云計(jì)算的11類頂級威脅

來源：云安全聯(lián)盟CSA 時(shí)間：2020-09-04 15:29:26 作者：

　　如今，越來越多的企業(yè)正在將數(shù)據(jù)和應(yīng)用程序遷移到云中，這帶來了獨(dú)特的信息安全挑戰(zhàn)。日前，CSA大中華區(qū)發(fā)布了新版本的《云計(jì)算的11類頂級威脅》（中文版），本報(bào)告主要關(guān)注11個(gè)與云計(jì)算的共享、按需特性相關(guān)的問題。

　　“頂級威脅”報(bào)告旨在提高對云平臺威脅、風(fēng)險(xiǎn)和漏洞的認(rèn)識，此類問題通常由云計(jì)算按需和共享的天生特征導(dǎo)致。

　　數(shù)據(jù)泄露

　　數(shù)據(jù)泄露是指敏感、受保護(hù)或機(jī)密信息被未經(jīng)授權(quán)的個(gè)人發(fā)布、查看、竊取或使用的網(wǎng)絡(luò)安全事件。數(shù)據(jù)泄露可能是蓄意攻擊的主要目的，也可能僅僅是人為錯(cuò)誤、應(yīng)用程序漏洞或安全措施不足的結(jié)果。

　　數(shù)據(jù)泄露涉及任何非公開發(fā)布的信息，包括但不限于個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人可識別信息（PII）、商業(yè)秘密和知識產(chǎn)權(quán)。

　　配置錯(cuò)誤和變更控制不足

　　當(dāng)計(jì)算資產(chǎn)設(shè)置不正確時(shí)，就會產(chǎn)生配置錯(cuò)誤，這時(shí)常會使它們面對惡意活動時(shí)倍顯脆弱。一些常見的例子包括：

　　不安全的數(shù)據(jù)存儲要素（元素）或容器

　　過多的權(quán)限

　　默認(rèn)憑證和配置設(shè)置保持不變

　　標(biāo)準(zhǔn)的安全控制措施被禁用

　　云資源的配置錯(cuò)誤是導(dǎo)致數(shù)據(jù)泄露的主要原因，可能會導(dǎo)致刪除或修改資源以及服務(wù)中斷。

　　缺乏云安全架構(gòu)和策略

　　放眼全球，各組織均在逐步把他們的部分IT基礎(chǔ)設(shè)施遷移到公有云之上。在遷移過渡期中，最大的挑戰(zhàn)之一就是實(shí)現(xiàn)能夠承受網(wǎng)絡(luò)攻擊的安全架構(gòu)。

　　無論公司規(guī)模大小，對于云上遷移、部署、使用而言，合適的安全架構(gòu)和策略都是必要的。成功的網(wǎng)絡(luò)攻擊會對業(yè)務(wù)造成嚴(yán)重的影響，包括財(cái)務(wù)損失、聲譽(yù)受損、法律后果和罰款等。

　　身份，憑證，訪問和密鑰管理不足

　　云計(jì)算對傳統(tǒng)內(nèi)部系統(tǒng)的身份和訪問管理（IAM）方面引入了多種變化。這些不一定是新問題。相反，在云計(jì)算中這些是更重要的問題，因?yàn)樵朴?jì)算會深刻影響身份，憑據(jù)和訪問管理。由于以下原因，可能會造成安全事件及數(shù)據(jù)泄露：

　　憑據(jù)保護(hù)不足

　　缺乏加密秘鑰、密碼和證書的定期自動更新機(jī)制

　　缺乏可擴(kuò)展的身份、憑據(jù)及訪問控制系統(tǒng)

　　無法使用多因子認(rèn)證方式

　　無法使用強(qiáng)密碼

　　帳戶劫持

　　帳戶劫持是一種威脅，在這種威脅中，惡意攻擊者可能獲得并濫用特權(quán)或敏感帳戶。在云環(huán)境中，風(fēng)險(xiǎn)最高的帳戶是云服務(wù)或訂閱賬戶。

　　帳戶和服務(wù)劫持意味著完全的失陷：對帳戶、其服務(wù)以及內(nèi)部數(shù)據(jù)的控制。在這種情況下，跟帳戶相關(guān)的所有業(yè)務(wù)邏輯、功能、數(shù)據(jù)和應(yīng)用程序都有風(fēng)險(xiǎn)這種失陷的后果有時(shí)很嚴(yán)重。

