论文部分内容阅读
越来越多的数据和应用程序正在向云端迁移,转型同时也带来了一些特殊的信息安全挑战。以下是企业在使用云服务时面临的12个顶级云安全威胁。
云计算正在持续改变着企业使用、存儲和共享数据、应用程序和工作负载的方式。与此同时,这也带来了许多新的安全威胁和挑战。这么多数据进入云端,特别是公有云服务,那么这些资源自然也就成为了不法分子的目标。
市场研究机构Gartner的副总裁兼云安全负责人Jay Heiser表示,“公有云的使用量正在快速增长,因此不可避免地会有大量敏感内容暴露在风险当中。”
与许多人的想法正好相反,保护云端上的企业数据的主要责任不在于服务提供商,而在于云服务的客户。Heiser称:“我们正处于云安全过渡期,重点正从提供商转移到客户身上。企业正在花费大量时间来弄清楚云服务提供商是否‘安全’,但是他们几乎没有得到任何答案。”
为了让企业了解云安全的最新动态,让他们在云部署策略上做出明智的决策,云安全联盟(CSA)已经发布了最新版本的《十二大云计算顶级威胁:行业洞察报告》。
该报告反映了目前CSA社区中的安全专家对最重要的云安全问题的一些共识。虽然云端存在许多安全问题,但是该报告仅列出了按需要使用共享云计算所存在的12个重大问题。后续发布的《云计算顶级威胁:深度观察》列出了关于这12种威胁的案例研究。
为了确定最重要的威胁,CSA对行业专家进行了一项调查,以汇总对最重要的云计算安全问题的专业意见。以下是最重要的云安全问题(严重程度根据调查结果排序):
1.数据泄露
CSA表示,数据泄露可能是有针对性的攻击所追求的结果,或者仅仅是人为错误、应用程序漏洞或安全措施不佳所导致的。其可能涉及任何无意被公布的信息,如个人健康信息、财务信息、个人身份信息、商业机密和知识产权。一个企业的云端数据可能因不同的原因对不同的对象具有不同的价值。数据泄露的风险并非云计算所独有,但它们始终是云客户最关注的问题。
《深度观察》报告将2012年LinkedIn因密码被窃导致发生数据泄露作为了一个重要案例。由于LinkedIn没有对密码数据库进行加密,导致攻击者窃取了1.67亿个密码。该报告指出,这种漏洞的关键要点是,企业应始终对包含用户凭据的数据库进行加密处理,同时采取适当的日志记录和行为异常分析。
2.身份、凭证和访问管理不当
CSA表示,伪装成合法用户、操作员或开发人员的不法分子可以读取、修改和删除数据,发布控制平面和管理功能,窥探传输中的数据或发布貌似合法来源的恶意软件。因此,身份、凭证或密钥管理不当可能会导致未经授权的数据访问,并可能对组织机构或最终用户造成灾难性损害。
《深度观察》报告称,访问管理不当的一个例证是MongoDB数据库的默认安装存在风险。该默认安装会打开一个无需身份验证即可允许访问的端口。报告建议在所有周边设置预防性控制,同时扫描托管的和共享的公共环境中的漏洞。
3.不安全的接口和应用程序编程接口(API)
云服务提供商都会公开一组供客户用来管理云服务并与之交互的软件用户界面(UI)或API。CSA表示,配置、管理和监控都是通过这些接口执行的,一般云服务的安全性和可用性取决于API的安全性。它们需要能够防止意外的和恶意的政策规避操作。
4.系统漏洞
系统漏洞是程序中可利用的漏洞,攻击者可以利用这些漏洞渗透到系统中窃取数据、控制系统或中断服务操作。CSA表示,操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云端中多租户的出现,不同企业的系统彼此相邻,并且可以访问共享内存和资源,从而为攻击者创建了新的攻击面。
5.账户劫持
CSA指出,账户或服务劫持并不新鲜,但是云服务的出现带来了新的威胁。如果攻击者获得了用户凭据的访问权限,他们就可以监控活动和交易、操纵数据、返回伪造信息并将客户端重定向到非法网站。账户或服务实例可能成为攻击者的新跳板。凭借窃取的凭据,攻击者通常可以访问云计算服务的关键区域,从而破坏这些服务的机密性、完整性和可用性。
《深度观察》报告列举了一个例子。Dirty Cow高级持续威胁(APT)小组能够通过弱审查或社会工程接管现有账户来获得系统的root 级控制。该报告建议对访问权限执行“需要知道”和“需要访问”政策,并对账户接管策略有针对性地展开社会工程培训。
6.不怀好意的内部人士
CSA表示,虽然内部威胁的威胁程度还存在争论,但这种威胁是实实在在的威胁。不怀好意的内部人员(如系统管理员)有可能会访问敏感信息,并可以对更关键的系统和最终的数据进行更高级别的访问。系统如果仅依靠云服务提供商的安全性,那么将存在巨大的风险。
