信息化觀察網(wǎng)

云計算正在持續(xù)改變著企業(yè)使用、存儲和共享數(shù)據(jù)、應用程序和工作負載的方式。與此同時，這也帶來了許多新的安全威脅和挑戰(zhàn)。這么多數(shù)據(jù)進入云端，特別是公有云服務，那么這些資源自然也就成為了不法分子的目標。

市場研究機構Gartner的副總裁兼云安全負責人Jay Heiser表示，“公有云的使用量正在快速增長，因此不可避免地會有大量敏感內容暴露在風險當中。”

與許多人的想法正好相反，保護云端上的企業(yè)數(shù)據(jù)的主要責任不在于服務提供商，而在于云服務的客戶。Heiser稱：“我們正處于云安全過渡期，重點正從提供商轉移到客戶身上。企業(yè)正在花費大量時間來弄清楚云服務提供商是否‘安全’，但是他們幾乎沒有得到任何答案。”

為了讓企業(yè)了解云安全的最新動態(tài)，讓他們在云部署策略上做出明智的決策，云安全聯(lián)盟（CSA）已經(jīng)發(fā)布了最新版本的《十二大云計算頂級威脅：行業(yè)洞察報告》。

該報告反映了目前CSA社區(qū)中的安全專家對最重要的云安全問題的一些共識。雖然云端存在許多安全問題，但是該報告僅列出了按需要使用共享云計算所存在的12個重大問題。后續(xù)發(fā)布的《云計算頂級威脅：深度觀察》列出了關于這12種威脅的案例研究。

為了確定最重要的威脅，CSA對行業(yè)專家進行了一項調查，以匯總對最重要的云計算安全問題的專業(yè)意見。以下是最重要的云安全問題（嚴重程度根據(jù)調查結果排序）：

01

數(shù)據(jù)泄露

CSA表示，數(shù)據(jù)泄露可能是有針對性的攻擊所追求的結果，或者僅僅是人為錯誤、應用程序漏洞或安全措施不佳所導致的。其可能涉及任何無意被公布的信息，如個人健康信息、財務信息、個人身份信息、商業(yè)機密和知識產(chǎn)權。一個企業(yè)的云端數(shù)據(jù)可能因不同的原因對不同的對象具有不同的價值。數(shù)據(jù)泄露的風險并非云計算所獨有，但它們始終是云客戶最關注的問題。

《深度觀察》報告將2012年LinkedIn因密碼被竊導致發(fā)生數(shù)據(jù)泄露作為了一個重要案例。由于LinkedIn沒有對密碼數(shù)據(jù)庫進行加密，導致攻擊者竊取了1.67億個密碼。該報告指出，這種漏洞的關鍵要點是，企業(yè)應始終對包含用戶憑據(jù)的數(shù)據(jù)庫進行加密處理，同時采取適當?shù)娜罩居涗浐托袨楫惓７治觥?/p>

02

身份、憑證和訪問管理不當

CSA表示，偽裝成合法用戶、操作員或開發(fā)人員的不法分子可以讀取、修改和刪除數(shù)據(jù)，發(fā)布控制平面和管理功能，窺探傳輸中的數(shù)據(jù)或發(fā)布貌似合法來源的惡意軟件。因此，身份、憑證或密鑰管理不當可能會導致未經(jīng)授權的數(shù)據(jù)訪問，并可能對組織機構或最終用戶造成災難性損害。

《深度觀察》報告稱，訪問管理不當?shù)囊粋€例證是MongoDB數(shù)據(jù)庫的默認安裝存在風險。該默認安裝會打開一個無需身份驗證即可允許訪問的端口。報告建議在所有周邊設置預防性控制，同時掃描托管的和共享的公共環(huán)境中的漏洞。

03

不安全的接口和應用程序編程接口（API）

云服務提供商都會公開一組供客戶用來管理云服務并與之交互的軟件用戶界面（UI）或API。CSA表示，配置、管理和監(jiān)控都是通過這些接口執(zhí)行的，一般云服務的安全性和可用性取決于API的安全性。它們需要能夠防止意外的和惡意的政策規(guī)避操作。