　　內(nèi)部威脅

　　內(nèi)部威脅可能導(dǎo)致專有信息和知識產(chǎn)權(quán)的損失。與攻擊相關(guān)的系統(tǒng)停機(jī)時(shí)間會對公司的生產(chǎn)效率產(chǎn)生負(fù)面影響。此外，數(shù)據(jù)丟失或?qū)ζ渌蛻魝档蛯痉?wù)的信心。處理內(nèi)部安全事件涉及遏制、補(bǔ)救、事件響應(yīng)、調(diào)查、事后分析、升級、監(jiān)控和監(jiān)視。這些活動可以大大增加公司的工作量和安全預(yù)算。

　　波尼蒙研究所（PonemonInstitute）報(bào)告稱，在接受采訪的公司中，2017年（每家公司）內(nèi)部事件的平均成本超過870萬美元，最高成本高達(dá)2650萬美元

　　不安全的接口和API

　　設(shè)計(jì)不良的API可能會被濫用，甚至數(shù)據(jù)泄露。被破壞，暴露或黑客攻擊的API已導(dǎo)致了一些重大的數(shù)據(jù)泄露。組織必須了解設(shè)計(jì)接口并將它們放到Internet上所必須的安全要求。

　　控制平面薄弱

　　薄弱的控制面可能會因被竊取或損壞而導(dǎo)致數(shù)據(jù)丟失。這可能會導(dǎo)致巨大的業(yè)務(wù)影響，特別是在數(shù)據(jù)丟失中包括私人用戶數(shù)據(jù)。還可能招致對數(shù)據(jù)丟失的監(jiān)管處罰。例如，根據(jù)歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）的規(guī)定，產(chǎn)生的罰款可能高達(dá)2000萬歐元-或全球收入的4%。

　　元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)失效

　　元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)是云服務(wù)的關(guān)鍵組件。云服務(wù)提供商在這些功能上的故障可能會嚴(yán)重影響所有云服務(wù)的用戶。同時(shí)，云租戶的錯(cuò)誤配置，可能會在財(cái)務(wù)和操作上對用戶帶來困擾。

　　有限的云使用可見性

　　當(dāng)組織不具備可視化和分析組織內(nèi)使用云服務(wù)是安全的還是非安全、不當(dāng)?shù)哪芰r(shí)，就會出現(xiàn)有限的云使用可見性。這個(gè)概念被分解為兩個(gè)關(guān)鍵的挑戰(zhàn)：

　　未經(jīng)批準(zhǔn)的應(yīng)用程序使用:當(dāng)員工使用云應(yīng)用程序和資源而沒有獲得公司IT和安全部門的特別許可和支持時(shí)，就會發(fā)生這種情況。

　　批準(zhǔn)程序?yàn)E用：企業(yè)往往無法分析使用授權(quán)應(yīng)用程序的內(nèi)部人員是如何使用其已獲批準(zhǔn)的應(yīng)用程序的。

　　濫用及違法使用云服務(wù)

　　惡意攻擊者可能會利用云計(jì)算能力來攻擊用戶、組織以及云供應(yīng)商，也會使用云服務(wù)來搭建惡意軟件。。

　　一旦攻擊者成功入侵客戶的云基礎(chǔ)設(shè)施管理平臺，攻擊者可以利用云服務(wù)來做非法事情，而客戶還需要對此買單。如果攻擊者一直在消耗資源，比如進(jìn)行電子貨幣挖礦，那客戶還需一直為此而買單。

　　另外，攻擊者還可以使用云來存儲和傳播惡意或釣魚攻擊。公司必須要注意該風(fēng)險(xiǎn)，并且有辦法來處理這些新型攻擊方式。這可以包含對云上基礎(chǔ)架構(gòu)或云資源API調(diào)用進(jìn)行安全監(jiān)控。

　　報(bào)告還顯示，拒絕服務(wù)，共享技術(shù)漏洞以及云服務(wù)提供商數(shù)據(jù)丟失和系統(tǒng)漏洞之類的問題，已不在本報(bào)告之列。這表明，由云服務(wù)提供商負(fù)責(zé)的傳統(tǒng)安全問題似乎已經(jīng)有效的緩解。

　　報(bào)告如下

責(zé)任編輯：姚治