云安全威脅
龐雜的數(shù)據(jù)、應(yīng)用正逐漸向云端遷移,云服務(wù)給予數(shù)據(jù)使用、存儲、共享的更多可能性。而上云時代,海量分析與負(fù)載背后,也帶來了一系列新的安全威脅與挑戰(zhàn)。
1、數(shù)據(jù)泄露
數(shù)據(jù)泄露威脅繼續(xù)保持第一的位置,也是最嚴(yán)重的云安全威脅。數(shù)據(jù)泄露行為可能會嚴(yán)重?fù)p害企業(yè)的聲譽(yù)和財務(wù),還可能會導(dǎo)致知識產(chǎn)權(quán)(IP)損失和重大法律責(zé)任。
防治建議
-攻擊者渴望竊取數(shù)據(jù),因此企業(yè)需要定義其數(shù)據(jù)的價值及其丟失的影響;
-明確哪些人有權(quán)訪問數(shù)據(jù)是解決數(shù)據(jù)保護(hù)問題的關(guān)鍵;
-可通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)最容易受到錯誤配置或漏洞利用的影響;
-加密可以保護(hù)數(shù)據(jù),但需要在性能和用戶體驗之間進(jìn)行權(quán)衡;
-企業(yè)需要可靠、經(jīng)過測試的事件響應(yīng)計劃,并將云服務(wù)提供商考慮在內(nèi)。
2、配置錯誤和變更控制不足
這是CSA云安全威脅榜單中出現(xiàn)的新威脅,考慮到近年來越來越多的企業(yè)都因為疏忽或意外通過云公開泄露數(shù)據(jù),該威脅上榜不足為奇。如Exactis事件,其中云服務(wù)商因配置錯誤公開泄露了一個包含2.3億美國消費者的個人數(shù)據(jù)的Elasticsearch數(shù)據(jù)庫。
防治建議
-云端資源的復(fù)雜性使其難以配置;
-不要期望傳統(tǒng)的控制和變更管理方法在云中有效;
-使用自動化和技術(shù),這些技術(shù)會連續(xù)掃描錯誤配置的資源。
3、缺乏云安全架構(gòu)和策略
這是個云計算與生俱來的“古老”問題。對于很多企業(yè)來說,最大程度縮短將系統(tǒng)和數(shù)據(jù)遷移到云所需的時間的優(yōu)先級,要高于安全性。結(jié)果,企業(yè)往往會選擇并非針對其設(shè)計的云安全基礎(chǔ)架構(gòu)和云計算運營策略。這一問題出現(xiàn)在2020年云安全威脅清單中表明,更多的企業(yè)開始意識到這是一個嚴(yán)重問題。
防治建議
-安全體系結(jié)構(gòu)需要與業(yè)務(wù)目標(biāo)保持一致;
-開發(fā)和實施安全體系結(jié)構(gòu)框架;
-保持威脅模型為最新;
-部署持續(xù)監(jiān)控功能。
4、身份、憑證、訪問和密鑰管理不善
威脅清單中的另一個新威脅是對數(shù)據(jù)、系統(tǒng)和物理資源(如服務(wù)器機(jī)房和建筑物)的訪問管理和控制不足。報告指出,云計算環(huán)境中,企業(yè)需要改變與身份和訪問管理(IAM)有關(guān)的做法。
防治建議
-安全賬戶,包括使用雙重身份驗證;
-對云用戶和身份使用嚴(yán)格的身份和訪問控制-特別是限制root賬戶的使用;
-根據(jù)業(yè)務(wù)需求和最小特權(quán)原則隔離和細(xì)分賬戶、虛擬私有云和身份組;
-采用程序化、集中式方法進(jìn)行密鑰輪換;
-刪除未使用的憑據(jù)和訪問特權(quán)。
5、賬戶劫持
隨著網(wǎng)絡(luò)釣魚攻擊變得更加有效和更有針對性,攻擊者獲得高特權(quán)賬戶訪問權(quán)的風(fēng)險非常大。網(wǎng)絡(luò)釣魚不是攻擊者獲取憑據(jù)的唯一方法。他們還可以通過入侵云服務(wù)等手段來竊取賬戶。
一旦攻擊者可以使用合法賬戶進(jìn)入系統(tǒng),就可能造成嚴(yán)重破壞,包括盜竊或破壞重要數(shù)據(jù),中止服務(wù)交付或財務(wù)欺詐。
防治建議
-賬戶憑證被盜時,不要只是重置密碼,要從源頭解決根本問題;
-深度防御方法和強(qiáng)大的IAM控制是最好的防御方法。
6、內(nèi)部威脅
內(nèi)部威脅者未必都是惡意的,很多員工疏忽可能會無意間使數(shù)據(jù)和系統(tǒng)面臨風(fēng)險。根據(jù)Ponemon Institute的2018年內(nèi)部威脅成本研究,64%的內(nèi)部威脅事件是由于員工或承包商的疏忽所致。這種疏忽可能包括配置錯誤的云服務(wù)器,在個人設(shè)備上存儲敏感數(shù)據(jù)或成為網(wǎng)絡(luò)釣魚電子郵件的受害者。
防治建議
