2018年12大顶级云安全威胁

如今,云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是与此同时,它也引发了一系列新的安全威胁和挑战。随着越来越多的数据进入云端,尤其是进入公共云服务,这些资源自然而然地就沦为了网络犯罪分子的目标。

公共云的利用率正在快速增长,因此不可避免地将会导致更多的敏感内容置于潜在风险威胁之中。但是,与许多人认为的刚好相反,保护云端中的企业数据的主要责任不在于云服务提供商,而在于云客户本身。我们正处在一个云安全过渡期,重点正从供应商转向客户。

很多企业开始认识到,花费大量时间来判断某个特定的云服务提供商是否“安全”,几乎得不到任何结果,因为主要责任在于使用者自身。

为了让企业了解云安全问题,以便他们能够就云采用策略做出明智的决策,云安全联盟(CSA)近日发布了最新版本的《12大顶级云安全威胁:行业见解报告》。

这一报告反映了云计算安全联盟(CSA)安全专家当前就云计算中最重要的安全问题所达成的共识。云计算安全联盟表示,尽管目前云中存在许多安全问题,但这份报告的重点聚焦在12个涉及云计算的共享和按需特性方面的威胁。

为了确定用户最关心的问题,云计算安全联盟对行业专家进行了一次调查,就云计算中最严重的安全问题编写了一些专业意见及建议。以下是12个最严重的云安全问题的具体内容(按照调查结果的严重程度排序):

1. 数据泄露

云计算安全联盟表示,数据泄露可能是有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳所导致的后果。这可能涉及任何非公开发布的信息,其中包括个人健康信息、财务信息、个人身份信息(PII)、商业机密以及知识产权等。由于不同的原因,组织基于云端的数据可能会对不同的组织具有更大的价值。数据泄露的风险并不是云计算所独有的,但它始终是云计算用户需要首要考虑的因素。

2. 身份、凭证和访问管理不足

云计算安全联盟表示,恶意行为者会通过伪装成合法用户、运营人员或开发人员来读取、修改和删除数据;获取控制平台和管理功能;在传输数据的过程中进行窥探,或释放看似来源于合法来源的恶意软件。因此,身份认证不足、凭证或密钥管理不善都可能会导致未经授权的数据访问行为发生,由此可能对组织或最终用户造成灾难性的损害。

3. 不安全的接口和应用程序编程接口(API)

云计算安全联盟表示,云服务提供商会公开一组客户使用的软件用户界面(UI)或API来管理和与云服务进行交互。其配置、管理和监控都是通过这些接口来实现执行的,一般来说,云服务的安全性和可用性也都取决于API的安全性。它们需要被设计用来防止意外和恶意的绕过安全协议的企图。

4. 系统漏洞

系统漏洞是系统程序中存在的可用漏洞,利用这些漏洞,攻击者能够渗透进系统,并窃取数据、控制系统或中断服务操作。云计算安全联盟表示,操作系统组件中存在的漏洞,使得所有服务和数据的安全性都面临了重大的安全风险。随着云端多租户形式的出现,来自不同组织的系统开始呈现彼此靠近的局面,且允许在同一平台/云端的用户都能够访问共享内存和资源,这也导致了新的攻击面的出现,扩大了安全风险。

5. 账户劫持

云计算安全联盟指出,账户或服务劫持并不是什么新鲜事物,但云服务为这一景观增添了新的威胁。如果攻击者获得了对用户凭证的访问权限,他们就能够窃听用户的活动和交易行为,操纵数据,返回伪造的信息并将客户重定向到非法的钓鱼站点中。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性以及可用性。

6. 恶意的内部人员

云计算安全联盟表示,虽然内部人员造成的威胁程度是存在争议的,但不可否认的是,内部威胁确实是一种实实在在的威胁。一名怀有恶意企图的内部人员(如系统管理员),他们能够访问潜在的敏感信息,并且可以越来越多地访问更重要的系统,并最终访问到机密数据。仅仅依靠云服务提供商提供安全措施的系统势必将面临更大的安全风险。

7. 高级持续性威胁(APT)

高级持续性威胁(APT)是一种寄生式的网络攻击形式,它通过渗透到目标公司的IT基础设施来建立立足点的系统,并从中窃取数据。高级持续性威胁(APT)通常能够适应抵御它们的安全措施,并在目标系统中“潜伏”很长一段时间。一旦准备就绪(如收集到足够的信息),高级持续性威胁(APT)就可以通过数据中心网络横向移动,并与正常的网络流量相融合,以实现他们的最终目标。

