云工作負(fù)載,、供應(yīng)鏈、邊緣計(jì)算,、物聯(lián)網(wǎng)(IoT)以及區(qū)塊鏈等新技術(shù)的流行和應(yīng)用改變了云計(jì)算應(yīng)用的安全格局,。為了提高對(duì)云中威脅、漏洞和風(fēng)險(xiǎn)的認(rèn)知,,國(guó)際云安全聯(lián)盟(CSA)不久前就當(dāng)前云計(jì)算領(lǐng)域的應(yīng)用安全問(wèn)題展開(kāi)研究,,對(duì)700余名云計(jì)算技術(shù)行業(yè)專(zhuān)家進(jìn)行了調(diào)研,,并編寫(xiě)發(fā)布《云計(jì)算頂級(jí)威脅報(bào)告》,。報(bào)告認(rèn)為,,以下11個(gè)方面的安全挑戰(zhàn)正在成為阻礙云計(jì)算應(yīng)用的關(guān)鍵性威脅。
威脅1
身份,、憑據(jù),、訪問(wèn)權(quán)限
和密鑰管理不善
身份、憑據(jù),、訪問(wèn)管理系統(tǒng)中一般包含了允許組織管理,、監(jiān)控和保護(hù)用戶(hù)對(duì)關(guān)鍵資源進(jìn)行訪問(wèn)的各類(lèi)工具和策略,這些關(guān)鍵資源可能包括電子文件,、計(jì)算機(jī)系統(tǒng)和物理資源,例如服務(wù)器機(jī)房或建筑物等,。在此過(guò)程中,,適當(dāng)?shù)鼐S護(hù)和持續(xù)監(jiān)控身份、憑據(jù),、訪問(wèn)管理系統(tǒng)至關(guān)重要,。在身份和訪問(wèn)管理(IAM)中使用風(fēng)險(xiǎn)評(píng)分可增強(qiáng)安全態(tài)勢(shì)。使用清晰的風(fēng)險(xiǎn)分配模型,、持續(xù)的監(jiān)控以及適當(dāng)?shù)男袨楦綦x和細(xì)分有助于交叉檢查(cross-check)IAM系統(tǒng),。
業(yè)務(wù)影響
如果身份,、憑據(jù)、訪問(wèn)權(quán)限和密鑰管理不善,,可能會(huì)造成如下負(fù)面后果:
? 業(yè)務(wù)系統(tǒng)訪問(wèn)缺乏合規(guī)性,,員工對(duì)網(wǎng)絡(luò)安全性漠不關(guān)心;
? 關(guān)鍵業(yè)務(wù)數(shù)據(jù)被替換或損壞,,未經(jīng)授權(quán)或惡意用戶(hù)的數(shù)據(jù)滲漏難以發(fā)現(xiàn),;
? 喪失用戶(hù)信任和業(yè)務(wù)營(yíng)收;
? 因嚴(yán)重安全事件響應(yīng)和取證而產(chǎn)生額外的財(cái)務(wù)費(fèi)用,;
? 勒索軟件攻擊和供應(yīng)鏈中斷,。
安全事件
2019年1月- 7月,Capital One銀行發(fā)生大規(guī)模數(shù)據(jù)泄露事件,,該事件的誘因是Capital One在其AWS賬戶(hù)中的服務(wù)器執(zhí)行任意用戶(hù)發(fā)起請(qǐng)求,。攻擊者可以借助放置在公網(wǎng)上的服務(wù)器非法訪問(wèn)內(nèi)網(wǎng)中的服務(wù)器,進(jìn)而造成命令執(zhí)行,、數(shù)據(jù)泄露等危害,。
防護(hù)要點(diǎn)
? 使用多因素身份驗(yàn)證;
? 對(duì)云用戶(hù)和身份使用嚴(yán)格的訪問(wèn)控制,,特別是限制root賬戶(hù)的使用,;
? 根據(jù)業(yè)務(wù)需求和最小特權(quán)原則隔離和細(xì)分賬戶(hù);
? 采用程序化,、集中式方法輪換密鑰,;
? 及時(shí)刪除未使用的憑據(jù)和訪問(wèn)特權(quán)。
威脅2
不安全的接口和API
組織為了給第三方開(kāi)發(fā)人員和客戶(hù)提供更好的數(shù)字體驗(yàn),,正在加速采用API,。但隨著API日趨普及,保護(hù)這些接口的安全性也變得至關(guān)重要,。必須檢查API和微服務(wù)是否存在由于錯(cuò)誤配置,、不良編碼實(shí)踐、缺乏身份驗(yàn)證和不當(dāng)授權(quán)而導(dǎo)致的漏洞,。這些漏洞可能會(huì)使接口易受攻擊,。
