2018年我们将面临哪些云数据安全问题?

总部位于密苏里州圣路易斯的TierPoint公司,是一家私人投资支持的主机托管和混合云服务供应商,目前已迅速成为数据中心行业一支不可忽视的力量。TierPoint经营着39个数据中心,数据中心空间共计超过60万平方英尺,遍布美国18个州21个市场。经过仅仅5年的发展,它从一个小型本地数据中心整合者,演变成为一家为多个区域市场提供混合IT解决方案的成熟数据中心供应商。

对于数据安全问题,TierPoint也有自己的见解。2018年我们将面临哪些云数据安全问题?TierPoint提出了以下5种威胁。

1.共享技术中的漏洞

一般来说,采购云服务也就意味着你默认与该供应商的其它客户共享他们的基础架构、平台或应用。供应商的底层基础架构应该在多租户基础架构(IaaS)、平台即服务(PaaS)或软件即服务(SaaS)解决方案的客户之间采取强大的隔离措施(但在实际情况中,真正做到这一点的供应商到底有多少我们无从得知)。

诸如管理程序之类的共享平台组件中一旦产生漏洞或配置错误,攻击者就有可能趁虚而入,攻击该供应商系统,最终殃及大部分甚至所有客户的云端数据,造成后果极为严重的信息泄露事件。

保护云数据安全的关键措施之一就是针对共享基础架构管理制定严格的流程。围绕客户端实现和数据管理的最佳实践有助于防范共享技术的漏洞。此外,还需要对内部服务交付和面向客户的资源进行例行的漏扫和以合规为重点的扫描。

2.DDoS攻击

DDoS攻击指的是通过受感染计算机/互联网设备上的僵尸网络发送大量垃圾流量,导致整个网络、网站和应用程序彻底瘫痪的过程。最著名的案例之一发生在2016年10月,DNS服务提供商Dyn公司的Managed DNS基建遭遇了一波非常严重的DDoS攻击,不仅是Dyn,整个美国、欧洲的主要网站均沦陷。

DDoS攻击还有一个容易被人忽略的危害属性是为数据盗窃、恶意软件感染“打掩护”,最终对云数据安全产生威胁。例如,英国电信运营商Carphone Warehouse曾在2015年曝光受到大量在线流量的攻击,同时240万在线用户的个人信息被窃取,其中包含加密的信用卡数据。

更悲催的是,DDoS攻击发起成本低廉、持续时间长(数小时甚至数天)。有资料显示,花150美金就能在暗网上买到针对小型组织展开为期一周的攻击服务。

3. Web API恶意利用

Web service接口(也称为web API或应用程序编程接口)能够为开发人员和黑客提供云应用程序的控制权。web API的“合法”作用是提供集成、管理、监控以及其它云服务。Web API一旦落入非法用户之手,他们就有可能访问敏感数据、禁用服务器、更改应用程序配置设置、通过云资源窃取发起其它攻击,最终对云数据安全产生严重危害。

云API中的数据安全往往比较脆弱。RedLock在其2017年的《云基础架构安全趋势》报告中提出40%使用云存储服务的企业无意中都公开了一项或多项此类服务。

为了增强云数据的安全性,云服务API应通过加密密钥进行访问,用于API合法用户的验证。开发人员和云提供商都应将其密钥存储在安全的文件存储或硬件设备中。

4.勒索软件

美国联邦调查局有资料显示,2016年每天发生4000起勒索软件攻击事件,相比2015年增长了300%。2017年,“想哭”勒索软件损毁了全球无数企事业单位的海量数据。其中全球制药业巨头Merck因为“想哭”终止了其生产和配方作业,一个月后,又因勒索软件的破坏导致无法完成订单交付。

勒索病毒的传播途径多样,例如受感染的电子邮件、视频、PDF或网站,能够连接的设备或者通过密码破解进行感染。思科在其2017年年中网络安全报告中指出,越来越多单位的安全措施都在不断完善,因此很多犯罪分子又开始采用电子邮件这种传统的感染方式——看似无害的邮件内容,以及带宏病毒的邮件附件。