8. 数据丢失

云计算安全联盟表示,存储在云中的数据可能会因恶意攻击以外的原因而丢失。云计算服务提供商的意外删除行为、火灾或地震等物理灾难都可能会导致客户数据的永久性丢失,除非云服务提供商或云计算用户采取了适当的措施来备份数据,遵循业务连续性的最佳实践,否则将无法实现灾难恢复。

9. 尽职调查不足

云计算安全联盟表示,当企业高管制定业务战略时,必须充分考虑到云计算技术和服务提供商。在评估云技术和服务提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的成功机会可谓至关重要。而在没有执行尽职调查的情况下,就急于采用云计算技术并选择提供商的组织势必将面临诸多安全风险。

10. 滥用和恶意使用云服务

云计算安全联盟指出,云服务部署不充分,免费的云服务试用以及通过支付工具欺诈进行的欺诈性账户登录,将使云计算模式暴露于恶意攻击之下。恶意行为者可能会利用云计算资源来定位用户、组织或其他云服务提供商。其中滥用云端资源的例子包括启动分布式拒绝服务攻击(DDoS)、垃圾邮件和网络钓鱼攻击等。

11. 拒绝服务(DoS)

拒绝服务(DoS)攻击旨在防止服务的用户访问其数据或应用程序。拒绝服务(DoS)攻击可以通过强制目标云服务消耗过多的有限系统资源(如处理器能力,内存,磁盘空间或网络带宽),来帮助攻击者降低系统的运行速度,并使所有合法的用户无法访问服务。

12. 共享的技术漏洞

云计算安全联盟指出,云计算服务提供商通过共享基础架构、平台或应用程序来扩展其服务。云技术将“即服务”(as-a-service)产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云计算服务部署的底层组件,可能并未设计成为“多租户”架构或多客户应用程序提供强大的隔离性能。这可能会导致共享技术漏洞的出现,并可能在所有交付模式中被恶意攻击者滥用。

(来源:安全牛)

本文来自企鹅号 - 金融时代网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

2018年要考虑的12大云安全威胁

导语 如今,云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端,尤其是进入公共云服务,这...

22370
来自专栏云计算D1net

社交网络信息安全:规避云计算风险

云计算用在 BYOD 及社交网络这两种最新的、最热门的 IT 应用,特别会引起人们的注意,这是因为它们引起了新的安全问题。 第一个问题是: BYOD 为何会如此...

40360
来自专栏我就是马云飞

移动开发死亡潮来了!!!

我预计在接下来的3-7年中,大多数的移动应用都会消亡。在这个过程中,我们将目睹数十亿投入到移动创业板块的风险投资将惨遭损失。这些资金都会化为灰烬,不剩下任何东西...

10520
来自专栏FreeBuf

安全CDN市场分析 | 动作频出的背后,我们看到一个有野心的Incapsula

Incapsula 是一家专注于提供安全 CDN 服务的公司,以 DDoS 缓解方案与 Web 应用安全而闻名。最近也开始动作频繁,忙于在安全领域布局,它是否能...

43240
来自专栏ThoughtWorks

数据安全在交付中的思考 |洞见

2017年7月,Equifax用户数据泄露事件使得1亿4千300万个人信息(包括社会保障号码、出生日期、地址、驾照编号)和20万9千个用户的信用卡数据被盗。该事...

13820
来自专栏机器人网

模仿“肠蠕动”,日本新型机器人更安全地制造火箭燃料

据外媒报道,现在常用的火箭燃料要体积小,重量轻,但发出的热量要大,这样才能减轻火箭的重量 , 使卫星(飞船)快速地送上轨道。在固体燃料的制造过程中,由于需要混合...

38460
来自专栏智能计算时代

物联网安全问题和障碍

物联网安全问题和障碍 ? IoT安全性 - 为什么我们需要保护物联网,我们看到安全是任何IoT系统绝对关键的组成部分。如果没有适当的安全性,脆弱的设备可能会威胁...

33740
来自专栏云计算D1net

2018年要考虑的12大云安全威胁

导语 如今,云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端,尤其是进入公共云服务,这...

434140
来自专栏云计算D1net

Windows Azure锁定企业市场

在经历了缓慢的起步阶段后,微软Windows Azure最终在新兴的云服务市场中逐渐站稳了脚跟。 如今,微软仍继续把Windows Azure云服务的目...

27940
来自专栏养码场

一周播报| 实体零售正迈向大数据和O2O的DT时代:阿里224亿拿下大润发、欧尚超市!

求教各位老铁们,用户中心项目某一功能在压测下到达4000的TPS,这算是什么水准?薪资可以拿到20K+吗?

9310

扫码关注云+社区

领取腾讯云代金券