標籤:

2018即將面臨的12個雲安全風險

越來越多的數據和應用程序正在轉向雲端,這將帶來獨特的信息安全挑戰。以下是使用雲服務時,面臨的最嚴重的12個風險。要說明的是這12個風險提示可是國際雲安全聯盟(CSA)在經過細緻的調查後得出的結論。其目的就是要弄清楚雲安全的主要責任方到底是雲服務提供商而是使用雲的用戶。另外,也是要讓企業對雲安全有個明確的應對策略。

數據泄露

CSA的調查顯示,數據泄露可能是黑客的攻擊結果,但也可能是人為操作錯誤、應用程序漏洞或安全措施配置不當的結果。泄露的數據都是比較隱私的數據,包括個人健康信息、財務信息、個人身份信息、商業秘密和知識產權。雖然數據泄露的風險並不是雲計算獨有的,但它始終是雲端客戶的首要考慮因素。

身份信息、登錄憑證和訪問管理的保護不到位

冒充合法用戶、操作人員或開發人員的黑客可以讀取、修改和刪除用戶的數據,進而對雲端的管理功能進行修改。CSA的調查顯示,對雲端數據進行攻擊的惡意軟體的來源都是合法的。因此可以斷定,身份信息、登錄憑證或密鑰管理的保護不到位,是造成數據未經授權被訪問的根本原因。

不安全的介面和應用程序編程介面(api)

用戶會通過雲服務商提供的用戶界面(ui)或客戶端來管理雲服務,CSA的調查顯示,對雲端進行攻擊的所有配置、管理和監控都是通過這些介面進行的,一般雲服務的安全性和可用性都依賴於api的安全性。

系統漏洞

系統漏洞是攻擊雲端的另一個途徑,攻擊者可以利用這些漏洞潛入系統竊取數據、控制系統或中斷服務操作。CSA的調查顯示,操作系統組件中的漏洞會將所有雲端服務和數據的安全性置於重大風險之中。特別是對於公共雲端平台來說,一個空間可能有多個臨時用戶,如果系統存在漏洞,那攻擊面將會非常廣。

賬戶劫持

CSA的調查顯示,帳號或服務劫持也是黑客攻擊雲端的手段之一。如果黑客獲得了用戶的憑證,他們就可以監控用戶的活動,篡改數據,返回虛假信息,並將客戶重定向到非法站點。使用竊取的憑證,黑客通常可以訪問雲計算服務的關鍵區域,從而竊取機密信息,進而破壞該區域功能的完整性和可用性。

內鬼

日防夜防,家賊難防,CSA的調查顯示,雖然大部分威脅都是外部人員所為,但也不排除公司內部有人在盜取數據,從而謀取暴力。近年來,類似事件屢見不鮮,由於像系統管理員這樣的內部人員可以訪問敏感信息,所以把安全完全放在雲服務提供商顯然是不明智的。

APT攻擊

APT是一種長期潛伏針對特定目標的網路攻擊形式,它會提前滲透到目標公司IT基礎設施,然後伺機竊取數據,APT在很長一段時間內都是處於潛伏的狀態,所以一般的安全防禦措施很難檢測到它的存在。

數據丟失

CSA的調查顯示,存儲在雲中的數據可能會發生不明原因(並非黑客攻擊)的丟失,比如雲服務提供商的設備損壞、技術故障或火災、地震等物理災難可能導致客戶數據的永久丟失,除非提供商採取適當的措施對數據進行了備份。

盡職調查不足

CSA的調查顯示,當雲提供商的高管在制定業務戰略時,必須對雲技術進行必要的實地調查,已評估風險係數。

惡意使用雲服務

CSA的調查顯示,目前許多雲服務都在努力推銷自己的產品,所以我們可以使用很多免費的雲服務。但其實有的雲服務的安全配置根本就不到位,只是為了做個噱頭吸引客戶。有的雲服務還要讓用戶在登錄時,輸入用戶的個人支付賬號並和其它社交賬號聯繫起來。毫無疑問,這是利用雲服務騙取用戶信息的一個手段,即使雲服務提供商是無意的,那也是其不負責任在先。濫用雲端資源的例子包括啟動分散式拒絕服務攻擊,垃圾郵件和網路釣魚攻擊。

拒絕服務(DoS)

DoS攻擊旨在阻止用戶訪問其存儲的數據或應用程序,通過強制目標雲服務佔用過多的有限系統資源,如處理器能力,內存,磁碟空間或網路帶寬,攻擊者可能會導致系統速度下降,並使所有合法的服務用戶無法訪問雲服務。

共享技術漏洞

CSA的調查顯示,雲服務提供商通過共享基礎架構,平台或應用程序來擴展其服務。單位了節省成本,雲服務提供商是不會大幅增加現成的硬體或軟體的,所以只能以犧牲安全為代價了。支持雲服務的底層組件可能在最初設計時,並未想到為多用戶進行架構,這可能會導致共享中的技術漏洞。

本文翻譯自:csoonline.com/article/3 如若轉載,請註明原文地址: 4hou.com/info/industry/ 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

如何提取Google Chrome中的密碼?
全球首例!黑產利用SS7漏洞接管用戶手機卡偷錢
和西碧爾(Sybil)的親密接觸
神漏洞!一張高清照片,破解三星Galaxy S8虹膜識別

TAG:信息安全 |