云安全聯(lián)盟:2016年的十二大云安全威脅
在將應(yīng)用和數(shù)據(jù)遷移到云端這件事上,企業(yè)不再裹足不前,但安全問(wèn)題依然需要加以密切關(guān)注。最小化云端安全風(fēng)險(xiǎn)的第一步,就是要認(rèn)清那些頂級(jí)安全威脅。
云計(jì)算的共享特性和按需定制本質(zhì)除了給企業(yè)帶來(lái)效率上提升,也引入了新的安全威脅,有可能使企業(yè)得不償失。之前云安全聯(lián)盟(CSA)的報(bào)告便指出,云服務(wù)天生就能使用戶繞過(guò)公司范圍內(nèi)的安全策略,建立起自己的影子IT項(xiàng)目服務(wù)賬戶。新的安全控制策略必須被引入。
下面是云安全聯(lián)盟列出的2016年“十二大云安全威脅”,云服務(wù)客戶和提供商都可以根據(jù)這份CSA放出的報(bào)告調(diào)整防御策略。
威脅 No.1:數(shù)據(jù)泄露
云環(huán)境面對(duì)的威脅中有很多都與傳統(tǒng)企業(yè)網(wǎng)絡(luò)面對(duì)的威脅相同,但由于有大量數(shù)據(jù)存儲(chǔ)在云服務(wù)器上,云提供商便成為了黑客很喜歡下手的目標(biāo)。萬(wàn)一受到攻擊,潛在損害的嚴(yán)重性,取決于所泄露數(shù)據(jù)的敏感性。個(gè)人財(cái)務(wù)信息泄露事件或許會(huì)登上新聞?lì)^條,但涉及健康信息、商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)的數(shù)據(jù)泄露,卻有可能是更具毀滅性的打擊。
一旦發(fā)生數(shù)據(jù)泄露,公司企業(yè)或許會(huì)招致罰款,又或者將面臨法律訴訟或刑事指控。數(shù)據(jù)泄露調(diào)查和客戶通知的花費(fèi)也有可能是天文數(shù)字。其他非直接影響,比如品牌形象下跌和業(yè)務(wù)流失,會(huì)持續(xù)影響公司長(zhǎng)達(dá)數(shù)年時(shí)間。
云服務(wù)提供商通常都會(huì)部署安全控制措施來(lái)保護(hù)云環(huán)境,但最終,保護(hù)自身云端數(shù)據(jù)的責(zé)任,還是要落在使用云服務(wù)的公司自己身上。CSA建議公司企業(yè)采用多因子身份驗(yàn)證和加密措施來(lái)防護(hù)數(shù)據(jù)泄露。
威脅 No.2:憑證被盜和身份驗(yàn)證如同虛設(shè)
數(shù)據(jù)泄露和其他攻擊通常都是身份驗(yàn)證不嚴(yán)格、弱密碼橫行、密鑰或憑證管理松散的結(jié)果。公司企業(yè)在試圖根據(jù)用戶角色分配恰當(dāng)權(quán)限的時(shí)候,通常都會(huì)陷入身份管理的泥潭。更糟糕的是,他們有時(shí)候還會(huì)在工作職能改變或用戶離職時(shí)忘了撤銷相關(guān)用戶的權(quán)限。
多因子身份驗(yàn)證系統(tǒng),比如一次性密碼、基于手機(jī)的身份驗(yàn)證、智能卡等,可以有效保護(hù)云服務(wù)。因?yàn)橛辛硕嘀仳?yàn)證,攻擊者想要靠盜取的密碼登進(jìn)系統(tǒng)就難得多了。美國(guó)第二大醫(yī)療保險(xiǎn)公司Anthem數(shù)據(jù)泄露事件中,超過(guò)8千萬(wàn)客戶記錄被盜,就是用戶憑證被竊的結(jié)果。Anthem沒(méi)有采用多因子身份驗(yàn)證,因此,一旦攻擊者獲得了憑證,進(jìn)出系統(tǒng)如入無(wú)人之境。
