使用、存储和同享数据、利用程序和工作负载的方式。这也带来了一系列新的安全要挟和挑战。随着大量数据数据进入云计算——特别是公共云服务，这些资源自然就成了坏人的目标。

　　Gartner 公司副总裁兼云安全主管 Jay Heiser 表示：公共云的使用量正在快捷增长，因此难以避免地会致使大量敏感内容暴露在潜伏风险当中。

　　与大多数人的认知可能相反，所不同的是，保护云中企业数据的主要责任不在于服务供应商，而在于云客户。

　　“我们正处于云安全转型时期，重点正从供应商转移到客户身上。企业正在认识到花大量时间试图弄清楚某个特定的云服务供应商是不是 ‘安全’，实际上其实不重要。

　　为了让组织机构了解云安全问题的最近动态，以便他们能够就云使用策略做出明智的决策，云安全同盟 (Cloud Security Alliance, CSA) 发布了最近版本的《云计算102大顶级要挟：行业洞察报告》 。

　　该报告描写了 CSA 安全专家一致认为的至今为止云所面对的最大安全问题。CSA 表示，虽然云计算存在很多安全问题，但本文主要关心12个与云计算的同享和按需分配特质相干的问题。后续报告《云计算的最大要挟：深度发掘》(Top Threats to Cloud Computing: Deep Dive) 罗列了有关这12种要挟的案例研究。

　　为了肯定主要要挟，CSA 对行业专家进行了调查，就云计算面对的主要安全问题搜集了专业意见。下面是调查得出的一些顶级云安全问题(按调查结果的严重程度排序)：

　　1. 数据泄漏

　　CSA 表示，数据泄漏多是由于有针对性的攻击，也可能只是人为毛病、利用程序漏洞或糟的安全措施致使的。数据泄漏可能触及任何不打算公然的信息，包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权信息。一个组织机构的云数据可能对不同的对象有不同的价值。数据泄漏风险并不是只有云计算独有，但它始终是云客户最关心的问题。

　　他在其《深度发掘》(Deep Dive) 的报告中援用了2012年 LinkedIn 密码遭黑客（Hacker）攻击作为主要例证。由于 LinkedIn 没有加密密码数据库，攻击者盗取了1.67亿个密码。该报告表示，这次泄漏警示组织机构应始终对包括用户凭据的数据库进行加盐哈希加密处理，并进行日志记录和异常行动分析。

　　2. 身份、凭据和访问管理不当

　　假扮成合法用户、操作人员或开发人员的外部侵入者可以读取、修改和删除数据;发布控制面板和管理功能;监视传输中的数据或发布来源仿佛合法的歹意软件。因此，这种情况下，身份、凭据或密钥管理不当可能致使未经授权的数据访问，并可能对组织机构或终端用户造成灾害性的结果。

　　针对 Deep Dive 的报告，访问管理不当的一个例子是 MongoDB 数据库默许安装设置存在风险。该数据库在默许安装设置中打开了一个端口，允许访问者在不进行身份验证的情形下对数据库进行访问。该报告建议在所有周边环境中实行预防性控制，并要求组织机构扫描托管、同享和公共环境中的漏洞。

　　3. 不安全接口和利用程序接口(API)

　　云供应商公然了一套软件用户界面 (UI) 或 API，客户经过这些工具管理云服务并与之进行交互。CSA 表示，供应、管理和监测都是使用这些接口履行的，一般云服务的安全性和可用性取决于 API 的安全性。它们需要被设计成能够阻挡企图避开政策的意外和歹意企图。

　　4. 系统漏洞

　　系统漏洞是程序中可利用的漏洞，攻击者可以利用这些漏洞潜入系统盗取数据、控制系统或中断服务操作。CSA 表示，操作系统组件中的漏洞使所有服务和数据的安全性面对重大风险。随着云端用户增加，不同组织机构的系统彼此靠近，并被赋予了访问同享内存和资源的权限，从而产生了一个新的攻击角度。

　　5. 账户劫持

　　CSA 指出，帐户或服务劫持其实不新鲜，但云服务的出现带来了新的要挟。如果攻击者取得了对用户凭证的访问权，他们就能够监视用户活动和交易，操纵数据，返回捏造的信息，并将客户重定向到非法站点。帐户或服务实例可能成为攻击者的新根据。使用盗取的凭证，攻击者可以访问云计算服务的关键部份，从而破坏这些服务的机密性、完全性和可用性。

　　Deep Dive 报告中的一个例子：Dirty Cow 高级延续要挟 (APT) 小组能够经过薄弱的审查或社会工程接收现有帐户，从而取得系统root权限。该报告建议对访问权限实行 “需要知道” 和 “需要访问” 策略，并对帐户接收策略进行社交工程训练。

　　6. 歹意内部人员

　　CSA 表示，虽然要挟程度有待商议，但内部要挟会制造风险这一事实无庸置疑。歹意内部人员(如系统管理员)可以访问潜伏的敏感信息，并且逐步可以对更关键的系统进行更高级别的访问，并终究访问数据。如果仅依托云服务供应商来保持系统安全，那末系统将面对巨大的安全风险。