04

系統(tǒng)漏洞

系統(tǒng)漏洞是程序中可利用的漏洞，攻擊者可以利用這些漏洞滲透到系統(tǒng)中竊取數(shù)據(jù)、控制系統(tǒng)或中斷服務操作。CSA表示，操作系統(tǒng)組件中的漏洞使所有服務和數(shù)據(jù)的安全性面臨重大風險。隨著云端中多租戶的出現(xiàn)，不同企業(yè)的系統(tǒng)彼此相鄰，并且可以訪問共享內存和資源，從而為攻擊者創(chuàng)建了新的攻擊面。

05

賬戶劫持

CSA指出，賬戶或服務劫持并不新鮮，但是云服務的出現(xiàn)帶來了新的威脅。如果攻擊者獲得了用戶憑據(jù)的訪問權限，他們就可以監(jiān)控活動和交易、操縱數(shù)據(jù)、返回偽造信息并將客戶端重定向到非法網(wǎng)站。賬戶或服務實例可能成為攻擊者的新跳板。憑借竊取的憑據(jù)，攻擊者通?？梢栽L問云計算服務的關鍵區(qū)域，從而破壞這些服務的機密性、完整性和可用性。

《深度觀察》報告列舉了一個例子。Dirty Cow高級持續(xù)威脅（APT）小組能夠通過弱審查或社會工程接管現(xiàn)有賬戶來獲得系統(tǒng)的root 級控制。該報告建議對訪問權限執(zhí)行“需要知道”和“需要訪問”政策，并對賬戶接管策略有針對性地展開社會工程培訓。

06

不懷好意的內部人士

CSA表示，雖然內部威脅的威脅程度還存在爭論，但這種威脅是實實在在的威脅。不懷好意的內部人員（如系統(tǒng)管理員）有可能會訪問敏感信息，并可以對更關鍵的系統(tǒng)和最終的數(shù)據(jù)進行更高級別的訪問。系統(tǒng)如果僅依靠云服務提供商的安全性，那么將存在巨大的風險。

該報告舉了一名心懷不滿的Zynga員工的例子。該員工從公司下載并泄露了機密業(yè)務數(shù)據(jù)。當時整個公司沒有制定相關的防丟失控制措施?！渡疃扔^察》報告建議實施數(shù)據(jù)丟失防護（DLP）控制，并制定安全和隱私意識計劃，以改進對可疑活動的識別和報告。

07

高級持續(xù)威脅（APT）

APT是一種寄生式的網(wǎng)絡攻擊，它通過向系統(tǒng)滲透以在目標公司的IT基礎設施中建立根據(jù)地，然后竊取數(shù)據(jù)。APT在很長一段時間內會悄悄地追蹤他們的目標，以適應旨在防御它們的安全措施。CSA表示，一旦到位，APT可以橫向移動通過數(shù)據(jù)中心網(wǎng)絡并融入正常的網(wǎng)絡流量當中，以實現(xiàn)其目標。

08

數(shù)據(jù)丟失

CSA表示，存儲在云端上的數(shù)據(jù)可能會因惡意攻擊以外的原因而丟失。云服務提供商的意外刪除，火災、地震等物理災難可導致客戶數(shù)據(jù)永久丟失，除非提供商或云消費者遵循業(yè)務連續(xù)性和災難恢復的最佳實踐，采取適當措施備份這些數(shù)據(jù)。

09

盡職調查不徹底

CSA表示，當高管們制定業(yè)務戰(zhàn)略時，必須要考慮云技術和服務提供商。在評估技術和提供商時，制定完善的路線圖和盡職調查清單對于取得全面成功至關重要。急于采用云技術并選擇提供商而不進行盡職調查的公司將會面臨許多風險。

