摘要:在本文中,我們將為廣大讀者介紹當(dāng)企業(yè)組織選擇采用云服務(wù)時(shí)將面臨的12大頂級(jí)云安全威脅。現(xiàn)如今的企業(yè)組織已經(jīng)不再糾結(jié)于是否要勇于面臨風(fēng)險(xiǎn),將他們的應(yīng)用程序和數(shù)據(jù)遷移到云服務(wù)了。相反,他們已經(jīng)大膽的實(shí)施了遷移項(xiàng)目了——但安全性仍然是他們所嚴(yán)重關(guān)切的一大問(wèn)題。而顯然,想要最大限度地減少在云中風(fēng)險(xiǎn)的第一步便是要搞清楚具體都有哪些頂級(jí)云安全威脅。
在上周召開(kāi)的RSA會(huì)議上,CSA(云安全聯(lián)盟)列出的“Treacherous 12”,即企業(yè)組織在2016年將面臨的12大頂級(jí)云計(jì)算安全威脅。CSA發(fā)布了相關(guān)的報(bào)告,來(lái)幫助云客戶和供應(yīng)商加強(qiáng)他們的防御力度。
云計(jì)算的共享、按需的性質(zhì),自然帶來(lái)了新的安全漏洞,從而可能抵消了企業(yè)用戶遷移到使用云技術(shù)所帶來(lái)的任何收益,CSA警告說(shuō)。在CSA之前所發(fā)布的報(bào)告中指出,云服務(wù)天生的性質(zhì)決定了其能夠使得用戶繞過(guò)整個(gè)企業(yè)組織的安全政策,并在服務(wù)的影子IT項(xiàng)目中建立自己的賬戶。因此,必須采取新的管制措施,并將其落實(shí)到位了。
“這項(xiàng)2016年頂級(jí)云安全威脅名單的發(fā)布,反映了企業(yè)管理隊(duì)伍所作出的糟糕的云計(jì)算決策將產(chǎn)生可怕的后果。”CSA的研究執(zhí)行副總裁J.R. Santos表示說(shuō)。
安全威脅1:數(shù)據(jù)泄露
在云環(huán)境中其實(shí)面臨著許多與傳統(tǒng)企業(yè)網(wǎng)絡(luò)相同的安全威脅,但由于大量的數(shù)據(jù)存儲(chǔ)在云服務(wù)器,使得云服務(wù)供應(yīng)商成為了一個(gè)更具吸引力的攻擊目標(biāo)。潛在損害的嚴(yán)重程度往往取決于數(shù)據(jù)的敏感性。暴露了個(gè)人財(cái)務(wù)信息往往會(huì)成為頭條新聞,但其實(shí)涉及到涉及健康信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)的數(shù)據(jù)泄漏往往是更具破壞性的。
當(dāng)發(fā)生數(shù)據(jù)泄露事故時(shí),企業(yè)組織可能會(huì)被罰款,他們甚至可能會(huì)面臨訴訟或刑事指控。而相應(yīng)的違規(guī)調(diào)查活動(dòng)和客戶通知會(huì)耗費(fèi)大量的成本。而間接的惡性影響,還包括諸如企業(yè)品牌損失和業(yè)務(wù)損失,甚至可能會(huì)影響企業(yè)組織多年的時(shí)間而無(wú)法翻身。
云服務(wù)供應(yīng)商通常都會(huì)部署安全控制來(lái)保護(hù)他們的環(huán)境。但最終,企業(yè)組織都需要負(fù)責(zé)保護(hù)他們存儲(chǔ)在云中的數(shù)據(jù)。CSA建議企業(yè)組織使用多因素身份驗(yàn)證和加密的方式,來(lái)盡量防止數(shù)據(jù)泄露事故的發(fā)生。
安全威脅2:憑據(jù)或身份驗(yàn)證遭到攻擊或破壞
數(shù)據(jù)泄露和其他攻擊經(jīng)常是由于企業(yè)組織內(nèi)部松散的身份驗(yàn)證、弱密碼、和糟糕的密鑰或證書管理所造成的。由于企業(yè)組織試圖將權(quán)限分配給相應(yīng)的工作職位上的員工用戶,故而經(jīng)常需要處理身份管理的問(wèn)題。更重要的是,當(dāng)某個(gè)工作職能發(fā)生改變或某位用戶離開(kāi)該企業(yè)組織時(shí),他們有時(shí)會(huì)忘記刪除該用戶的訪問(wèn)權(quán)限