API和其他接口的錯(cuò)誤配置是安全事件和數(shù)據(jù)泄露的主要原因,常見(jiàn)的問(wèn)題有:未經(jīng)身份驗(yàn)證的端點(diǎn),;弱認(rèn)證,;權(quán)限過(guò)大;禁用標(biāo)準(zhǔn)安全控制,;系統(tǒng)未打補(bǔ)?。贿壿嬙O(shè)計(jì)問(wèn)題,;禁用日志記錄或監(jiān)控等,。這些問(wèn)題可能會(huì)導(dǎo)致資源滲漏,、刪除或修改,數(shù)據(jù)調(diào)整或服務(wù)中斷等,。
業(yè)務(wù)影響
API和不安全接口對(duì)業(yè)務(wù)的影響主要是敏感或私有數(shù)據(jù)意外暴露,,此類(lèi)風(fēng)險(xiǎn)的嚴(yán)重程度取決于API使用方式以及檢測(cè)和緩解漏洞的速度。
安全事件
2021年5月5日,,居家健身品牌Peloton曝出API漏洞,,不健全的用戶(hù)身份驗(yàn)證和對(duì)象級(jí)授權(quán)會(huì)通過(guò)API暴露Peloton客戶(hù)個(gè)人身份信息(PII)。這些數(shù)據(jù)包括詳細(xì)的用戶(hù)年齡,、性別,、城市、體重,、鍛煉統(tǒng)計(jì)數(shù)據(jù),,甚至可揭示用戶(hù)在個(gè)人資料設(shè)置頁(yè)面中設(shè)為私密的生日等信息。
防護(hù)要點(diǎn)
? 跟蹤,、配置和保護(hù)與API相關(guān)的攻擊面,;
? 更新傳統(tǒng)的控制和變更管理策略及方法,以跟上基于云的API增長(zhǎng)和變化趨勢(shì),;
? 企業(yè)應(yīng)采用自動(dòng)化技術(shù),,持續(xù)監(jiān)控異常API流量并近乎實(shí)時(shí)地修復(fù)漏洞;
? 考慮采用開(kāi)放的API框架,,例如開(kāi)放云計(jì)算接口(OCCI)或云基礎(chǔ)架構(gòu)管理接口(CIMI),。
威脅3
錯(cuò)誤配置和變更控制不足
錯(cuò)誤配置是指計(jì)算資產(chǎn)的不正確或不合理設(shè)置,使它們易受意外損壞或惡意活動(dòng)的影響,。常見(jiàn)的錯(cuò)誤配置包括:不安全的數(shù)據(jù)存儲(chǔ)元素或容器,;過(guò)多的權(quán)限;保持默認(rèn)憑據(jù)和配置設(shè)置不變,;禁用標(biāo)準(zhǔn)安全控制,;系統(tǒng)未打補(bǔ)丁,;禁用日志記錄或監(jiān)控,;不受限制地訪問(wèn)端口和服務(wù);不安全地管理秘密,;配置不當(dāng)或缺乏配置驗(yàn)證,。云資源配置錯(cuò)誤是數(shù)據(jù)泄露的主要原因,可能導(dǎo)致資源刪除或修改以及服務(wù)中斷,。
云環(huán)境中的不當(dāng)變更控制可能會(huì)導(dǎo)致錯(cuò)誤配置,并阻礙錯(cuò)誤配置的修復(fù),。云環(huán)境和云計(jì)算方法與傳統(tǒng)信息技術(shù)(IT)的不同之處在于它使更改更難以控制,。傳統(tǒng)的變更流程涉及多個(gè)角色和許可,,因此需要數(shù)天或數(shù)周才能投入使用。云計(jì)算依靠自動(dòng)化,、角色擴(kuò)展和訪問(wèn)來(lái)支持快速變更,,這使得其很難控制變更。此外,,使用多個(gè)云提供商會(huì)增加復(fù)雜性,,每個(gè)提供商的獨(dú)特功能幾乎每天都在增強(qiáng)和擴(kuò)展。這種動(dòng)態(tài)環(huán)境需要一種敏捷和主動(dòng)的變更控制和修復(fù)方法,。
業(yè)務(wù)影響
錯(cuò)誤配置和變更控制不足造成的影響主要包括:
? 數(shù)據(jù)披露影響保密性,;
? 數(shù)據(jù)丟失影響可用性;