-對員工進(jìn)行充分的安全意識和行為準(zhǔn)則的培訓(xùn)和教育,以保護(hù)數(shù)據(jù)和系統(tǒng)。使安全意識教育常態(tài)化,成為一個持續(xù)的過程;
-定期審核和修復(fù)配置錯誤的云服務(wù)器;
-限制對關(guān)鍵系統(tǒng)的訪問。
7、不安全的接口和API
Facebook曾經(jīng)歷了一次嚴(yán)重的數(shù)據(jù)泄露事件,超5000萬個賬戶受到影響,問題的根源就是新服務(wù)View中不安全的API。尤其是當(dāng)與用戶界面相關(guān)聯(lián)時,API漏洞往往是攻擊者竊取用戶或員工憑據(jù)的熱門途徑。
防治建議
-采用良好的API做法,例如監(jiān)督庫存、測試、審計和異?;顒颖Wo(hù)等項目;
-保護(hù)API密鑰并避免重用;
-考慮采用開放的API框架,例如開放云計算接口(OCCI)或云基礎(chǔ)架構(gòu)管理接口(CIMI)。
8、控制面薄弱
控制平面涵蓋了數(shù)據(jù)復(fù)制、遷移和存儲的過程。若負(fù)責(zé)人員無法完全控制數(shù)據(jù)基礎(chǔ)架構(gòu)的邏輯、安全性和驗證,則控制平面將很薄弱。相關(guān)人員需要了解安全配置,數(shù)據(jù)流向以及體系結(jié)構(gòu)盲點或弱點。否則可能會導(dǎo)致數(shù)據(jù)泄漏、數(shù)據(jù)不可用或數(shù)據(jù)損壞。
防治建議
-確保云服務(wù)提供商提供履行法律和法定義務(wù)所需的安全控制;
-進(jìn)行盡職調(diào)查以確保云服務(wù)提供商擁有足夠的控制平面。
9、元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障
云服務(wù)商的元結(jié)構(gòu)(Metastructure)保存了如何保護(hù)其系統(tǒng)的安全性信息,并可通過API調(diào)用。這些API可幫助客戶檢測未經(jīng)授權(quán)的訪問,同時也包含高度敏感的信息,例如日志或?qū)徍讼到y(tǒng)數(shù)據(jù)。元結(jié)構(gòu)也是潛在的故障點,可能使攻擊者能夠訪問數(shù)據(jù)或破壞云客戶。
防治建議
-確保云服務(wù)提供商提供可見性并公開緩解措施;
-在云原生設(shè)計中實施適當(dāng)?shù)墓δ芎涂丶?
-確保云服務(wù)提供商進(jìn)行滲透測試并向客戶提供結(jié)果。
10、元資源使用的可見性差
安全專業(yè)人員普遍抱怨云環(huán)境導(dǎo)致他們看不到檢測和防止惡意活動所需的許多數(shù)據(jù)。CSA將這種可見性挑戰(zhàn)分為兩類:未經(jīng)批準(zhǔn)的應(yīng)用程序使用和未經(jīng)批準(zhǔn)的應(yīng)用程序濫用。
未經(jīng)批準(zhǔn)的應(yīng)用程序本質(zhì)上是影子IT,即員工未經(jīng)IT或安全或技術(shù)支持或許可使用的應(yīng)用程序。任何不符合公司安全性準(zhǔn)則的應(yīng)用程序都可能會招致安全團(tuán)隊未意識到的風(fēng)險。經(jīng)許可的應(yīng)用程序濫用包含很多場景,可能是授權(quán)的人員使用批準(zhǔn)的應(yīng)用程序,也可能是外部攻擊者使用被盜的憑據(jù)。安全團(tuán)隊?wèi)?yīng)當(dāng)能夠通過檢測非常規(guī)行為來區(qū)分有效用戶和無效用戶。
防治建議
-人員、流程和技術(shù)各個環(huán)節(jié)都注重云可見性的提升;
-在公司范圍內(nèi)對云資源使用策略進(jìn)行強(qiáng)制性培訓(xùn);
-讓云安全架構(gòu)師或第三方風(fēng)險管理人員查看所有未經(jīng)批準(zhǔn)的云服務(wù);
-投資云訪問安全代理(CASB)或軟件定義的網(wǎng)關(guān)(SDG)來分析出站活動;
-投資Web應(yīng)用程序防火墻以分析入站連接;
-在整個組織中實施零信任模型。
11、濫用和惡意使用云服務(wù)
攻擊者越來越多地使用合法的云服務(wù)來從事非法活動。如使用云服務(wù)在GitHub之類的網(wǎng)站上托管偽裝的惡意軟件,發(fā)起DDoS攻擊,分發(fā)網(wǎng)絡(luò)釣魚電子郵件、挖掘數(shù)字貨幣、執(zhí)行自動點擊欺詐或?qū)嵤┍┝粢愿`取憑據(jù)。
防治建議
-監(jiān)控員工的云服務(wù)濫用情況;
-使用云數(shù)據(jù)丟失防護(hù)(DLP)解決方案來監(jiān)視和停止數(shù)據(jù)泄露。