您当前的位置：首页 > 无限物联

企业组织面临的12大顶级云计算安全威胁

2017-03-02 09:22:20

企业组织在信息化办公环境中，在网络中进行办公及数据传输的潜伏危险正在加大，有必要对数据安全进行防范。在上周召开的RSA会议上，CSA(云安全同盟)列出的“Treacherous12”，即企业组织在2016年将面临的12大顶级云计算安全要挟。CSA发布了相干的报告，来帮助云客户和供应商加强他们的防御力度。

635936360277909644768

云计算的同享、按需的性质，自然带来了新的安全漏洞，从而可能抵消了企业用户迁移到使用云技术所带来的任何收益，CSA正告说。在CSA之前所发布的报告中指出，云服务天生的性质决定了其能够使得用户绕过全部企业组织的安全政策，并在服务的影子IT项目中建立自己的账户。因此，必须采取新的管制措施，并将其落实到位了。

“这项2016年顶级云安全要挟名单的发布，反应了企业管理队伍所做出的糟的云计算决策将产生可怕的后果。”CSA的研究履行副总裁J.R.Santos表示说。

安全要挟1：数据泄漏

在云环境中其实面临着许多与传统企业网络相同的安全要挟，但由于大量的数据存储在云服务器，使得云服务供应商成了1个更具吸引力的攻击目标。潜伏侵害的严重程度常常取决于数据的敏感性。暴露了个人财务信息常常会成为头条新闻，但其实触及到触及健康信息、商业秘密和知识产权的数据泄漏常常是更具破坏性的。

当产生数据泄漏事故时，企业组织可能会被罚款，他们乃至可能会面临诉讼或刑事指控。而相应的背规调查活动和客户通知会耗费大量的本钱。而间接的恶性影响，还包括诸如企业品牌损失和业务损失，乃至可能会影响企业组织多年的时间而没法翻身。

云服务供应商通常都会部署安全控制来保护他们的环境。但终究，企业组织都需要负责保护他们存储在云中的数据。CSA建议企业组织使用多因素身份验证和加密的方式，来尽可能避免数据泄漏事故的产生。

安全要挟2：凭据或身份验证遭到攻击或破坏

数据泄漏和其他攻击常常是由于企业组织内部疏松的身份验证、弱密码、和糟的密钥或证书管理所酿成的。由于企业组织试图将权限分配给相应的工作职位上的员工用户，故而常常需要处理身份管理的问题。更重要的是，当某个工作职能产生改变或某位用户离开该企业组织时，他们有时会忘记删除该用户的访问权限

诸如1次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务，由于这些手段可让攻击者很难利用其盗取的密码来登录企业系统。例如，在美国第2大医疗保险服务商Anthem公司数据泄漏事件中，致使有超过8000万客户的个人信息被暴露，就是由于用户凭据被盗所致使的结果。Anthem公司没有部署多因素认证，所以1旦攻击者取得凭证，就会致使**烦。

许多开发人员误将凭证和密钥嵌入到了源代码中，并将其发布到了诸如GitHub等面向公众的存储库。密钥需要进行适当的保护，而安全的公共密钥基础设施是必要的，CSA表示说。他们还需要定期修改密钥，从而使得攻击者在没有取得授权的情况下更难利用他们所盗取的密钥了。

那些计划与云服务提供商联合采取身份验证措施的企业组织需要了解他们的云服务提供商所采取的安全措施，以便保护身份验证平台。将身份验证集中到1个单1的存储库中有其风险。企业组织需要在集中方便的身份验证与面临成为攻击者最高价值攻击目标存储库的风险之间进行权衡取舍。

安全要挟3：接口和API被黑客攻击

现如今，几近每款云服务和利用程序均提供API。IT团队使用接口和API来管理，并实现与云服务的交互，包括提供云服务的配置、管理、业务流程调和和监控的服务。

云服务的安全性和可用性——从身份认证和访问控制再到加密和活动监测——均需要依赖于API的安全性。随着依赖于这些API和建立在这些接口上的第3方服务的增加，相应的安全风险也在增加，企业组织可能需要提供更多的服务和凭据，CSA正告称。糟的接口和API或将暴露出企业组织在保密性、完全性、可用性和问责制方面的安全问题。