? 數(shù)據(jù)破壞影響完整性,;
? 系統(tǒng)性能影響運(yùn)營(yíng)效率,;
? 系統(tǒng)中斷影響運(yùn)營(yíng)可持續(xù)性;
? 勒索贖金會(huì)造成財(cái)務(wù)影響,;
? 違規(guī)和罰款造成合規(guī)和財(cái)務(wù)影響,;
? 收入損失;
? 股價(jià)下跌,;
? 公司聲譽(yù)影響,。
安全事件
2021年1月7日,微軟公司錯(cuò)誤配置了Microsoft Azure Blob(云)存儲(chǔ)桶,,該存儲(chǔ)桶存放了大量第三方數(shù)據(jù),,希望與微軟合作的100多個(gè)企業(yè)“宣傳片”和源代碼被公開(kāi)披露。
防護(hù)要點(diǎn)
? 企業(yè)需要采用持續(xù)掃描配置錯(cuò)誤資源的可用技術(shù),,以便實(shí)時(shí)修復(fù)漏洞,;
? 變更管理方法必須能夠反映業(yè)務(wù)轉(zhuǎn)型和安全挑戰(zhàn)的動(dòng)態(tài)性質(zhì),以確保使用實(shí)時(shí)自動(dòng)驗(yàn)證正確批準(zhǔn)變更,。
威脅4
缺乏云安全架構(gòu)和策略
云安全策略和架構(gòu)包括對(duì)云部署模型,、云服務(wù)模型、云服務(wù)提供商(CSP),、服務(wù)區(qū)域可用區(qū),、特定云服務(wù)和一般原則的考慮和選擇。此外,,IAM的前瞻性設(shè)計(jì),、跨不同云帳戶(hù)、供應(yīng)商,、服務(wù)和環(huán)境的網(wǎng)絡(luò)和安全控制也在范圍內(nèi),。對(duì)戰(zhàn)略的考慮應(yīng)先于架構(gòu)規(guī)劃并指導(dǎo)架構(gòu)設(shè)計(jì),但云挑戰(zhàn)通常需要增量和敏捷的規(guī)劃方法。如果云計(jì)算要成功且安全,,則不能忽視安全考慮和風(fēng)險(xiǎn),。行業(yè)違規(guī)事件表明,缺乏這樣的規(guī)劃可能會(huì)導(dǎo)致云環(huán)境和應(yīng)用程序無(wú)法(或無(wú)法有效地)抵御網(wǎng)絡(luò)攻擊,。
業(yè)務(wù)影響
缺乏云安全策略和架構(gòu)會(huì)限制高效的企業(yè)和基礎(chǔ)設(shè)施安全架構(gòu)實(shí)施的可行性,。如果沒(méi)有這些安全/合規(guī)目標(biāo),云計(jì)算將無(wú)法取得成功,,甚至還會(huì)導(dǎo)致因違規(guī)而被罰款和其他處罰,,或者由于實(shí)施不當(dāng)?shù)闹貥?gòu)和遷移而產(chǎn)生巨額成本。
安全事件
2021年1月,,沃爾瑪旗下的美國(guó)服裝店Bonobos遭遇大規(guī)模數(shù)據(jù)泄露,,暴露了數(shù)百萬(wàn)客戶(hù)的個(gè)人信息,其中包括客戶(hù)地址,、電話號(hào)碼,、部分信用卡號(hào)碼和網(wǎng)站上的訂單。發(fā)生這種情況的原因是托管備份文件的外部云備份服務(wù)遭到破壞,。
防護(hù)要點(diǎn)
? 企業(yè)應(yīng)在云服務(wù)和基礎(chǔ)架構(gòu)設(shè)計(jì)和決策中考慮業(yè)務(wù)目標(biāo),、風(fēng)險(xiǎn)、安全威脅和法律合規(guī)性,;
? 鑒于云環(huán)境快速變化的步伐和有限的集中控制,,遵循云服務(wù)和基礎(chǔ)架構(gòu)安全設(shè)計(jì)原則對(duì)于開(kāi)發(fā)更為重要;
? 將盡職調(diào)查和第三方供應(yīng)商安全評(píng)估視為基本實(shí)踐,,并與威脅建模,、安全設(shè)計(jì)和集成相輔相成。
威脅5
不安全的軟件開(kāi)發(fā)