將憑證和密鑰嵌入到源代碼里,并留在面向公眾的代碼庫(kù)(如GitHub)中,也是很多開(kāi)發(fā)者常犯的錯(cuò)誤。CSA建議,密鑰應(yīng)當(dāng)妥善保管,防護(hù)良好的公鑰基礎(chǔ)設(shè)施也是必要的。密鑰和憑證還應(yīng)當(dāng)定期更換,讓攻擊者更難以利用竊取的密鑰登錄系統(tǒng)。
計(jì)劃與云提供商聯(lián)合身份管理的公司,需要理解提供商用以防護(hù)身份管理平臺(tái)的安全措施。將所有ID集中存放到單一庫(kù)中是有風(fēng)險(xiǎn)的。要想集中起來(lái)方便管理,就要冒著這個(gè)極高價(jià)值ID庫(kù)被攻擊者盯上的風(fēng)險(xiǎn)。如何取舍,就看公司怎么權(quán)衡了。
威脅 No.3:界面和API被黑
基本上,現(xiàn)在每個(gè)云服務(wù)和云應(yīng)用都提供API(應(yīng)用編程接口)。IT團(tuán)隊(duì)使用界面和API進(jìn)行云服務(wù)管理和互動(dòng),服務(wù)開(kāi)通、管理、配置和監(jiān)測(cè)都可以借由這些界面和接口完成。
從身份驗(yàn)證和訪問(wèn)控制,到加密和行為監(jiān)測(cè),云服務(wù)的安全和可用性依賴于API的安全性。由于公司企業(yè)可能需要開(kāi)放更多的服務(wù)和憑證,建立在這些界面和API基礎(chǔ)之上的第三方應(yīng)用的風(fēng)險(xiǎn)也就增加了。弱界面和有漏洞的API將使企業(yè)面臨很多安全問(wèn)題,機(jī)密性、完整性、可用性和可靠性都會(huì)受到考驗(yàn)。
API和界面通常都可以從公網(wǎng)訪問(wèn),也就成為了系統(tǒng)最暴露的部分。CSA建議對(duì)API和界面引入足夠的安全控制,比如“第一線防護(hù)和檢測(cè)”。威脅建模應(yīng)用和系統(tǒng),包括數(shù)據(jù)流和架構(gòu)/設(shè)計(jì),已成為開(kāi)發(fā)生命周期中的重要部分。專注安全的代碼審查和嚴(yán)格的滲透測(cè)試,也是CSA給出的推薦選項(xiàng)。
威脅 No.4:系統(tǒng)漏洞利用
系統(tǒng)漏洞,或者程序中可供利用的漏洞,真不是什么新鮮事物。但是,隨著云計(jì)算中多租戶的出現(xiàn),這些漏洞的問(wèn)題就大了。公司企業(yè)共享內(nèi)存、數(shù)據(jù)庫(kù)和其他資源,催生出了新的攻擊方式。
幸運(yùn)的是,針對(duì)系統(tǒng)漏洞的攻擊,用“基本的IT過(guò)程”就可以緩解。最佳實(shí)踐包括:定期漏洞掃描、及時(shí)補(bǔ)丁管理和緊跟系統(tǒng)威脅報(bào)告。
CSA報(bào)告表明:修復(fù)系統(tǒng)漏洞的花費(fèi)與其他IT支出相比要少一些。部署IT過(guò)程來(lái)發(fā)現(xiàn)和修復(fù)漏洞的開(kāi)銷,比漏洞遭受攻擊的潛在損害要小。管制產(chǎn)業(yè)(如國(guó)防、航天航空業(yè))需要盡可能快地打補(bǔ)丁,最好是作為自動(dòng)化過(guò)程和循環(huán)作業(yè)的一部分來(lái)實(shí)施。變更處理緊急修復(fù)的控制流程,要確保該修復(fù)活動(dòng)被恰當(dāng)?shù)赜涗浵聛?lái),并由技術(shù)團(tuán)隊(duì)進(jìn)行審核。
威脅 No.5:賬戶劫持
網(wǎng)絡(luò)釣魚(yú)、詐騙、軟件漏洞利用,依然是很成功的攻擊方式。而云服務(wù)的出現(xiàn),又為此類威脅增加了新的維度。因?yàn)楣粽呖梢岳迷品?wù)竊聽(tīng)用戶活動(dòng)、操縱交易、修改數(shù)據(jù)。利用云應(yīng)用發(fā)起其他攻擊也不無(wú)可能。