API和接口常常是企业系统中最容易被暴露的部份，由于它们通常是通过开放的互联网访问的。CSA建议，企业组织应当将适当控制作为“防御和检测的第1线”，而安全要挟模型利用程序和系统建模，包括数据流和系统架构设计，便成了开产生命周期的重要组成部份。CSA还建议，安全工作应当重点关注在代码审查和严格的渗透测试方面。

安全要挟4：利用系统漏洞

系统漏洞，或利用程序中的bug，其实不是甚么新闻了，但他们的确已成为多租户云计算中所出现的大问题了。企业组织以1种接近彼此的方式同享内存、数据库和其他资源，创建了新的攻击面。

庆幸的是，针对系统漏洞的攻击可以通过“基本的IT流程”来减轻，CSA表示说。最好实践方案包括定期的漏洞扫描，及时的补钉管理，并迅速跟踪报告系统的安全要挟。

根据CSA介绍，相对其他IT支出，减轻系统漏洞的本钱较小。通过IT流程来发现和修补漏洞的费用相对潜伏的损失要小很多。遭到相应规范严格监管的行业需要尽快打补钉，最好是将这1进程自动化，并常常化，CSA建议。变更控制流程能够解决紧急修补问题，从而确保企业的技术团队能够正确记录整治活动的和审查进程。

安全要挟5：账户被劫持

网络钓鱼、讹诈和软件漏洞依然能够成功攻击企业，而云服务则增加了1个新的层面的要挟，由于攻击者可以窃听活动，操纵交易，并修改数据。攻击者也能够使用云利用程序发动其他攻击。

常见的深度防护保护策略可以包括安全背规所酿成的侵害。企业组织应当制止用户和服务之间同享帐户凭证，并实现多因素身份验证方案。账户，乃至包括服务帐户都应当被监控，以便每笔交易可以追溯到相干的所有者。而关键是要保护帐户凭据不被盗取，CSA表示说。

安全要挟6：来自企业内部的歹意人员

来自企业内部的安全要挟包括了许多方面：现任或前任员工、系统管理员、承包商或商业火伴。歹意破坏的范围从盗取企业机密数据信息到报复行动。而在迁移采取了云服务的情况下，1个来自企业内部的歹意人员可能会摧毁企业组织的全部基础设施或操作数据。而如果仅仅是纯洁依赖于云服务提供商的安全性，如加密，则风险是最大的。

CSA建议企业组织需要控制加密进程和密钥，实行职责分离，最大限度的减少用户的访问。实行有效的记录、监控和审核管理员的活动也是相当重要的。

正如CSA所指出的那样，很容易将1个低劣的尝试对平常工作的履行误解为“歹意”的内部攻击活动。这方面的1个例子便是：1名管理员不谨慎将1个敏感的客户数据库复制到了1个公然访问的服务器上。企业组织通过在云中实行适当的培训和管理，来避免这些毛病正变得愈来愈重要了，从而得以免更大的潜伏风险。

安全要挟7：APT寄生虫

CSA将“寄生”情势的攻击恰当地称之为高级的延续性要挟(APT)。APT渗透到企业组织的系统，建立1个立足点，然后悄悄地在较长的1段时间内将数据和知识产权漏出。

APT通过网络进行典型的横向移动，以融入正常的数据传输流量，所以他们很难被检测到。主要的云服务提供商利用先进的技术来避免APT渗透他们的基础设施，但企业客户需要积极的检测APT对其云帐户的攻击，由于其可能会在他们内部部署的系统中。

进入的共同点包括鱼叉式网络钓鱼、直接攻击、预装歹意软件的USB驱动器、和对第3方网络的攻击。特别是，CSA建议企业组织需要培训用户辨认网络钓鱼技术。

定期加强企业员工用户的安全意识，保持员工用户保持警觉，就不太可能被欺骗，让1个APT易于进入企业网络。而企业用户的IT部门需要了解最新的先进性攻击。而采取先进的安全控制、流程管理、事件响应计划、员工培训等措施固然会增加企业组织的安全预算。单企业组织应当权衡这些本钱与成功的攻击对企业所酿成的潜伏的经济损失。