諸如一次性密碼、手機(jī)認(rèn)證和智能卡認(rèn)證這樣的多因素認(rèn)證系統(tǒng)能夠保護(hù)云服務(wù),因?yàn)檫@些手段可以讓攻擊者很難利用其盜取的密碼來(lái)登錄企業(yè)系統(tǒng)。例如,在美國(guó)第二大醫(yī)療保險(xiǎn)服務(wù)商Anthem公司數(shù)據(jù)泄露事件中,導(dǎo)致有超過(guò)8000萬(wàn)客戶的個(gè)人信息被暴露,就是因?yàn)橛脩魬{據(jù)被盜所導(dǎo)致的結(jié)果。Anthem公司沒(méi)有部署多因素認(rèn)證,所以一旦攻擊者獲得憑證,就會(huì)導(dǎo)致大麻煩。
許多開(kāi)發(fā)人員誤將憑證和密鑰嵌入到了源代碼中,并將其發(fā)布到了諸如GitHub等面向公眾的存儲(chǔ)庫(kù)。密鑰需要進(jìn)行適當(dāng)?shù)谋Wo(hù),而安全的公共密鑰基礎(chǔ)設(shè)施是必要的,CSA表示說(shuō)。他們還需要定期修改密鑰,從而使得攻擊者在沒(méi)有獲得授權(quán)的情況下更難利用他們所盜取的密鑰了。
那些計(jì)劃與云服務(wù)提供商聯(lián)合采取身份驗(yàn)證措施的企業(yè)組織需要了解他們的云服務(wù)提供商所采用的安全措施,以便保護(hù)身份驗(yàn)證平臺(tái)。將身份驗(yàn)證集中到一個(gè)單一的存儲(chǔ)庫(kù)中有其風(fēng)險(xiǎn)。企業(yè)組織需要在集中方便的身份驗(yàn)證與面臨成為攻擊者最高價(jià)值攻擊目標(biāo)存儲(chǔ)庫(kù)的風(fēng)險(xiǎn)之間進(jìn)行權(quán)衡取舍。
安全威脅3:接口和API被黑客攻擊
現(xiàn)如今,幾乎每一款云服務(wù)和應(yīng)用程序均提供API。IT團(tuán)隊(duì)使用接口和API來(lái)管理,并實(shí)現(xiàn)與云服務(wù)的交互,包括提供云服務(wù)的配置、管理、業(yè)務(wù)流程協(xié)調(diào)和監(jiān)控的服務(wù)。
云服務(wù)的安全性和可用性——從身份認(rèn)證和訪問(wèn)控制再到加密和活動(dòng)監(jiān)測(cè)——均需要依賴于API的安全性。隨著依賴于這些API和建立在這些接口上的第三方服務(wù)的增加,相應(yīng)的安全風(fēng)險(xiǎn)也在增加,企業(yè)組織可能需要提供更多的服務(wù)和憑據(jù),CSA警告稱。糟糕的接口和API或?qū)⒈┞冻銎髽I(yè)組織在保密性、完整性、可用性和問(wèn)責(zé)制方面的安全問(wèn)題。
API和接口往往是企業(yè)系統(tǒng)中最容易被暴露的部分,因?yàn)樗鼈兺ǔJ峭ㄟ^(guò)開(kāi)放的互聯(lián)網(wǎng)訪問(wèn)的。CSA建議,企業(yè)組織應(yīng)當(dāng)將適當(dāng)控制作為“防御和檢測(cè)的第一線”,而安全威脅模型應(yīng)用程序和系統(tǒng)建模,包括數(shù)據(jù)流和系統(tǒng)架構(gòu)設(shè)計(jì),便成為了開(kāi)發(fā)生命周期的重要組成部分。CSA還建議,安全工作應(yīng)當(dāng)重點(diǎn)關(guān)注在代碼審查和嚴(yán)格的滲透測(cè)試方面。
安全威脅4:利用系統(tǒng)漏洞
系統(tǒng)漏洞,或利用程序中的bug,并不是什么新聞了,但他們的確已經(jīng)成為多租戶云計(jì)算中所出現(xiàn)的大問(wèn)題了。企業(yè)組織以一種接近彼此的方式共享內(nèi)存、數(shù)據(jù)庫(kù)和其他資源,創(chuàng)建了新的攻擊面。
慶幸的是,針對(duì)系統(tǒng)漏洞的攻擊可以通過(guò)“基本的IT流程”來(lái)減輕,CSA表示說(shuō)。最佳實(shí)踐方案包括定期的漏洞掃描,及時(shí)的補(bǔ)丁管理,并迅速跟蹤報(bào)告系統(tǒng)的安全威脅。
根據(jù)CSA介紹,相對(duì)于其他IT支出,減輕系統(tǒng)漏洞的成本較小。通過(guò)IT流程來(lái)發(fā)現(xiàn)和修補(bǔ)漏洞的費(fèi)用相對(duì)于潛在的損失要小很多。受到相應(yīng)規(guī)范嚴(yán)格監(jiān)管的行業(yè)需要盡快打補(bǔ)丁,最好是將這一過(guò)程自動(dòng)化,并經(jīng)常化,CSA建議。變更控制流程能夠解決緊急修補(bǔ)問(wèn)題,從而確保企業(yè)的技術(shù)團(tuán)隊(duì)能夠正確記錄整治活動(dòng)的和審查過(guò)程。