该报告举了一名心怀不满的Zynga员工的例子。该员工从公司下载并泄露了机密业务数据。当时整个公司没有制定相关的防丢失控制措施。《深度观察》报告建议实施数据丢失防护(DLP)控制,并制定安全和隐私意识计划,以改进对可疑活动的识别和报告。
7.高级持续威胁(APT)
APT是一种寄生式的网络攻击,它通过向系统渗透以在目标公司的IT基础设施中建立根据地,然后窃取数据。APT在很长一段时间内会悄悄地追踪他们的目标,以适应旨在防御它们的安全措施。CSA表示,一旦到位,APT可以横向移动通过数据中心网络并融入正常的网络流量当中,以实现其目标。
8.数据丢失
CSA表示,存储在云端上的数据可能会因恶意攻击以外的原因而丢失。云服务提供商的意外删除,火灾、地震等物理灾难可导致客户数据永久丢失,除非提供商或云消费者遵循业务连续性和灾难恢复的最佳实践,采取适当措施备份这些数据。 9.尽职调查不彻底
CSA表示,当高管们制定业务战略时,必须要考虑云技术和服务提供商。在评估技术和提供商时,制定完善的路线图和尽职调查清单对于取得全面成功至关重要。急于采用云技术并选择提供商而不进行尽职调查的公司将会面临许多风险。
10.滥用和恶意使用云服务
CSA表示,不安全的云服务部署、免费的云服务试用以及欺诈性注册的账户将使云计算模型遭受恶意攻击。不法分子可能会利用云计算资源来锁定用户、组织机构或其他云提供商。滥用云资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。
11.拒绝服务(DoS)
DoS攻击旨在阻止使用服务的用户访问其数据或应用程序。通过强迫遭到攻击的云服务过度消耗有限的系统资源(如处理器能力、内存、磁盘空间或网络带宽),攻击者能够降低系统处理速度,并使所有合法的服务用户无法访问服务。
《深度观察》在DoS攻击中以DNS提供商Dyn为例举例称,一个外部组织使用Mirai恶意软件利用他们控制的物联网设备,对Dyn发动了分布式拒绝服务(DDoS)攻击。攻击者之所以成功,是因为受损的物联网设备使用了默认凭据。报告建议分析异常的网络流量,并审查和测试业务连续性计划。
12.共享技术漏洞
CSA指出,云服务提供商通过共享基础架构、平台或应用程序提供可扩展的服务。云技术带来的“……即服务”解决方案有时是以牺牲安全性为代价的,尽管其优势是不会显著改变现成的软硬件。支持云服务部署的基础设施的基本组件可能在设计时并没有为多租户架构或多客户应用程序提供强大的隔离功能。这导致出现了共享技术漏洞,这些漏洞可能会在所有交付模型中被利用。
《深度观察》在报告中列举了Cloudbleed漏洞。外部的不法分子利用软件中的漏洞从安全服务提供商Cloudflare那里窃取了API密钥、密码和其他凭据。该报告建议应对所有敏感数据进行加密,并根据敏感度级别对数据进行隔离。
其他云威胁:Meltdown(熔断)和Spectre(幽灵)
2018年1月,研究人员公布了大多数现代微处理器中的一个普遍的设计漏洞,该漏洞允许恶意的Javascript代码从内存中读取内容,包括加密数据。这一漏洞有两个变体,分别被称为Meltdown(熔断)和Spectre(幽灵),它们能够影响从智能手机到服务器的所有设备。正是由于这一原因,我们将它们也添加到了这个云威胁列表之中。
Spectre和Meltdown允许旁路攻击,因为它们打破了应用程序之间的原有隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,或者如果攻击者是客户虚拟机(VM)上的root用户,那么他们则可以读取主机内核。
这对云服务提供商来说是一个严重的问题。虽然已经有了补丁,但也只是让攻击者变得难以发动攻击而已。与此同时,由于补丁程序可能会降低性能,因此一些企业可能会选择不修补系统。《计算机安全应急响应组建议报告》(CERT Advisory)建议更换所有受影响的处理器,但是如果还没有相应的替代品,那么这一建议根本无法做到。
迄今为止,虽然还没有利用Meltdown或Spectre漏洞的威胁被曝光,但是专家们认为这种威胁可能很快就会出来。云提供商防范它们的最佳建议是确保所有最新的补丁都已到位。客户应要求其云提供商提供如何响应Meltdown和Spectre的相關信息。
本文作者Bob Violino为Computerworld、CIO、CSO、InfoWorld和Network World网站的特约撰稿人。
原文网址