　　报告中援用了一位心怀不满的 Zynga 员工的例子，该员工下载并盗取了公司的机密商业数据。当时没有防丢失控制措施。Deep Dive 报告建议实行数据丢失防护 (DLP) 控制，提高安全和隐私意识，以改进对可疑活动的辨认和报告。

　　7. 高级延续要挟(APTs)

　　APTs 是一种寄生情势的网络攻击，它渗透到系统中，在目标公司的IT基础架构扎根，然后盗取数据。APT 在很长一段时间内会秘密追踪自己的目标，通常能适应那些旨在防御它们的安全措施。一旦到位，APT 可以横向移动经过数据中心网络，并融入到正常的网络流量中来实现他们的目标。

　　8. 数据丢失

　　存储在云中的数据可能会由于歹意攻击之外的缘由丢失，CSA 说道。云服务供应商意外删除或物理灾害(如火灾或地震)可能致使客户数据的永久性丢失，除非供应商或云消费者进行了数据备份，遵守了业务连续性和灾害恢复方面的最好实践。

　　9. 尽职调查不够完全

　　CSA 表示，当高管制定业务策略时，必须斟酌到云技术和服务提供商。在评估技术和供应商时，制定一个完善的线路图和尽职调查清单相当重要。那些急于采取云技术，但没有在进行尽职调查的情形下选择供应商的组织机构将面对很多风险。

　　10. 滥用和歹意使用云服务

　　CSA 表示，不可靠的云服务部署、免费的云服务试用和讹诈账户注册，都将云计算模型暴露在歹意攻击之下。歹意人员可能会利用云计算资源来针对用户、组织机构或其他云供应商。滥用云关联资源的例子包括发起散布式谢绝服务攻击、垃圾邮件和钓鱼攻击。

　　11. 谢绝服务 (DoS)

　　DoS 攻击旨在禁止使用服务的用户访问他们的数据或利用程序。经过强迫目标云服务消耗过量的系统资源(如处理能力，内存，磁盘空间或网络带宽)， 攻击者可使系统速度下降，并使所有合法的服务用户没法访问服务。

　　DNS 供应商 Dyn 是 Deep Dive 报告中 DoS 攻击的一个主要例子。一个外部组织使用 Mirai 歹意软件经过物联网装备， 在 Dyn 上启动散布式谢绝服务 (DDoS)。这次攻击之所以能成功，是由于遭到攻击的物联网装备使用了默许凭证。该报告建议分析异常的网络流量，并审查和测试业务连续性计划。

　　12. 同享的技术漏洞

　　CSA 指出，云服务供应商经过同享基础架构、平台或利用程序来提供可扩大的服务。云技术带来了 “即服务” 概念，而没有对现有的硬件和软件进行实质性改动——有时是以牺牲安全性为代价的。组成支持云服务部署的基础组件，其设计目的可能不是为了多用户架构或多用户利用程序提供强盛的隔离功能。这可能致使同享技术漏洞，这些漏洞可能会在所有交付模型中被利用。

　　Deep Dive 报告中的一个例子是 Cloudbleed 漏洞，在这个漏洞中，一个外部人员能够利用其软件中的一个漏洞从安全服务供应商 Cloudflare 中盗取 API 密钥、密码和其他凭据。该报告建议对所有敏感数据进行加密，并针对敏感级别对数据进行分段。

　　其他：幽灵(Spectre)和熔断(Meltdown)

　　2018年1月，研究人员报告了大多数现代微处理器的一个常见设计特质，利用该特质使用歹意 Javascript 代码可以从内存中读取内容，包括加密数据。这一漏洞的两类变体分别被称为熔断 (Meltdown) 和幽灵 (Spectre)，它们作用了从智能手机到服务器的各种装备。正由于后者，我们才把它们列入这个云要挟列表中。

　　Spectre 和 Meltdown 都能进行旁路攻击，由于它们打破了利用程序之间的相互隔离。能够经过非特权登录访问系统的攻击者可以从内核读取信息，如果攻击者是客户虚拟机 (VM) 上 root 用户，则可以读取主机内核。

　　对云服务提供商来讲，这是一个巨大的问题。当补钉可用时，攻击者会更难发动攻击。补钉可能会下降性能，因此一些企业可能选择不给系统打补钉。CERT 建议更换所有受作用的处理器——但还没有代替品时，很难做到这一点。

　　到至今为止为止，还没有任何已知的利用 Meltdown 或 Spectre 的漏洞，但专家们一致认为，这些漏洞极可能很快就会出现。对云供应商来讲，防范它们的最好建议是确保所有最近补钉都已到位。客户应当要云供应商提供他们应对 Meldown 和 Spectre 的策略。

免责声明：
本网址（www.yingxiongyun.com）发布的材料主要源于独立创作和网友匿名投稿。此处提供的所有信息仅供参考之用。我们致力于提供准确且可信的信息，但不对材料的完整性或真实性作出任何保证。用户应自行验证相关信息的正确性，并对其决策承担全部责任。对于由于信息的错误、不准确或遗漏所造成的任何损失，本网址不承担任何法律责任。

本网站所展示的所有内容，如文字、图像、标志、音频、视频、软件和程序等的版权均属于原创作者。

如果任何组织或个人认为网站内容可能侵犯其知识产权，或包含不准确之处，请即刻联系我们进行相应处理。