10

濫用和惡意使用云服務

CSA表示，不安全的云服務部署、免費的云服務試用以及欺詐性注冊的賬戶將使云計算模型遭受惡意攻擊。不法分子可能會利用云計算資源來鎖定用戶、組織機構或其他云提供商。濫用云資源的例子包括啟動分布式拒絕服務攻擊、垃圾郵件和網(wǎng)絡釣魚攻擊。

拒絕服務（DoS）

DoS攻擊旨在阻止使用服務的用戶訪問其數(shù)據(jù)或應用程序。通過強迫遭到攻擊的云服務過度消耗有限的系統(tǒng)資源（如處理器能力、內存、磁盤空間或網(wǎng)絡帶寬），攻擊者能夠降低系統(tǒng)處理速度，并使所有合法的服務用戶無法訪問服務。

《深度觀察》在DoS攻擊中以DNS提供商Dyn為例舉例稱，一個外部組織使用Mirai惡意軟件利用他們控制的物聯(lián)網(wǎng)設備，對Dyn發(fā)動了分布式拒絕服務（DDoS）攻擊。攻擊者之所以成功，是因為受損的物聯(lián)網(wǎng)設備使用了默認憑據(jù)。報告建議分析異常的網(wǎng)絡流量，并審查和測試業(yè)務連續(xù)性計劃。

12

共享技術漏洞

CSA指出，云服務提供商通過共享基礎架構、平臺或應用程序提供可擴展的服務。云技術帶來的“……即服務”解決方案有時是以犧牲安全性為代價的，盡管其優(yōu)勢是不會顯著改變現(xiàn)成的軟硬件。支持云服務部署的基礎設施的基本組件可能在設計時并沒有為多租戶架構或多客戶應用程序提供強大的隔離功能。這導致出現(xiàn)了共享技術漏洞，這些漏洞可能會在所有交付模型中被利用。

《深度觀察》在報告中列舉了Cloudbleed漏洞。外部的不法分子利用軟件中的漏洞從安全服務提供商Cloudflare那里竊取了API密鑰、密碼和其他憑據(jù)。該報告建議應對所有敏感數(shù)據(jù)進行加密，并根據(jù)敏感度級別對數(shù)據(jù)進行隔離。

其他云威脅：Meltdown（熔斷）和Spectre（幽靈）

2018年1月，研究人員公布了大多數(shù)現(xiàn)代微處理器中的一個普遍的設計漏洞，該漏洞允許惡意的Javascript代碼從內存中讀取內容，包括加密數(shù)據(jù)。這一漏洞有兩個變體，分別被稱為Meltdown（熔斷）和Spectre（幽靈），它們能夠影響從智能手機到服務器的所有設備。正是由于這一原因，我們將它們也添加到了這個云威脅列表之中。

Spectre和Meltdown允許旁路攻擊，因為它們打破了應用程序之間的原有隔離。能夠通過非特權登錄訪問系統(tǒng)的攻擊者可以從內核讀取信息，或者如果攻擊者是客戶虛擬機（VM）上的root用戶，那么他們則可以讀取主機內核。

這對云服務提供商來說是一個嚴重的問題。雖然已經(jīng)有了補丁，但也只是讓攻擊者變得難以發(fā)動攻擊而已。與此同時，由于補丁程序可能會降低性能，因此一些企業(yè)可能會選擇不修補系統(tǒng)?！队嬎銠C安全應急響應組建議報告》（CERT Advisory）建議更換所有受影響的處理器，但是如果還沒有相應的替代品，那么這一建議根本無法做到。

迄今為止，雖然還沒有利用Meltdown或Spectre漏洞的威脅被曝光，但是專家們認為這種威脅可能很快就會出來。云提供商防范它們的最佳建議是確保所有最新的補丁都已到位?？蛻魬笃湓铺峁┥烫峁┤绾雾憫狹eltdown和Spectre的相關信息。

作者：Bob Violino 為Computerworld、CIO、CSO、InfoWorld和Network World網(wǎng)站的特約撰稿人。

編譯：陳琳華

原文網(wǎng)址：https://www.csoonline.com/article/3043030/the-dirty-dozen-12-top-cloud-security-threats.html