https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html
云计算正在持续改变着企业使用、存儲和共享数据、应用程序和工作负载的方式。与此同时,这也带来了许多新的安全威胁和挑战。这么多数据进入云端,特别是公有云服务,那么这些资源自然也就成为了不法分子的目标。
市场研究机构Gartner的副总裁兼云安全负责人Jay Heiser表示,“公有云的使用量正在快速增长,因此不可避免地会有大量敏感内容暴露在风险当中。”
与许多人的想法正好相反,保护云端上的企业数据的主要责任不在于服务提供商,而在于云服务的客户。Heiser称:“我们正处于云安全过渡期,重点正从提供商转移到客户身上。企业正在花费大量时间来弄清楚云服务提供商是否‘安全’,但是他们几乎没有得到任何答案。”
为了让企业了解云安全的最新动态,让他们在云部署策略上做出明智的决策,云安全联盟(CSA)已经发布了最新版本的《十二大云计算顶级威胁:行业洞察报告》。
该报告反映了目前CSA社区中的安全专家对最重要的云安全问题的一些共识。虽然云端存在许多安全问题,但是该报告仅列出了按需要使用共享云计算所存在的12个重大问题。后续发布的《云计算顶级威胁:深度观察》列出了关于这12种威胁的案例研究。
为了确定最重要的威胁,CSA对行业专家进行了一项调查,以汇总对最重要的云计算安全问题的专业意见。以下是最重要的云安全问题(严重程度根据调查结果排序):
1.数据泄露
CSA表示,数据泄露可能是有针对性的攻击所追求的结果,或者仅仅是人为错误、应用程序漏洞或安全措施不佳所导致的。其可能涉及任何无意被公布的信息,如个人健康信息、财务信息、个人身份信息、商业机密和知识产权。一个企业的云端数据可能因不同的原因对不同的对象具有不同的价值。数据泄露的风险并非云计算所独有,但它们始终是云客户最关注的问题。
《深度观察》报告将2012年LinkedIn因密码被窃导致发生数据泄露作为了一个重要案例。由于LinkedIn没有对密码数据库进行加密,导致攻击者窃取了1.67亿个密码。该报告指出,这种漏洞的关键要点是,企业应始终对包含用户凭据的数据库进行加密处理,同时采取适当的日志记录和行为异常分析。
2.身份、凭证和访问管理不当
CSA表示,伪装成合法用户、操作员或开发人员的不法分子可以读取、修改和删除数据,发布控制平面和管理功能,窥探传输中的数据或发布貌似合法来源的恶意软件。因此,身份、凭证或密钥管理不当可能会导致未经授权的数据访问,并可能对组织机构或最终用户造成灾难性损害。
《深度观察》报告称,访问管理不当的一个例证是MongoDB数据库的默认安装存在风险。该默认安装会打开一个无需身份验证即可允许访问的端口。报告建议在所有周边设置预防性控制,同时扫描托管的和共享的公共环境中的漏洞。
3.不安全的接口和应用程序编程接口(API)
云服务提供商都会公开一组供客户用来管理云服务并与之交互的软件用户界面(UI)或API。CSA表示,配置、管理和监控都是通过这些接口执行的,一般云服务的安全性和可用性取决于API的安全性。它们需要能够防止意外的和恶意的政策规避操作。
4.系统漏洞
系统漏洞是程序中可利用的漏洞,攻击者可以利用这些漏洞渗透到系统中窃取数据、控制系统或中断服务操作。CSA表示,操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云端中多租户的出现,不同企业的系统彼此相邻,并且可以访问共享内存和资源,从而为攻击者创建了新的攻击面。
5.账户劫持
CSA指出,账户或服务劫持并不新鲜,但是云服务的出现带来了新的威胁。如果攻击者获得了用户凭据的访问权限,他们就可以监控活动和交易、操纵数据、返回伪造信息并将客户端重定向到非法网站。账户或服务实例可能成为攻击者的新跳板。凭借窃取的凭据,攻击者通常可以访问云计算服务的关键区域,从而破坏这些服务的机密性、完整性和可用性。
《深度观察》报告列举了一个例子。Dirty Cow高级持续威胁(APT)小组能够通过弱审查或社会工程接管现有账户来获得系统的root 级控制。该报告建议对访问权限执行“需要知道”和“需要访问”政策,并对账户接管策略有针对性地展开社会工程培训。
6.不怀好意的内部人士
CSA表示,虽然内部威胁的威胁程度还存在争论,但这种威胁是实实在在的威胁。不怀好意的内部人员(如系统管理员)有可能会访问敏感信息,并可以对更关键的系统和最终的数据进行更高级别的访问。系统如果仅依靠云服务提供商的安全性,那么将存在巨大的风险。