軟件系統(tǒng)很復(fù)雜,,而云技術(shù)往往又會(huì)增加這種復(fù)雜性,,這會(huì)增加漏洞利用和錯(cuò)誤配置的可能性。雖然開(kāi)發(fā)人員本意并不是為了開(kāi)發(fā)不安全的軟件,,但主要軟件供應(yīng)商每月都會(huì)發(fā)布補(bǔ)丁,,以修復(fù)影響系統(tǒng)機(jī)密性、完整性和/或可用性的代碼錯(cuò)誤,。雖然并非所有軟件錯(cuò)誤都具有安全隱患,,但正如歷史所證明的那樣,即使是不起眼的失誤也可能成為重大威脅,。
業(yè)務(wù)影響
不安全的軟件開(kāi)發(fā)可能造成的影響包括:
? 客戶(hù)對(duì)產(chǎn)品或解決方案失去信心,;
? 數(shù)據(jù)泄露導(dǎo)致品牌聲譽(yù)受損;
? 訴訟造成的法律和財(cái)務(wù)影響,。
安全事件
2021年9月13日,,研究人員發(fā)現(xiàn)AppleiOS被NSO的Pegasus軟件利用,涉及允許遠(yuǎn)程執(zhí)行代碼的零點(diǎn)擊漏洞。
防護(hù)要點(diǎn)
? 使用云技術(shù)讓開(kāi)發(fā)人員能夠?qū)W⒂跇I(yè)務(wù)特有的問(wèn)題,;
? 通過(guò)利用共享責(zé)任模型,,可以將修復(fù)等項(xiàng)目歸云服務(wù)提供商(CSP)而非企業(yè)所有;
? CSP重視安全性,,并將就如何以安全方式實(shí)施服務(wù)提供指導(dǎo),例如AWS Well-Architected Framework或安全設(shè)計(jì)模式,。
威脅6
不安全的供應(yīng)鏈系統(tǒng)
在云計(jì)算采用率迅速增長(zhǎng)的現(xiàn)實(shí)中,,第三方資源可能意味著不同的事物:從開(kāi)源代碼到SaaS產(chǎn)品和API風(fēng)險(xiǎn),一直到云供應(yīng)商提供的托管服務(wù),。來(lái)自第三方資源的風(fēng)險(xiǎn)也被視為“供應(yīng)鏈漏洞”,,因?yàn)樗鼈兪瞧髽I(yè)交付產(chǎn)品或服務(wù)過(guò)程的一部分。近年來(lái),,隨著對(duì)第三方供應(yīng)鏈服務(wù)的依賴(lài)日益增加,,網(wǎng)絡(luò)犯罪分子利用這些漏洞的情況越來(lái)越多。研究顯示,,2/3的違規(guī)行為由供應(yīng)商或第三方漏洞造成,。
業(yè)務(wù)影響
不安全的供應(yīng)鏈系統(tǒng)可能其造成的影響主要有:
? 云上關(guān)鍵業(yè)務(wù)流程的丟失或中斷;
? 云業(yè)務(wù)數(shù)據(jù)遭到外部用戶(hù)訪問(wèn),;
? 修補(bǔ)或修復(fù)安全問(wèn)題取決于提供商及其響應(yīng)速度,,同時(shí)需要不斷更新內(nèi)部應(yīng)用程序和產(chǎn)品。這對(duì)業(yè)務(wù)的影響可能至關(guān)重要,,具體取決于易受攻擊的組件對(duì)應(yīng)用程序的重要性,。
安全事件
2019年5月至2021年8月,大眾汽車(chē)集團(tuán)的北美子公司遭遇由供應(yīng)商造成的數(shù)據(jù)泄露事件,,該供應(yīng)商在2019年5月至2021年8月期間將存儲(chǔ)服務(wù)置于未受保護(hù)的狀態(tài),。此事件涉及330萬(wàn)客戶(hù),泄露數(shù)據(jù)包括個(gè)人身份信息(PII)以及對(duì)某些客戶(hù)而言更為敏感的財(cái)務(wù)數(shù)據(jù),。
防護(hù)要點(diǎn)
? 雖然企業(yè)無(wú)法防止并非由自己創(chuàng)建的代碼或產(chǎn)品中的漏洞,,但可以嘗試就使用哪種產(chǎn)品做出正確的決策,例如:尋找官方支持的產(chǎn)品,,以及那些擁有合規(guī)認(rèn)證,、漏洞賞金計(jì)劃并提供安全公告和快速修復(fù)程序的企業(yè);
? 識(shí)別并跟蹤企業(yè)正在使用的第三方,,這包括開(kāi)源,、SaaS產(chǎn)品、云提供商和托管服務(wù),,以及可能已添加到應(yīng)用程序中的其他集成,;
