?

12 個最危險的云安全威脅

2019-07-23 01:07:00 計算機世界 2019年26期

Bob Violino

越來越多的數據和應用程序正在向云端遷移,轉型同時也帶來了一些特殊的信息安全挑戰。以下是企業在使用云服務時面臨的12個頂級云安全威脅。

云計算正在持續改變著企業使用、存儲和共享數據、應用程序和工作負載的方式。與此同時,這也帶來了許多新的安全威脅和挑戰。這么多數據進入云端,特別是公有云服務,那么這些資源自然也就成為了不法分子的目標。

市場研究機構Gartner的副總裁兼云安全負責人Jay Heiser表示,“公有云的使用量正在快速增長,因此不可避免地會有大量敏感內容暴露在風險當中。”

與許多人的想法正好相反,保護云端上的企業數據的主要責任不在于服務提供商,而在于云服務的客戶。Heiser稱:“我們正處于云安全過渡期,重點正從提供商轉移到客戶身上。企業正在花費大量時間來弄清楚云服務提供商是否‘安全,但是他們幾乎沒有得到任何答案。”

為了讓企業了解云安全的最新動態,讓他們在云部署策略上做出明智的決策,云安全聯盟(CSA)已經發布了最新版本的《十二大云計算頂級威脅:行業洞察報告》。

該報告反映了目前CSA社區中的安全專家對最重要的云安全問題的一些共識。雖然云端存在許多安全問題,但是該報告僅列出了按需要使用共享云計算所存在的12個重大問題。后續發布的《云計算頂級威脅:深度觀察》列出了關于這12種威脅的案例研究。

為了確定最重要的威脅,CSA對行業專家進行了一項調查,以匯總對最重要的云計算安全問題的專業意見。以下是最重要的云安全問題(嚴重程度根據調查結果排序):

1.數據泄露

CSA表示,數據泄露可能是有針對性的攻擊所追求的結果,或者僅僅是人為錯誤、應用程序漏洞或安全措施不佳所導致的。其可能涉及任何無意被公布的信息,如個人健康信息、財務信息、個人身份信息、商業機密和知識產權。一個企業的云端數據可能因不同的原因對不同的對象具有不同的價值。數據泄露的風險并非云計算所獨有,但它們始終是云客戶最關注的問題。

《深度觀察》報告將2012年LinkedIn因密碼被竊導致發生數據泄露作為了一個重要案例。由于LinkedIn沒有對密碼數據庫進行加密,導致攻擊者竊取了1.67億個密碼。該報告指出,這種漏洞的關鍵要點是,企業應始終對包含用戶憑據的數據庫進行加密處理,同時采取適當的日志記錄和行為異常分析。

2.身份、憑證和訪問管理不當

CSA表示,偽裝成合法用戶、操作員或開發人員的不法分子可以讀取、修改和刪除數據,發布控制平面和管理功能,窺探傳輸中的數據或發布貌似合法來源的惡意軟件。因此,身份、憑證或密鑰管理不當可能會導致未經授權的數據訪問,并可能對組織機構或最終用戶造成災難性損害。

《深度觀察》報告稱,訪問管理不當的一個例證是MongoDB數據庫的默認安裝存在風險。該默認安裝會打開一個無需身份驗證即可允許訪問的端口。報告建議在所有周邊設置預防性控制,同時掃描托管的和共享的公共環境中的漏洞。

3.不安全的接口和應用程序編程接口(API)

云服務提供商都會公開一組供客戶用來管理云服務并與之交互的軟件用戶界面(UI)或API。CSA表示,配置、管理和監控都是通過這些接口執行的,一般云服務的安全性和可用性取決于API的安全性。它們需要能夠防止意外的和惡意的政策規避操作。

4.系統漏洞

系統漏洞是程序中可利用的漏洞,攻擊者可以利用這些漏洞滲透到系統中竊取數據、控制系統或中斷服務操作。CSA表示,操作系統組件中的漏洞使所有服務和數據的安全性面臨重大風險。隨著云端中多租戶的出現,不同企業的系統彼此相鄰,并且可以訪問共享內存和資源,從而為攻擊者創建了新的攻擊面。

5.賬戶劫持

CSA指出,賬戶或服務劫持并不新鮮,但是云服務的出現帶來了新的威脅。如果攻擊者獲得了用戶憑據的訪問權限,他們就可以監控活動和交易、操縱數據、返回偽造信息并將客戶端重定向到非法網站。賬戶或服務實例可能成為攻擊者的新跳板。憑借竊取的憑據,攻擊者通常可以訪問云計算服務的關鍵區域,從而破壞這些服務的機密性、完整性和可用性。

《深度觀察》報告列舉了一個例子。Dirty Cow高級持續威脅(APT)小組能夠通過弱審查或社會工程接管現有賬戶來獲得系統的root 級控制。該報告建議對訪問權限執行“需要知道”和“需要訪問”政策,并對賬戶接管策略有針對性地展開社會工程培訓。

6.不懷好意的內部人士

CSA表示,雖然內部威脅的威脅程度還存在爭論,但這種威脅是實實在在的威脅。不懷好意的內部人員(如系統管理員)有可能會訪問敏感信息,并可以對更關鍵的系統和最終的數據進行更高級別的訪問。系統如果僅依靠云服務提供商的安全性,那么將存在巨大的風險。