该报告举了一名心怀不满的Zynga员工的例子。该员工从公司下载并泄露了机密业务数据。当时整个公司没有制定相关的防丢失控制措施。《深度观察》报告建议实施数据丢失防护(DLP)控制,并制定安全和隐私意识计划,以改进对可疑活动的识别和报告。
7.高级持续威胁(APT)
APT是一种寄生式的网络攻击,它通过向系统渗透以在目标公司的IT基础设施中建立根据地,然后窃取数据。APT在很长一段时间内会悄悄地追踪他们的目标,以适应旨在防御它们的安全措施。CSA表示,一旦到位,APT可以横向移动通过数据中心网络并融入正常的网络流量当中,以实现其目标。
8.数据丢失
CSA表示,存储在云端上的数据可能会因恶意攻击以外的原因而丢失。云服务提供商的意外删除,火灾、地震等物理灾难可导致客户数据永久丢失,除非提供商或云消费者遵循业务连续性和灾难恢复的最佳实践,采取适当措施备份这些数据。 9.尽职调查不彻底
CSA表示,当高管们制定业务战略时,必须要考虑云技术和服务提供商。在评估技术和提供商时,制定完善的路线图和尽职调查清单对于取得全面成功至关重要。急于采用云技术并选择提供商而不进行尽职调查的公司将会面临许多风险。
10.滥用和恶意使用云服务
CSA表示,不安全的云服务部署、免费的云服务试用以及欺诈性注册的账户将使云计算模型遭受恶意攻击。不法分子可能会利用云计算资源来锁定用户、组织机构或其他云提供商。滥用云资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。
11.拒绝服务(DoS)
DoS攻击旨在阻止使用服务的用户访问其数据或应用程序。通过强迫遭到攻击的云服务过度消耗有限的系统资源(如处理器能力、内存、磁盘空间或网络带宽),攻击者能够降低系统处理速度,并使所有合法的服务用户无法访问服务。
《深度观察》在DoS攻击中以DNS提供商Dyn为例举例称,一个外部组织使用Mirai恶意软件利用他们控制的物联网设备,对Dyn发动了分布式拒绝服务(DDoS)攻击。攻击者之所以成功,是因为受损的物联网设备使用了默认凭据。报告建议分析异常的网络流量,并审查和测试业务连续性计划。
12.共享技术漏洞
CSA指出,云服务提供商通过共享基础架构、平台或应用程序提供可扩展的服务。云技术带来的“……即服务”解决方案有时是以牺牲安全性为代价的,尽管其优势是不会显著改变现成的软硬件。支持云服务部署的基础设施的基本组件可能在设计时并没有为多租户架构或多客户应用程序提供强大的隔离功能。这导致出现了共享技术漏洞,这些漏洞可能会在所有交付模型中被利用。
《深度观察》在报告中列举了Cloudbleed漏洞。外部的不法分子利用软件中的漏洞从安全服务提供商Cloudflare那里窃取了API密钥、密码和其他凭据。该报告建议应对所有敏感数据进行加密,并根据敏感度级别对数据进行隔离。
其他云威胁:Meltdown(熔断)和Spectre(幽灵)
2018年1月,研究人员公布了大多数现代微处理器中的一个普遍的设计漏洞,该漏洞允许恶意的Javascript代码从内存中读取内容,包括加密数据。这一漏洞有两个变体,分别被称为Meltdown(熔断)和Spectre(幽灵),它们能够影响从智能手机到服务器的所有设备。正是由于这一原因,我们将它们也添加到了这个云威胁列表之中。
Spectre和Meltdown允许旁路攻击,因为它们打破了应用程序之间的原有隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,或者如果攻击者是客户虚拟机(VM)上的root用户,那么他们则可以读取主机内核。
这对云服务提供商来说是一个严重的问题。虽然已经有了补丁,但也只是让攻击者变得难以发动攻击而已。与此同时,由于补丁程序可能会降低性能,因此一些企业可能会选择不修补系统。《计算机安全应急响应组建议报告》(CERT Advisory)建议更换所有受影响的处理器,但是如果还没有相应的替代品,那么这一建议根本无法做到。
迄今为止,虽然还没有利用Meltdown或Spectre漏洞的威胁被曝光,但是专家们认为这种威胁可能很快就会出来。云提供商防范它们的最佳建议是确保所有最新的补丁都已到位。客户应要求其云提供商提供如何响应Meltdown和Spectre的相關信息。
本文作者Bob Violino为Computerworld、CIO、CSO、InfoWorld和Network World网站的特约撰稿人。
原文网址
https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html