? 定期審查第三方資源。如果發(fā)現(xiàn)不需要的產(chǎn)品,請(qǐng)將其刪除并撤銷(xiāo)可能已授予它們的權(quán)限(如進(jìn)入代碼存儲(chǔ)庫(kù),、基礎(chǔ)架構(gòu)或應(yīng)用程序的任何訪問(wèn)權(quán)限),;
? 不要成為薄弱環(huán)節(jié)。在適用范圍內(nèi)對(duì)企業(yè)應(yīng)用程序進(jìn)行滲透測(cè)試,、向開(kāi)發(fā)人員介紹安全編碼實(shí)踐,,并使用靜態(tài)應(yīng)用程序安全測(cè)試(SAST)和動(dòng)態(tài)應(yīng)用程序安全測(cè)試(DAST)解決方案。
威脅7
系統(tǒng)漏洞
系統(tǒng)漏洞也是目前云服務(wù)平臺(tái)中普遍存在的缺陷,。攻擊者可能會(huì)利用它們來(lái)破壞數(shù)據(jù)的機(jī)密性,、完整性和可用性,從而破壞服務(wù)運(yùn)營(yíng),。值得注意的是,,所有組件都可能包含使云服務(wù)易受攻擊的漏洞。這些系統(tǒng)漏洞主要有四類(lèi):
? 零日漏洞——新發(fā)現(xiàn)的還未開(kāi)發(fā)出補(bǔ)丁的漏洞,。黑客會(huì)迅速利用這些漏洞,,因?yàn)樵诓渴鹧a(bǔ)丁之前沒(méi)有任何東西可以阻止它們。之前發(fā)現(xiàn)的Log4Shell就是一個(gè)典型的零日漏洞示例,。
? 缺少安全補(bǔ)丁——隨著未修補(bǔ)漏洞數(shù)量的增加,,整體系統(tǒng)安全風(fēng)險(xiǎn)也在增加,因此,,一旦發(fā)現(xiàn)有已知關(guān)鍵漏洞的補(bǔ)丁可用,,盡快部署它們可以減少系統(tǒng)的攻擊面。
? 基于配置的漏洞——當(dāng)系統(tǒng)使用默認(rèn)或錯(cuò)誤配置的設(shè)置部署時(shí),,就會(huì)出現(xiàn)這種漏洞,。基于配置的漏洞示例包括使用遺留安全協(xié)議,、弱加密密碼,、弱權(quán)限和保護(hù)不善的系統(tǒng)管理界面。此外,,在系統(tǒng)上運(yùn)行不必要的服務(wù)是另一個(gè)與配置相關(guān)的問(wèn)題,。
? 弱驗(yàn)證或默認(rèn)憑據(jù)——缺乏強(qiáng)身份驗(yàn)證憑據(jù)使?jié)撛诘墓粽呖梢暂p松訪問(wèn)系統(tǒng)資源和相關(guān)數(shù)據(jù)。同樣地,,未安全存儲(chǔ)的密碼可能會(huì)被黑客竊取并用于侵入系統(tǒng),。
業(yè)務(wù)影響
云計(jì)算系統(tǒng)漏洞可能對(duì)業(yè)務(wù)造成的影響有:
? 許多數(shù)據(jù)泄露都是由系統(tǒng)漏洞造成的;
? 當(dāng)發(fā)生數(shù)據(jù)泄露時(shí),,企業(yè)業(yè)務(wù)可能會(huì)中斷,,從而影響客戶(hù)使用企業(yè)服務(wù);
? 處理數(shù)據(jù)泄露等問(wèn)題而產(chǎn)生額外的技術(shù)性成本,。
安全事件
2021年12月,,Log4Shell(CVE-2021-45046)遠(yuǎn)程代碼漏洞爆發(fā),,影響了基于Java的Log4j日志記錄工具2.0beta9-2.14.1版本。鑒于Java在云系統(tǒng)中的廣泛使用,,Log4Shell成為一個(gè)嚴(yán)重威脅,。攻擊者可以通過(guò)向易受攻擊的系統(tǒng)提交惡意請(qǐng)求來(lái)利用Log4Shell,該請(qǐng)求會(huì)導(dǎo)致系統(tǒng)執(zhí)行任意代碼,,從而使攻擊者能夠竊取信息,、啟動(dòng)勒索軟件或接管系統(tǒng)的控制權(quán)。
防護(hù)要點(diǎn)
? 系統(tǒng)漏洞是系統(tǒng)組件中的缺陷,,通常由人為錯(cuò)誤引入,,使黑客更容易攻擊企業(yè)的云服務(wù),因此強(qiáng)化“人”的因素至關(guān)重要,,企業(yè)可以定期開(kāi)展安全培訓(xùn)和教育;