該報告舉了一名心懷不滿的Zynga員工的例子。該員工從公司下載并泄露了機密業務數據。當時整個公司沒有制定相關的防丟失控制措施。《深度觀察》報告建議實施數據丟失防護(DLP)控制,并制定安全和隱私意識計劃,以改進對可疑活動的識別和報告。

7.高級持續威脅(APT)

APT是一種寄生式的網絡攻擊,它通過向系統滲透以在目標公司的IT基礎設施中建立根據地,然后竊取數據。APT在很長一段時間內會悄悄地追蹤他們的目標,以適應旨在防御它們的安全措施。CSA表示,一旦到位,APT可以橫向移動通過數據中心網絡并融入正常的網絡流量當中,以實現其目標。

8.數據丟失

CSA表示,存儲在云端上的數據可能會因惡意攻擊以外的原因而丟失。云服務提供商的意外刪除,火災、地震等物理災難可導致客戶數據永久丟失,除非提供商或云消費者遵循業務連續性和災難恢復的最佳實踐,采取適當措施備份這些數據。

9.盡職調查不徹底

CSA表示,當高管們制定業務戰略時,必須要考慮云技術和服務提供商。在評估技術和提供商時,制定完善的路線圖和盡職調查清單對于取得全面成功至關重要。急于采用云技術并選擇提供商而不進行盡職調查的公司將會面臨許多風險。

10.濫用和惡意使用云服務

CSA表示,不安全的云服務部署、免費的云服務試用以及欺詐性注冊的賬戶將使云計算模型遭受惡意攻擊。不法分子可能會利用云計算資源來鎖定用戶、組織機構或其他云提供商。濫用云資源的例子包括啟動分布式拒絕服務攻擊、垃圾郵件和網絡釣魚攻擊。

11.拒絕服務(DoS)

DoS攻擊旨在阻止使用服務的用戶訪問其數據或應用程序。通過強迫遭到攻擊的云服務過度消耗有限的系統資源(如處理器能力、內存、磁盤空間或網絡帶寬),攻擊者能夠降低系統處理速度,并使所有合法的服務用戶無法訪問服務。

《深度觀察》在DoS攻擊中以DNS提供商Dyn為例舉例稱,一個外部組織使用Mirai惡意軟件利用他們控制的物聯網設備,對Dyn發動了分布式拒絕服務(DDoS)攻擊。攻擊者之所以成功,是因為受損的物聯網設備使用了默認憑據。報告建議分析異常的網絡流量,并審查和測試業務連續性計劃。

12.共享技術漏洞

CSA指出,云服務提供商通過共享基礎架構、平臺或應用程序提供可擴展的服務。云技術帶來的“……即服務”解決方案有時是以犧牲安全性為代價的,盡管其優勢是不會顯著改變現成的軟硬件。支持云服務部署的基礎設施的基本組件可能在設計時并沒有為多租戶架構或多客戶應用程序提供強大的隔離功能。這導致出現了共享技術漏洞,這些漏洞可能會在所有交付模型中被利用。

《深度觀察》在報告中列舉了Cloudbleed漏洞。外部的不法分子利用軟件中的漏洞從安全服務提供商Cloudflare那里竊取了API密鑰、密碼和其他憑據。該報告建議應對所有敏感數據進行加密,并根據敏感度級別對數據進行隔離。

其他云威脅:Meltdown(熔斷)和Spectre(幽靈)

2018年1月,研究人員公布了大多數現代微處理器中的一個普遍的設計漏洞,該漏洞允許惡意的Javascript代碼從內存中讀取內容,包括加密數據。這一漏洞有兩個變體,分別被稱為Meltdown(熔斷)和Spectre(幽靈),它們能夠影響從智能手機到服務器的所有設備。正是由于這一原因,我們將它們也添加到了這個云威脅列表之中。

Spectre和Meltdown允許旁路攻擊,因為它們打破了應用程序之間的原有隔離。能夠通過非特權登錄訪問系統的攻擊者可以從內核讀取信息,或者如果攻擊者是客戶虛擬機(VM)上的root用戶,那么他們則可以讀取主機內核。

這對云服務提供商來說是一個嚴重的問題。雖然已經有了補丁,但也只是讓攻擊者變得難以發動攻擊而已。與此同時,由于補丁程序可能會降低性能,因此一些企業可能會選擇不修補系統。《計算機安全應急響應組建議報告》(CERT Advisory)建議更換所有受影響的處理器,但是如果還沒有相應的替代品,那么這一建議根本無法做到。

迄今為止,雖然還沒有利用Meltdown或Spectre漏洞的威脅被曝光,但是專家們認為這種威脅可能很快就會出來。云提供商防范它們的最佳建議是確保所有最新的補丁都已到位。客戶應要求其云提供商提供如何響應Meltdown和Spectre的相關信息。

本文作者Bob Violino為Computerworld、CIO、CSO、InfoWorld和Network World網站的特約撰稿人。

原文網址

https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html

?
(function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })();
重庆实时走势图5星综合