摘要:在上周召開的會(huì)議上,云安全聯(lián)盟列出的����,即企業(yè)組織在年將面臨的大頂級(jí)云計(jì)算安全威脅����。當(dāng)發(fā)生數(shù)據(jù)泄露事故時(shí)���,企業(yè)組織可能會(huì)被罰款�,他們甚至可能會(huì)面臨訴訟或刑事指控��。糟糕的接口和或?qū)⒈┞冻銎髽I(yè)組織在保密性完整性可用性和問責(zé)制方面的安全問題���。
企業(yè)組織在信息化辦公環(huán)境中����,在網(wǎng)絡(luò)中進(jìn)行辦公及數(shù)據(jù)傳輸?shù)臐撛谖kU(xiǎn)正在加大�,有必要對(duì)數(shù)據(jù)安全進(jìn)行防范。在上周召開的RSA會(huì)議上��,CSA(云安全聯(lián)盟)列出的“Treacherous12”�����,即企業(yè)組織在2016年將面臨的12大頂級(jí)云計(jì)算安全威脅����。CSA發(fā)布了相關(guān)的報(bào)告�����,來幫助云客戶和供應(yīng)商加強(qiáng)他們的防御力度����。
云計(jì)算
云計(jì)算的共享�����、按需的性質(zhì)�����,自然帶來了新的安全漏洞��,從而可能抵消了企業(yè)用戶遷移到使用云技術(shù)所帶來的任何收益���,CSA警告說。在CSA之前所發(fā)布的報(bào)告中指出�,云服務(wù)天生的性質(zhì)決定了其能夠使得用戶繞過整個(gè)企業(yè)組織的安全政策,并在服務(wù)的影子IT項(xiàng)目中建立自己的賬戶�。因此�,必須采取新的管制措施�����,并將其落實(shí)到位了��。
“這項(xiàng)2016年頂級(jí)云安全威脅名單的發(fā)布��,反映了企業(yè)管理隊(duì)伍所做出的糟糕的云計(jì)算決策將產(chǎn)生可怕的后果�。”CSA的研究執(zhí)行副總裁J.R.Santos表示說����。
安全威脅1:數(shù)據(jù)泄露
在云環(huán)境中其實(shí)面臨著許多與傳統(tǒng)企業(yè)網(wǎng)絡(luò)相同的安全威脅,但由于大量的數(shù)據(jù)存儲(chǔ)在云服務(wù)器�,使得云服務(wù)供應(yīng)商成為了一個(gè)更具吸引力的攻擊目標(biāo)。潛在損害的嚴(yán)重程度往往取決于數(shù)據(jù)的敏感性����。暴露了個(gè)人財(cái)務(wù)信息往往會(huì)成為頭條新聞,但其實(shí)涉及到涉及健康信息����、商業(yè)秘密和知識(shí)產(chǎn)權(quán)的數(shù)據(jù)泄漏往往是更具破壞性的。
當(dāng)發(fā)生數(shù)據(jù)泄露事故時(shí)�,企業(yè)組織可能會(huì)被罰款�����,他們甚至可能會(huì)面臨訴訟或刑事指控����。而相應(yīng)的違規(guī)調(diào)查活動(dòng)和客戶通知會(huì)耗費(fèi)大量的成本����。而間接的惡性影響,還包括諸如企業(yè)品牌損失和業(yè)務(wù)損失����,甚至可能會(huì)影響企業(yè)組織多年的時(shí)間而無法翻身。
云服務(wù)供應(yīng)商通常都會(huì)部署安全控制來保護(hù)他們的環(huán)境�。但最終,企業(yè)組織都需要負(fù)責(zé)保護(hù)他們存儲(chǔ)在云中的數(shù)據(jù)�����。CSA建議企業(yè)組織使用多因素身份驗(yàn)證和加密的方式��,來盡量防止數(shù)據(jù)泄露事故的發(fā)生�。
安全威脅2:憑據(jù)或身份驗(yàn)證遭到攻擊或破壞