? 通過(guò)常規(guī)漏洞檢測(cè)和補(bǔ)丁部署以及嚴(yán)格的IAM實(shí)踐,,可以大大降低系統(tǒng)漏洞導(dǎo)致的安全風(fēng)險(xiǎn),。
威脅8
云計(jì)算數(shù)據(jù)的意外泄露
云服務(wù)使企業(yè)能夠以前所未有的速度構(gòu)建、創(chuàng)新和擴(kuò)展,。然而,,云的復(fù)雜性和向云服務(wù)所有權(quán)的轉(zhuǎn)變,通常會(huì)導(dǎo)致缺乏安全治理和控制,。不同CSP中云資源配置數(shù)量的增加使錯(cuò)誤配置更加普遍,,云庫(kù)存缺乏透明度和網(wǎng)絡(luò)可視性可能會(huì)導(dǎo)致數(shù)據(jù)意外泄露。
業(yè)務(wù)影響
意外的數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有:
? 這些數(shù)據(jù)中可能包含敏感的客戶(hù)數(shù)據(jù),、員工信息,、產(chǎn)品數(shù)據(jù)等。暴露此類(lèi)數(shù)據(jù)會(huì)導(dǎo)致意外費(fèi)用,,如取證團(tuán)隊(duì),、客戶(hù)支持流程產(chǎn)生的費(fèi)用以及受影響客戶(hù)的賠償;
? 數(shù)據(jù)泄露還會(huì)產(chǎn)生很多額外的間接成本,,例如內(nèi)部調(diào)查和溝通,、當(dāng)前客戶(hù)流失以及由于信譽(yù)受損而導(dǎo)致的潛在客戶(hù)流失等。
安全事件
2021年1月,,VIP游戲公司因云配置錯(cuò)誤暴露了超過(guò)6萬(wàn)用戶(hù)的2300萬(wàn)條記錄,,其中包含電子郵件、用戶(hù)名,、社交問(wèn)題,、網(wǎng)絡(luò)ID和網(wǎng)絡(luò)上的玩家數(shù)據(jù)。
防護(hù)重點(diǎn)
? 基于配置的解決方案在提供必要的可見(jiàn)性方面有限,,并且無(wú)法檢查或掃描工作負(fù)載,,因此有必要查看托管服務(wù)的PaaS數(shù)據(jù)庫(kù),、存儲(chǔ)和計(jì)算工作負(fù)載,包括虛擬機(jī),、容器和安裝在其上的數(shù)據(jù)庫(kù)軟件,;
? 選擇對(duì)企業(yè)云環(huán)境具有完全可見(jiàn)性的引擎,以識(shí)別允許將流量暴露在外部的任何路由或網(wǎng)絡(luò)服務(wù),,包括負(fù)載均衡器,、應(yīng)用程序負(fù)載均衡器、內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN),、網(wǎng)絡(luò)對(duì)等互連,、云防火墻、Kubernetes網(wǎng)絡(luò)等,;
? 確保數(shù)據(jù)庫(kù)實(shí)施最低權(quán)限的IAM策略,,并通過(guò)控制和監(jiān)控該策略的分配來(lái)減少訪問(wèn)風(fēng)險(xiǎn)。
威脅9
云工作負(fù)載的錯(cuò)誤配置和利用
管理和擴(kuò)展云基礎(chǔ)架構(gòu)及安全控制以運(yùn)行應(yīng)用程序仍然是云計(jì)算開(kāi)發(fā)團(tuán)隊(duì)的重大挑戰(zhàn),。無(wú)服務(wù)器和云原生容器化工作負(fù)載似乎是解決這個(gè)問(wèn)題的靈丹妙藥——將責(zé)任轉(zhuǎn)移給云服務(wù)提供商,。不過(guò)與將虛擬機(jī)遷移到云相比,它們需要更高級(jí)別的云和應(yīng)用程序安全成熟度,。
在無(wú)服務(wù)器模型中,,CSP負(fù)責(zé)底層基礎(chǔ)架構(gòu)的安全和管理。除了開(kāi)發(fā)和運(yùn)營(yíng)方面的優(yōu)勢(shì)之外,,這還減少了攻擊面,,因?yàn)槟J(rèn)情況下CSP在短期容器中運(yùn)行功能代碼。不斷刷新的系統(tǒng)顯著限制了攻擊事件的持久性,。但是,,如果CSP允許客戶(hù)配置具有更長(zhǎng)生命周期和“熱啟動(dòng)”(warm start)配置的無(wú)服務(wù)器容器,則環(huán)境會(huì)變得不那么安全,。其他風(fēng)險(xiǎn)包括臨時(shí)文件系統(tǒng)和共享內(nèi)存,,這也可能泄漏敏感信息。
