越来越多的数据和应用程序正在转移到云上,这一趋势带来了独特的信息安全挑战。以下是企业在使用云服务时所面临的十二大顶级安全威胁。
云计算正在持续改变组织机构使用、存储和共享数据、应用程序和工作负载的方式。这也带来了一系列新的安全威胁和挑战。随着大量数据数据进入云计算——特别是公共云服务,这些资源自然就成为了坏人的目标。
Gartner 公司副总裁兼云安全主管 Jay Heiser 表示:公共云的使用量正在快速增长,因此不可避免地会导致大量敏感内容暴露在潜在风险当中。
与大多数人的认知可能相反,保护云中企业数据的主要责任不在于服务供应商,而在于云客户。
我们正处于云安全转型时期,重点正从供应商转移到客户身上。企业正在认识到花大量时间试图弄清楚某个特定的云服务供应商是否 ‘安全’,实际上并不重要。
为了让组织机构了解云安全问题的最新动态,以便他们能够就云使用策略做出明智的决策,云安全联盟 (Cloud Security Alliance, CSA) 发布了最新版本的《云计算十二大顶级威胁:行业洞察报告》 。
该报告描述了 CSA 安全专家一致认为的目前云所面对的最大安全问题。CSA 表示,尽管云计算存在很多安全问题,但本文主要关注12个与云计算的共享和按需分配特性相关的问题。后续报告《云计算的最大威胁:深度挖掘》(Top Threats to Cloud Computing: Deep Dive) 列举了有关这12种威胁的案例研究。
为了确定主要威胁,CSA 对行业专家进行了调查,就云计算面临的主要安全问题收集了专业意见。下面是调查得出的一些顶级云安全问题(按调查结果的严重程度排序):
1. 数据泄露
CSA 表示,数据泄露可能是因为有针对性的攻击,也可能只是人为错误、应用程序漏洞或糟糕的安全措施导致的。数据泄露可能涉及任何不打算公开的信息,包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权信息。一个组织机构的云数据可能对不同的对象有不同的价值。数据泄露风险并非只有云计算独有,但它始终是云客户最关心的问题。
他在其《深度挖掘》(Deep Dive) 的报告中引用了2012年 LinkedIn 密码遭黑客攻击作为主要例证。由于 LinkedIn 没有加密密码数据库,攻击者窃取了1.67亿个密码。该报告表示,这次泄露警示组织机构应始终对包含用户凭据的数据库进行加盐哈希加密处理,并进行日志记录和异常行为分析。
2. 身份、凭据和访问管理不当
假扮成合法用户、操作人员或开发人员的外部入侵者可以读取、修改和删除数据;发布控制面板和管理功能;监视传输中的数据或发布来源似乎合法的恶意软件。因此,身份、凭据或密钥管理不当可能导致未经授权的数据访问,并可能对组织机构或终端用户造成灾难性的结果。
根据 Deep Dive 的报告,访问管理不当的一个例子是 MongoDB 数据库默认安装设置存在风险。该数据库在默认安装设置中打开了一个端口,允许访问者在不进行身份验证的情况下对数据库进行访问。该报告建议在所有周边环境中实施预防性控制,并要求组织机构扫描托管、共享和公共环境中的漏洞。
3. 不安全接口和应用程序接口(API)
云供应商公开了一套软件用户界面 (UI) 或 API,客户通过这些工具管理云服务并与之进行交互。CSA 表示,供应、管理和监测都是使用这些接口执行的,一般云服务的安全性和可用性取决于 API 的安全性。它们需要被设计成能够阻挡企图避开政策的意外和恶意企图。
4. 系统漏洞
系统漏洞是程序中可利用的漏洞,攻击者可以利用这些漏洞潜入系统窃取数据、控制系统或中断服务操作。CSA 表示,操作系统组件中的漏洞使所有服务和数据的安全性面临重大风险。随着云端用户增加,不同组织机构的系统彼此靠近,并被赋予了访问共享内存和资源的权限,从而产生了一个新的攻击角度。
5. 账户劫持
CSA 指出,帐户或服务劫持并不新鲜,但云服务的出现带来了新的威胁。如果攻击者获得了对用户凭证的访问权,他们就可以监视用户活动和交易,操纵数据,返回伪造的信息,并将客户重定向到非法站点。帐户或服务实例可能成为攻击者的新依据。使用窃取的凭证,攻击者可以访问云计算服务的关键部分,从而破坏这些服务的机密性、完整性和可用性。
Deep Dive 报告中的一个例子:Dirty Cow 高级持续威胁 (APT) 小组能够通过薄弱的审查或社会工程接管现有帐户,从而获得系统root权限。该报告建议对访问权限实行 “需要知道” 和 “需要访问” 策略,并对帐户接管策略进行社交工程训练。
6. 恶意内部人员