數(shù)據(jù)泄露和其他攻擊經(jīng)常是由于企業(yè)組織內(nèi)部松散的身份驗(yàn)證���、弱密碼�、和糟糕的密鑰或證書管理所造成的。由于企業(yè)組織試圖將權(quán)限分配給相應(yīng)的工作職位上的員工用戶����,故而經(jīng)常需要處理身份管理的問題。更重要的是�,當(dāng)某個(gè)工作職能發(fā)生改變或某位用戶離開該企業(yè)組織時(shí),他們有時(shí)會(huì)忘記刪除該用戶的訪問權(quán)限
諸如一次性密碼���、手機(jī)認(rèn)證和智能卡認(rèn)證這樣的多因素認(rèn)證系統(tǒng)能夠保護(hù)云服務(wù)��,因?yàn)檫@些手段可以讓攻擊者很難利用其盜取的密碼來登錄企業(yè)系統(tǒng)�。例如�,在美國第二大醫(yī)療保險(xiǎn)服務(wù)商Anthem公司數(shù)據(jù)泄露事件中,導(dǎo)致有超過8000萬客戶的個(gè)人信息被暴露�����,就是因?yàn)橛脩魬{據(jù)被盜所導(dǎo)致的結(jié)果����。Anthem公司沒有部署多因素認(rèn)證,所以一旦攻擊者獲得憑證���,就會(huì)導(dǎo)致**煩���。
許多開發(fā)人員誤將憑證和密鑰嵌入到了源代碼中��,并將其發(fā)布到了諸如GitHub等面向公眾的存儲(chǔ)庫�����。密鑰需要進(jìn)行適當(dāng)?shù)谋Wo(hù)�����,而安全的公共密鑰基礎(chǔ)設(shè)施是必要的����,CSA表示說�����。他們還需要定期修改密鑰�,從而使得攻擊者在沒有獲得授權(quán)的情況下更難利用他們所盜取的密鑰了。
那些計(jì)劃與云服務(wù)提供商聯(lián)合采取身份驗(yàn)證措施的企業(yè)組織需要了解他們的云服務(wù)提供商所采用的安全措施�,以便保護(hù)身份驗(yàn)證平臺(tái)。將身份驗(yàn)證集中到一個(gè)單一的存儲(chǔ)庫中有其風(fēng)險(xiǎn)��。企業(yè)組織需要在集中方便的身份驗(yàn)證與面臨成為攻擊者最高價(jià)值攻擊目標(biāo)存儲(chǔ)庫的風(fēng)險(xiǎn)之間進(jìn)行權(quán)衡取舍���。
安全威脅3:接口和API被黑客攻擊
現(xiàn)如今�����,幾乎每一款云服務(wù)和應(yīng)用程序均提供API����。IT團(tuán)隊(duì)使用接口和API來管理���,并實(shí)現(xiàn)與云服務(wù)的交互��,包括提供云服務(wù)的配置����、管理��、業(yè)務(wù)流程協(xié)調(diào)和監(jiān)控的服務(wù)�����。
云服務(wù)的安全性和可用性——從身份認(rèn)證和訪問控制再到加密和活動(dòng)監(jiān)測(cè)——均需要依賴于API的安全性。隨著依賴于這些API和建立在這些接口上的第三方服務(wù)的增加�����,相應(yīng)的安全風(fēng)險(xiǎn)也在增加�,企業(yè)組織可能需要提供更多的服務(wù)和憑據(jù),CSA警告稱�����。糟糕的接口和API或?qū)⒈┞冻銎髽I(yè)組織在保密性���、完整性�、可用性和問責(zé)制方面的安全問題�。
API和接口往往是企業(yè)系統(tǒng)中最容易被暴露的部分,因?yàn)樗鼈兺ǔJ峭ㄟ^開放的互聯(lián)網(wǎng)訪問的�����。CSA建議��,企業(yè)組織應(yīng)當(dāng)將適當(dāng)控制作為“防御和檢測(cè)的第一線”���,而安全威脅模型應(yīng)用程序和系統(tǒng)建模��,包括數(shù)據(jù)流和系統(tǒng)架構(gòu)設(shè)計(jì)����,便成為了開發(fā)生命周期的重要組成部分。CSA還建議����,安全工作應(yīng)當(dāng)重點(diǎn)關(guān)注在代碼審查和嚴(yán)格的滲透測(cè)試方面��。
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/4896.html