缺乏對(duì)基礎(chǔ)設(shè)施的控制,,也妨礙了應(yīng)用程序安全問(wèn)題的緩解和傳統(tǒng)安全工具可見(jiàn)性的實(shí)現(xiàn),。企業(yè)需要圍繞云環(huán)境、應(yīng)用程序,、可視化,、訪問(wèn)控制和機(jī)密管理建立強(qiáng)大的安全性,以減少攻擊半徑,。
業(yè)務(wù)影響
無(wú)服務(wù)器和容器化工作負(fù)載可以顯著提高云計(jì)算應(yīng)用的敏捷性,、降低成本、簡(jiǎn)化操作,,甚至提高安全性,。但在缺乏必要專(zhuān)業(yè)知識(shí)和盡職調(diào)查的情況下,,使用這些技術(shù)實(shí)施的應(yīng)用程序配置可能會(huì)導(dǎo)致重大違規(guī)、數(shù)據(jù)丟失甚至業(yè)務(wù)現(xiàn)金流枯竭,。
安全事件
2021年以來(lái),,圍繞拒絕錢(qián)包(Denial of Wallet,DOW)攻擊的云安全事件越來(lái)越多,。DoW攻擊與傳統(tǒng)的拒絕服務(wù)(DoS)攻擊類(lèi)似,,兩者都旨在引起破壞。但是,,DoW攻擊專(zhuān)門(mén)針對(duì)無(wú)服務(wù)器用戶(hù),。這種攻擊利用了以下事實(shí):無(wú)服務(wù)器供應(yīng)商根據(jù)應(yīng)用程序消耗的資源量向用戶(hù)收費(fèi),這意味著,,如果攻擊者向網(wǎng)站充斥流量,,則網(wǎng)站所有者可能會(huì)承擔(dān)巨額賬單。
防護(hù)要點(diǎn)
? 企業(yè)應(yīng)通過(guò)云安全態(tài)勢(shì)管理(CSPM),、云基礎(chǔ)設(shè)施授權(quán)管理(CIEM)和云工作負(fù)載保護(hù)平臺(tái)(CWPP)實(shí)施自動(dòng)檢查,;
? 企業(yè)應(yīng)投資于云安全培訓(xùn)、治理流程和可重用的安全云架構(gòu)模式,,以降低不安全的云配置風(fēng)險(xiǎn)和頻率;
? 開(kāi)發(fā)團(tuán)隊(duì)在遷移至無(wú)服務(wù)器技術(shù)之前,,應(yīng)更加嚴(yán)格地遵循安全相關(guān)的最佳實(shí)踐,。
威脅10
有組織的犯罪團(tuán)伙和APT攻擊
有組織的犯罪團(tuán)伙旨在描述一個(gè)犯罪團(tuán)伙的組織級(jí)別。高級(jí)持續(xù)性威脅(APT)是一個(gè)廣義術(shù)語(yǔ),,用于描述入侵者或入侵團(tuán)隊(duì)在網(wǎng)絡(luò)上長(zhǎng)期開(kāi)展非法活動(dòng),,以挖掘高度敏感的數(shù)據(jù)。APT已經(jīng)建立了復(fù)雜的戰(zhàn)術(shù),、技術(shù)和協(xié)議(TTP)來(lái)滲透其目標(biāo),。他們經(jīng)常在目標(biāo)網(wǎng)絡(luò)中潛伏數(shù)月不被發(fā)現(xiàn),并能夠在網(wǎng)絡(luò)中橫向移動(dòng)以訪問(wèn)高度敏感的業(yè)務(wù)數(shù)據(jù)或資產(chǎn),。
業(yè)務(wù)影響
? APT組織的動(dòng)機(jī)各不相同,。有些是出于政治動(dòng)機(jī)(即黑客活動(dòng)主義者),而另一些則是有組織的犯罪集團(tuán)的一部分,,甚至還有一些團(tuán)體是國(guó)家行為體黑客組織,;
