12个来自云的安全威胁 招招致命,你不得不防!

云计算在过去的几年来成功发展,当我们的数据变得无维护化,安全问题变得前所未有的重要。云技术带来的便利也存在着一些缺陷。在本文中,珍妮·哈里森(Jenny Harrison)带我们逐个了解需要当心的12个重要的安全威胁。

在过去的十年间,我们见证了云技术应用的前所未有的增长。今天,技术设备被运用在学校、政府机关、商业部门,甚至医院也将数据储存在云中,仅在需要使用的时候提取——俭省了人工劳力。

不幸的是,云技术的便利也存在着一些缺点。最主要的一点就是面对威胁和网络攻击的脆弱性。正如我们熟知的,数据通常被储存在云基础的储存系统中。但是敏感的信息和应用程序也面临着威胁。

幸运的是,亚特兰大州内以及全美内,通过管理服务来使用云储存系统的组织和云安全联盟CS(Cloud Security Alliance)正在全力减轻这些风险。CSA还鼓励企业采取必要措施来预防安全漏洞的出现。

但最小化安全威胁风险和网络犯罪的第一步,是识别出首要的安全威胁。继续阅读以下的图文来了解企业所面临的最显著的安全威胁和顾虑。

转移到云上

对于众多企业,这些顾虑可能会让他们打消转移到云基础服务器的念头。但是云为大小企业都可以提供许许多多的益处。

不要让这些顾虑使你放弃转移。将公司数据转移到云上已经成为了一个必然趋势,并且伴随着巨大的好处,对大小企业都是如此。通过选择正确合适的供应商可以避免风险。

12个云的安全威胁

1数据漏洞

云环境面临着许多和传统企业网络相同的安全威胁,但由于极大量的数据被储存在云服务器上,供应商成为了一个很吸引人的目标。

云供应商通常会部署安全控件来保护其环境,但最终还是需要企业负责自己来保护云中的数据。

●公司可能会面临:诉讼、犯罪指控、调查和商业损失。

2凭证 &证书

数据漏洞和其他攻击通常来源于不严格的认证、较弱的口令和密钥或者证书管理。

企业应当权衡集中身份的便利性和使储存地点变成攻击者的首要目标的风险性。

●采用多种形式的认证,例如:一次性密码、手机认证和智能卡保护。

3界面 &API的入侵

IT团队使用界面和API来管理和与云服务互动,这些服务包括云的供应、管理、编制和监管。

API和界面是系统中最暴露在外的一部分,因为它们通常可以通过开放的互联网进入。CSA也建议进行安全方面的编码检查和严格的进入检测。

●运用API安全成分,例如:认证、进入控制和活动监管。

4已开发的系统的脆弱性

企业和其他企业之间共享记忆、数据库和其他一些资源,形成了新的攻击对象。幸运的是,对系统脆弱性的攻击可以通过使用“基本IT过程”来减轻。

尽快添加补丁——进行紧急补丁的变化控制过程保证了补救措施可以被正确记录,并被技术团队复查。

●容易被攻击的目标:可开发的bug和系统脆弱性。

5账户劫持

钓鱼网站、诈骗和软件开发仍旧在肆虐,云服务又使威胁上升了新的层次,因为攻击者可以窃听活动,操控业务以及篡改数据。

账户,甚至是服务账户,应该被监管,这样每一笔交易都可以追踪到一个所有者。关键点在于保护账户认证不被窃取。

●有效的攻击载体:钓鱼网站、诈骗、软件开发。

6居心叵测的内部人员

内部人员的威胁来自诸多方面:现任或前员工、系统管理者、承包商或者是商业伙伴。恶意的来源十分广泛,包括窃取数据和报复。

单一的依靠云服务供应商来保证安全的系统,例如加密,是最为危险的。有效的日志、监管和审查管理者的活动十分重要。

●企业必须最小化暴露在外的访问:加密过程和密钥、最小化访问。

7APT寄生虫

CSA称高级持续威胁(Advanced Persistent Threats)是一种“寄生性”的攻击。APT通过渗透系统来建立立足点,然后在很长的一段时间内悄悄地窃取数据和知识产权。

IT部门必须及时了解最新的高级攻击。此外,经常地强化通知程序来警示用户,可以减少被APT的迷惑使之进入。

●进入的常见方式:鱼叉式网络钓鱼、直接攻击、USB驱动。

8永久性的数据丢失

关于供应商出错导致的永久性数据丢失的报告已经鲜少出现。但居心叵测的黑客仍会采用永久删除云数据的方式来伤害企业和云数据中心。

遵循政策中通常规定了企必须保留多久的审计记录及其他文件。丢失这些数据会导致严重的监管后果。

●建议云供应商分散数据和应用程序来加强保护:每日备份、线下储存。

9 积极性不足

在没有完全了解环境就使用云的企业会遭遇无数的商业、金融、技术、法律和遵守上的危机。

当部署应用程序到一个特定的云上时,如果一个公司的发展团队缺少对云技术的熟悉了解,就会出现行动上和建筑上的问题。企业必须表现出广泛而适当的积极性来了解他们云服务的风险。