安全要挟8：永久性的数据丢失

鉴于现如今的云服务已日益成熟，因此由服务供应商的毛病所酿成的永久性的数据丢失已变得非常罕见了。但歹意黑客已能够永久的删除云中的数据以对企业造成危害了，而同时，云数据中心的任何设施也更容易遭到自然灾害的侵害。

云供应商建议在多个区域进行散布式数据和利用程序的托管，以增加保护。充足的数据备份措施也是必不可少的措施，和坚持实行确保业务连续性和灾害恢复的最好做法。平常数据备份和异地存储在云环境依然是很重要的。

避免数据丢失的责任其实不是只在云服务提供商这1方。如果企业客户对数据进行了加密，然后上传到云端，那末企业客户就需要要谨慎保护加密密钥。1旦密钥丢了，数据也就丢失了。

合规政策常常规定了企业组织必须保存其审核记录和其他相干文件多长时间。失去这些数据可能会产生严重的监管后果。欧盟最新的数据保护规则还将数据破坏和个人数据受损纳入数据泄漏的范畴，要求进行适当的通知。因此，企业用户必须熟习各种规则，以免堕入麻烦。

安全要挟9：缺少尽职调查

那些还没有充分理解云环境及其相干的风险就采取了云服务的企业组织可能会遭受到“无数的商业、金融、技术、法律及合规风险”，CSA正告说。通过尽职调查，能够分析1家企业组织是不是试图迁移到云中或与另外一家公司在云中合并(或工作)。例如，企业组织没有细看合同可能没成心识到如若产生数据丢失或泄密的情况下，供应商的相干责任。

如果1家公司的开发团队缺少对云技术的熟习，则会出现操作和架构问题，由于利用程序需要部署到特定的云服务。CSA提示企业组织必须进行全面的尽职调查，了解当他们订购1项云服务时，其所应当承当的风险。

安全要挟10：云服务的滥用

云服务可以被征用以支持背法活动，如利用云计算资源破解加密密钥以发动攻击。其他的例子包括发动DDoS攻击，发送垃圾邮件和钓鱼邮件，和托管歹意内容。

云服务供应商需要辨认云服务被滥用的类型——比如审查流量以辨认DDoS攻击;为客户提供工具，以监控他们云环境的健康状态。企业客户应当确保供应商提供了报告云服务被滥用的机制。虽然企业客户可能不会成为歹意行动的直接猎物，但云服务的滥用依然会致使服务的可用性问题和数据丢失。

安全要挟11：DoS攻击

DoS攻击已存在多年了，但由于云计算的兴起，他们所引发的问题再1次变得突出，由于它们常常会影响到云服务的可用性。系统可能会变得运行缓慢或是简单的超时。“经历谢绝服务攻击时，就像被困在交通高峰期的交通拥堵中1样，此时要到达你的目的地只有这1种方式，除坐在那里等待以外没有甚么是你能做的。”该报告称。

DoS攻击消耗了大量的处理能力，而企业客户终究还可能不能不为其买单。虽然大容量的DDoS攻击是非常常见的，企业组织应当意想到不对称的、利用程序层的DoS攻击，其目标是攻击Web服务器和数据库漏洞。

较之他们的企业客户，云服务提供商常常能够更好地准备处理DoS攻击，CSA说。关键是要有1套计划，在攻击产生之前以减轻其侵害程度，所以当管理员们需要时，他们应当有权访问这些资源。

安全要挟12：同享的科技，同享的危险

同享技术的漏洞对云计算构成了重大要挟。云服务供应商同享基础设施、平台和利用程序，如果1个漏洞出现在任何这些层中，其会影响到每一个云服务的租户。“1个单1的漏洞或毛病，会致使全部供应商的云服务被攻击。”该报告说。

如果1部份组件被破坏泄漏，例如，1款系统管理程序、1个同享的平台组件、或利用程序被攻击，其将潜伏的使得全部云环境被攻击。CSA推荐采取深层防御的策略，包括在所有主机、基于主机和基于网络的入侵检测系统，采取多因素身份验证，利用最小特权的概念，网络分割，和修补同享的资源。

这12大云计算安全危险给企业组织很好地梳理了防范的必要手段，但如果要做到万无1失，还需要企业相干部门及管理人员提高警惕，由于网络环境下，黑客攻击手段的多样化常常出其不意。