? 要了解APT組織可能對(duì)企業(yè)產(chǎn)生的業(yè)務(wù)影響,企業(yè)必須對(duì)其信息資產(chǎn)進(jìn)行業(yè)務(wù)影響分析,。這使企業(yè)能夠了解APT組織如何以及為什么可能以其為目標(biāo),,以及潛在安全漏洞的潛在業(yè)務(wù)影響可能是什么。
安全事件
2016年2月,,Lazarus group(APT38)幾乎徹底搶劫了孟加拉國(guó)的國(guó)家銀行,;2022年1月,,LAPSUS$入侵了Nvidia的內(nèi)部網(wǎng)絡(luò)并竊取了機(jī)密數(shù)據(jù)。該組織沒(méi)有向Nvidia勒索數(shù)據(jù),,而是要求釋放對(duì)用于加密挖掘的圖形處理單元的限制,。
防護(hù)要點(diǎn)
? 對(duì)企業(yè)進(jìn)行業(yè)務(wù)影響分析,以了解企業(yè)信息資產(chǎn),;
? 參加網(wǎng)絡(luò)安全信息共享小組,,以了解任何相關(guān)的APT組織及其TTP(Tactics、Techniques和Procedures,,即戰(zhàn)術(shù),、技術(shù)和過(guò)程);
? 進(jìn)行攻擊性安全演習(xí)以模擬這些APT組織的TTP,,并調(diào)整安全監(jiān)控工具以進(jìn)行檢測(cè),。
威脅11
不安全的云上數(shù)據(jù)存儲(chǔ)
云存儲(chǔ)數(shù)據(jù)發(fā)生泄露是涉及敏感、受保護(hù)或機(jī)密信息的嚴(yán)重安全事件,。這些數(shù)據(jù)可能會(huì)被企業(yè)之外的個(gè)人發(fā)布,、查看、竊取或使用,。云存儲(chǔ)數(shù)據(jù)是有針對(duì)性攻擊的最主要目標(biāo)之一,,并且可能是由漏洞利用、配置錯(cuò)誤,、應(yīng)用程序漏洞或糟糕的安全實(shí)踐造成的,。這類(lèi)數(shù)據(jù)泄露可能涉及不打算公開(kāi)發(fā)布的任何信息類(lèi)型,例如個(gè)人健康信息,、財(cái)務(wù)信息,、個(gè)人身份信息、商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)等,。
業(yè)務(wù)影響
云存儲(chǔ)數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有:
? 知識(shí)產(chǎn)權(quán)丟失,,被用于其它產(chǎn)品開(kāi)發(fā)、戰(zhàn)略計(jì)劃,,甚至發(fā)動(dòng)未來(lái)攻擊,;
? 失去客戶(hù)、利益相關(guān)者,、合作伙伴和員工的信任,,可能會(huì)抑制商業(yè)行為、投資和購(gòu)買(mǎi),,并降低員工在企業(yè)工作的意愿,;
? 監(jiān)管更嚴(yán)格,包括財(cái)務(wù)罰款或流程和業(yè)務(wù)變更等,;
? 地緣政治因素會(huì)影響商業(yè)行為,。
安全事件
2021年6月,,因發(fā)生重大用戶(hù)數(shù)據(jù)泄露事件,F(xiàn)acebook在歐洲受到起訴,,但該事件直到在暗網(wǎng)論壇上發(fā)現(xiàn)其有超過(guò)5.33億個(gè)賬戶(hù)信息可供免費(fèi)下載后才被曝光,。
防護(hù)要點(diǎn)
? 云存儲(chǔ)需要配置良好的環(huán)境(SSPM、CSPM),;
? 應(yīng)用CSP最佳實(shí)踐指南,、監(jiān)控和檢測(cè)功能,以檢測(cè)和防止攻擊及數(shù)據(jù)泄露,;
? 需要對(duì)員工進(jìn)行云存儲(chǔ)使用安全意識(shí)培訓(xùn),,因?yàn)閿?shù)據(jù)分散在不同的位置并由不同的角色控制;
? 在適當(dāng)?shù)那闆r下實(shí)施客戶(hù)端加密,;
? 對(duì)數(shù)據(jù)進(jìn)行分類(lèi)并記錄事件響應(yīng)中所采取的措施,。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