勒索软件会对受感染计算机中的一切加密,因此我们必须在云上或另一个系统中进行资料备份。

5.APT高级持续性威胁

狡猾的APT威胁能够完美地藏匿于计算基础架构中,持续数月甚至数年地在目标受害者的网络中窃取数据、知识产权,获取不法经济利益或从事网络间谍活动。通常来说,APT威胁检测难度大,防御方式也不断演变。APT所造成的数据泄露往往发生于无形之中,发现难度大。

云安全联盟在其《The Treacherous 12–Top Threats to Cloud Computing + Industry Insights》报告中指出,APT威胁通过鱼叉式钓鱼、直接攻击、USB设备中的攻击代码等技术或通过对合作方网络的渗透以及使用不安全的或第三方网络等方式潜入包括云服务在内的系统。

TierPoint研究人员认为,高级安全控制措施和严格的流程管理是防范云数据安全威胁的关键。除此之外,针对数据内容本身的安全防护也至关重要,在面对各种漏洞和攻击时,如果已经对需要保护的核心数据做了检查定位、脱敏和监控等技术手段的防护,那么云数据的安全风险将大大降低。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-02-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏云计算D1net

医疗机构最终会将业务迁移到云端吗?

在组织的数据被勒索软件加密后,想要恢复几乎是不可能的,因此,预防似乎是最安全的解决方案。第一步是定期创建敏感数据的安全备份。请记住,在勒索软件攻击的情况下,组织...

1164
来自专栏黑白安全

流氓黑客试图以 5000 万美元出售 iPhone 恶意软件

据外媒BGR报道,大约两年前,安全研究人员发现当时被称为世界上最先进的手机黑客软件。这个工具被称为Pegasus ,是一家名为NSO Group的以色列安全公司...

1052
来自专栏云计算D1net

如何应对云应用带来的安全问题?

云计算时代,IT安全专家承担着管理安全的重担,因为他们面临的是日益复杂的基于云的威胁。 安全专家需要的是深入理解云,其目的是理解最新的威胁,并找到强化防御的方法...

3494

如何远离网络恐怖之屋

原文地址:https://www.informationsecuritybuzz.com/articles/stay-cyber-house-horrors/

861
来自专栏FreeBuf

自动化合规测试工具InSpec 2.0促进DevSecOps发展

在当前的网络空间形势下,软件开发者需要在开发阶段就考虑到安全问题,因此应用程序上线前针对各种法律法规的合规测试也极为重要。合规测试实施起来困难且耗时,测试结果也...

2297
来自专栏FreeBuf

由大型物联网僵尸网络驱动的DDoS攻击

基于物联网设备的僵尸网络 随着信息安全技术的不断发展,物联网僵尸网络现在也成为了信息安全领域内最为危险的安全威胁之一。近期,我们检测到了两起由这些物联网基础设施...

2339
来自专栏FreeBuf

威胁情报怎么用?

威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少。下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正。 有些时候...

2606
来自专栏京东技术

漏洞防御话题BlackHat大会引关注 京东安全推出首款漏洞评估自动化解决方案

日前,网络安全领域的全球最顶级盛会——BlackHat在拉斯维加斯召开。作为网络安全行业公认的最高技术盛会,汇聚了全球最新、最强的安全研究成果,前瞻性议题成为B...

1102
来自专栏云ERP

什么是仓库管理仓管云来告诉你

  仓储管理的基本原则分别为:效率的原则,仓储作业管理的核心是效率管理。经济效益的原则,作为参与市场经济活动主体之一的仓储业,也应围绕着获得最大经济效益的目的进...

2163
来自专栏云计算D1net

12个来自云的安全威胁 招招致命,你不得不防!

云计算在过去的几年来成功发展,当我们的数据变得无维护化,安全问题变得前所未有的重要。云技术带来的便利也存在着一些缺陷。在本文中,珍妮·哈里森(Jenny Har...

3618

扫码关注云+社区

领取腾讯云代金券