安全威脅5:賬戶被劫持
網(wǎng)絡(luò)釣魚、欺詐和軟件漏洞仍然能夠成功攻擊企業(yè),而云服務(wù)則增加了一個(gè)新的層面的威脅,因?yàn)楣粽呖梢愿`聽(tīng)活動(dòng),操縱交易,并修改數(shù)據(jù)。攻擊者也可以使用云應(yīng)用程序發(fā)動(dòng)其他攻擊。
常見(jiàn)的深度防護(hù)保護(hù)策略可以包含安全違規(guī)所造成的損害。企業(yè)組織應(yīng)該禁止用戶和服務(wù)之間共享帳戶憑證,并實(shí)現(xiàn)多因素身份驗(yàn)證方案。賬戶,甚至包括服務(wù)帳戶都應(yīng)該被監(jiān)控,以便每筆交易可以追溯到相關(guān)的所有者。而關(guān)鍵是要保護(hù)帳戶憑據(jù)不被盜取,CSA表示說(shuō)。
安全威脅6:來(lái)自企業(yè)內(nèi)部的惡意人員
來(lái)自企業(yè)內(nèi)部的安全威脅包括了許多方面:現(xiàn)任或前任員工、系統(tǒng)管理員、承包商或商業(yè)伙伴。惡意破壞的范圍從竊取企業(yè)機(jī)密數(shù)據(jù)信息到報(bào)復(fù)行為。而在遷移采用了云服務(wù)的情況下,一個(gè)來(lái)自企業(yè)內(nèi)部的惡意人員可能會(huì)摧毀企業(yè)組織的整個(gè)基礎(chǔ)設(shè)施或操作數(shù)據(jù)。而如果僅僅是純粹依賴于云服務(wù)提供商的安全性,如加密,則風(fēng)險(xiǎn)是最大的。
CSA建議企業(yè)組織需要控制加密過(guò)程和密鑰,實(shí)行職責(zé)分離,最大限度的減少用戶的訪問(wèn)。實(shí)施有效的記錄、監(jiān)控和審核管理員的活動(dòng)也是至關(guān)重要的。
正如CSA所指出的那樣,很容易將一個(gè)拙劣的嘗試對(duì)日常工作的執(zhí)行誤解為“惡意”的內(nèi)部攻擊活動(dòng)。這方面的一個(gè)例子便是:一名管理員不小心將一個(gè)敏感的客戶數(shù)據(jù)庫(kù)復(fù)制到了一個(gè)公開(kāi)訪問(wèn)的服務(wù)器上。企業(yè)組織通過(guò)在云中實(shí)施適當(dāng)?shù)呐嘤?xùn)和管理,來(lái)防止這些錯(cuò)誤正變得越來(lái)越重要了,從而得以避免更大的潛在風(fēng)險(xiǎn)。安全威脅7:APT寄生蟲(chóng)
CSA將“寄生”形式的攻擊恰當(dāng)?shù)胤Q之為高級(jí)的持續(xù)性威脅(APT)。APT滲透到企業(yè)組織的系統(tǒng),建立一個(gè)立足點(diǎn),然后悄悄地在較長(zhǎng)的一段時(shí)間內(nèi)將數(shù)據(jù)和知識(shí)產(chǎn)權(quán)漏出。
APT通過(guò)網(wǎng)絡(luò)進(jìn)行典型的橫向移動(dòng),以融入正常的數(shù)據(jù)傳輸流量,所以他們很難被檢測(cè)到。主要的云服務(wù)提供商利用先進(jìn)的技術(shù)來(lái)防止APT滲入他們的基礎(chǔ)設(shè)施,但企業(yè)客戶需要積極的檢測(cè)APT對(duì)于其云帳戶的攻擊,因?yàn)槠淇赡軙?huì)在他們內(nèi)部部署的系統(tǒng)中。
進(jìn)入的共同點(diǎn)包括魚叉式網(wǎng)絡(luò)釣魚、直接攻擊、預(yù)裝惡意軟件的USB驅(qū)動(dòng)器、以及對(duì)第三方網(wǎng)絡(luò)的攻擊。特別是,CSA建議企業(yè)組織需要培訓(xùn)用戶識(shí)別網(wǎng)絡(luò)釣魚技術(shù)。
定期加強(qiáng)企業(yè)員工用戶的安全意識(shí),保持員工用戶保持警覺(jué),就不太可能被欺騙,讓一個(gè)APT易于進(jìn)入企業(yè)網(wǎng)絡(luò)。而企業(yè)用戶的IT 部門需要了解最新的先進(jìn)性攻擊。而采取先進(jìn)的安全控制、流程管理、事件響應(yīng)計(jì)劃、員工培訓(xùn)等措施固然會(huì)增加企業(yè)組織的安全預(yù)算。單企業(yè)組織應(yīng)該權(quán)衡這些成本與成功的攻擊對(duì)于企業(yè)所造成的潛在的經(jīng)濟(jì)損失。
京公網(wǎng)安備 11010502049343號(hào)