●面对以下几点必须拿出适当的积极性:云的迁移、融合与外包。

10云服务的滥用

云服务可能被强占用来支持不道德的行为,例如利用云计算资源来破解加密密钥从而发起攻击。

客户应当确保供应商提供了报告滥用的机制。虽然客户不一定是恶意行为的直接对象,但云服务的滥用仍会导致服务可用性和数据丢失的问题。

●滥用行为例子包括:分布式拒绝服务(DDoS)攻击、垃圾邮件、包含恶意内容。

11磁盘操作系统(DOS)攻击

DoS攻击已经存在数年,但因为他们经常影响可用性,通过云计算DOS攻击才得以迅猛发展。系统可能会行进缓慢或者超时。

CSA称,云供应商比客户更容易处理DoS攻击。关键在于在攻击出现开始计划如何削弱攻击,这样,管理员可以在需要资源的时候有权限进入。

●DoS的攻击原因多种多样:敲诈勒索、骚扰。

12共享技术、共享危机

共享技术的脆弱性为云计算带来了很大的威胁。云服务供应商共享基础设施、平台以及应用程序,如果脆弱性出现在任何一层内,就会影响所有。

如果一个整体的部分被损坏——例如管理程序、共享的平台部分或者应用程序——就会将整个环境暴露在潜在的威胁和漏洞下。

●CSA推荐深层保护策略:多因素认证、侵入检测系统、网络分割和更新资源。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2017-08-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏PPV课数据科学社区

谁动了我的数据?

编者按:数据泄漏正成为全球互联网企业信息安全的重灾区,最近一段时间,信息泄露事件可谓接二连三。 故事我们先从一只老鼠说起 2017年1月16日,新浪微博上一只老...

31711
来自专栏安恒信息

手机购年货需警惕吸费应用,病毒木马多伪装成电商软件

马年春节即将到来,年货市场提前火爆。与以往不同的是,今年随着智能手机的普及和手机购物方式的流行,手机买年货已经成为时下家庭的首选。然而,手机网购...

3394
来自专栏京东技术

漏洞防御话题BlackHat大会引关注 京东安全推出首款漏洞评估自动化解决方案

日前,网络安全领域的全球最顶级盛会——BlackHat在拉斯维加斯召开。作为网络安全行业公认的最高技术盛会,汇聚了全球最新、最强的安全研究成果,前瞻性议题成为B...

992
来自专栏人工智能快报

研究发现无人机可被用于攻击物联网

以色列魏茨曼科学研究所与加拿大达尔豪斯大学的研究人员指出,ZigBee与Z-Wave无线通信协议对物联网设备尤其是智能灯存在巨大安全隐患。研究人员给无人机配置了...

3457
来自专栏Zchannel

腾讯发布网络隐私报告:电话诈骗竟然有那么多花样

1535
来自专栏程序员宝库

微信又挂了?官方回应,目前已修复;IJCAI最佳论文重磅出炉!印度大佬身家一度超马云成亚洲新首富

7 月 16 日下午,微信公众平台的文章突然出现无法打开的情况,页面显示“系统出错”;不过微信的聊天等功能不受影响。

992
来自专栏黑白安全

流量攻击已形成黑色产业链 江苏四人被提起公诉

利用黑客软件扫描他人电脑,盗取最高管理权限后,非法控制85台计算机,利用这些计算机攻击他人网站,非法获利2万余元。近日,江苏省淮安市洪泽区检察院依法对涉嫌非法控...

741
来自专栏FreeBuf

威胁情报怎么用?

威胁情报在国内已经火了几年,威胁情报怎么用,具体的使用场景是什么,这方面的话题似乎较少。下面想根据个人所知,谈谈这方面,不完善准确的地方也请大家指正。 有些时候...

2506

如何远离网络恐怖之屋

原文地址:https://www.informationsecuritybuzz.com/articles/stay-cyber-house-horrors/

831
来自专栏华章科技

原始数据哪里找?这些网站要用好!|200个国内外经济/金融/行研/咨询数据网站大全

资料搜集是个相当繁琐与累的工作,也是投资入门的基本,良好的信息资料搜集能力有利于我们快速了解投资主体的基本情况,为后续的调研及一手资料的获得打下较好的基础。

4121

扫码关注云+社区

领取腾讯云代金券