CSA 表示,尽管威胁程度有待商榷,但内部威胁会制造风险这一事实毋庸置疑。恶意内部人员(如系统管理员)可以访问潜在的敏感信息,并且逐渐可以对更关键的系统进行更高级别的访问,并最终访问数据。如果仅依靠云服务供应商来保持系统安全,那么系统将面临巨大的安全风险。
报告中引用了一名心怀不满的 Zynga 员工的例子,该员工下载并窃取了公司的机密商业数据。当时没有防丢失控制措施。Deep Dive 报告建议实施数据丢失防护 (DLP) 控制,提高安全和隐私意识,以改进对可疑活动的识别和报告。
7. 高级持续威胁(APTs)
APTs 是一种寄生形式的网络攻击,它渗透到系统中,在目标公司的IT基础架构扎根,然后窃取数据。APT 在很长一段时间内会秘密追踪自己的目标,通常能适应那些旨在防御它们的安全措施。一旦到位,APT 可以横向移动通过数据中心网络,并融入到正常的网络流量中来实现他们的目标。
8. 数据丢失
存储在云中的数据可能会因为恶意攻击以外的原因丢失,CSA 说道。云服务供应商意外删除或物理灾难(如火灾或地震)可能导致客户数据的永久性丢失,除非供应商或云消费者进行了数据备份,遵循了业务连续性和灾难恢复方面的最佳实践。
9. 尽职调查不够彻底
CSA 表示,当高管制定业务策略时,必须考虑到云技术和服务提供商。在评估技术和供应商时,制定一个完善的路线图和尽职调查清单至关重要。那些急于采用云技术,但没有在进行尽职调查的情况下选择供应商的组织机构将面临很多风险。
10. 滥用和恶意使用云服务
CSA 表示,不安全的云服务部署、免费的云服务试用以及欺诈账户注册,都将云计算模型暴露在恶意攻击之下。恶意人员可能会利用云计算资源来针对用户、组织机构或其他云供应商。滥用云关联资源的例子包括发起分布式拒绝服务攻击、垃圾邮件和钓鱼攻击。
11. 拒绝服务 (DoS)
DoS 攻击旨在阻止使用服务的用户访问他们的数据或应用程序。通过强制目标云服务消耗过多的系统资源(如处理能力,内存,磁盘空间或网络带宽), 攻击者可以使系统速度降低,并使所有合法的服务用户无法访问服务。
DNS 供应商 Dyn 是 Deep Dive 报告中 DoS 攻击的一个主要例子。一个外部组织使用 Mirai 恶意软件通过物联网设备, 在 Dyn 上启动分布式拒绝服务 (DDoS)。这次攻击之所以能成功,是因为受到攻击的物联网设备使用了默认凭证。该报告建议分析异常的网络流量,并审查和测试业务连续性计划。
12. 共享的技术漏洞
CSA 指出,云服务供应商通过共享基础架构、平台或应用程序来提供可扩展的服务。云技术带来了 “即服务” 概念,而没有对现有的硬件和软件进行实质性改动——有时是以牺牲安全性为代价的。组成支持云服务部署的基础组件,其设计目的可能不是为了多用户架构或多用户应用程序提供强大的隔离功能。这可能导致共享技术漏洞,这些漏洞可能会在所有交付模型中被利用。
Deep Dive 报告中的一个例子是 Cloudbleed 漏洞,在这个漏洞中,一个外部人员能够利用其软件中的一个漏洞从安全服务供应商 Cloudflare 中窃取 API 密钥、密码和其他凭据。该报告建议对所有敏感数据进行加密,并根据敏感级别对数据进行分段。
其他:幽灵(Spectre)和熔断(Meltdown)
2018年1月,研究人员报告了大多数现代微处理器的一个常见设计特性,利用该特性使用恶意 Javascript 代码可以从内存中读取内容,包括加密数据。这一漏洞的两种变体分别被称为熔断 (Meltdown) 和幽灵 (Spectre),它们影响了从智能手机到服务器的各种设备。正因为后者,我们才把它们列入这个云威胁列表中。
Spectre 和 Meltdown 都能进行旁路攻击,因为它们打破了应用程序之间的相互隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,如果攻击者是客户虚拟机 (VM) 上 root 用户,则可以读取主机内核。
对于云服务提供商来说,这是一个巨大的问题。当补丁可用时,攻击者会更难发动攻击。补丁可能会降低性能,因此一些企业可能选择不给系统打补丁。CERT 建议更换所有受影响的处理器——但还没有代替品时,很难做到这一点。
到目前为止,还没有任何已知的利用 Meltdown 或 Spectre 的漏洞,但专家们一致认为,这些漏洞很可能很快就会出现。对于云供应商来说,防范它们的最佳建议是确保所有最新补丁都已到位。客户应该要云供应商提供他们应对 Meldown 和 Spectre 的策略。
《云计算十二大顶级威胁:行业洞察报告》:
https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/
相关阅读