常見(jiàn)的深度防護(hù)保護(hù)策略能夠控制數(shù)據(jù)泄露引發(fā)的破壞。公司企業(yè)應(yīng)禁止在用戶和服務(wù)間共享賬戶憑證,還應(yīng)在可用的地方啟用多因子身份驗(yàn)證方案。用戶賬戶,甚至是服務(wù)賬戶,都應(yīng)該受到監(jiān)管,以便每一筆交易都能被追蹤到某個(gè)實(shí)際的人身上。關(guān)鍵就在于,要避免賬戶憑證被盜。
威脅 No.6:惡意內(nèi)部人士
內(nèi)部人員威脅擁有很多張面具:現(xiàn)員工或前雇員、系統(tǒng)管理員、承包商、商業(yè)合作伙伴……惡意行為可以從單純的數(shù)據(jù)偷盜,到報(bào)復(fù)公司。在云環(huán)境下,惡意滿滿的內(nèi)部人員可以破壞掉整個(gè)基礎(chǔ)設(shè)施,或者操作篡改數(shù)據(jù)。安全性完全依賴于云服務(wù)提供商的系統(tǒng),比如加密系統(tǒng),是風(fēng)險(xiǎn)最大的。
CSA建議:公司企業(yè)自己控制加密過(guò)程和密鑰,分離職責(zé),最小化用戶權(quán)限。管理員活動(dòng)的有效日志記錄、監(jiān)測(cè)和審計(jì)也是非常重要。
不過(guò),話又說(shuō)回來(lái),一些拙劣的日常操作也很容易被誤解為“惡意”內(nèi)部人員行為。典型的例子就是,管理員不小心把敏感客戶數(shù)據(jù)庫(kù)拷貝到了可公開(kāi)訪問(wèn)的服務(wù)器上。鑒于潛在的暴露風(fēng)險(xiǎn)更大,云環(huán)境下,合適的培訓(xùn)和管理對(duì)于防止此類低級(jí)錯(cuò)誤就顯得更為重要了。
威脅 No.7:APT(高級(jí)持續(xù)性威脅)寄生蟲(chóng)
CSA把高級(jí)持續(xù)性威脅(APT)比作“寄生”形式的攻擊真是太形象了。APT滲透進(jìn)系統(tǒng),建立起橋頭堡,然后,在相當(dāng)長(zhǎng)一段時(shí)間內(nèi),源源不斷地,悄悄地偷走數(shù)據(jù)和知識(shí)產(chǎn)權(quán)。跟寄生蟲(chóng)沒(méi)什么差別。
APT通常在整個(gè)網(wǎng)絡(luò)內(nèi)逡巡,混入正常流量中,因此,他們很難被偵測(cè)到。主要云提供商應(yīng)用高級(jí)技術(shù)阻止APT滲透進(jìn)他們的基礎(chǔ)設(shè)施,但客戶也必須像在內(nèi)部系統(tǒng)里進(jìn)行的一樣,勤于檢測(cè)云賬戶中的APT活動(dòng)。
常見(jiàn)的切入點(diǎn)包括:魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、直接攻擊、U盤預(yù)載惡意軟件和通過(guò)已經(jīng)被黑的第三方網(wǎng)絡(luò)。CSA強(qiáng)烈建議公司企業(yè)培訓(xùn)用戶識(shí)別各種網(wǎng)絡(luò)釣魚(yú)技巧。
定期意識(shí)強(qiáng)化培訓(xùn)能使用戶保持警惕,更不容易被誘使放進(jìn)APT,IT部門也需要緊跟最新的高級(jí)攻擊方式。不過(guò),高級(jí)安全控制、過(guò)程管理、事件響應(yīng)計(jì)劃,以及IT員工培訓(xùn),都會(huì)導(dǎo)致安全預(yù)算的增加。公司企業(yè)必須在這筆支出和遭到APT攻擊可能造成的經(jīng)濟(jì)損失之間進(jìn)行權(quán)衡。
威脅 No.8:永久的數(shù)據(jù)丟失
隨著云服務(wù)的成熟,由于提供商失誤導(dǎo)致的永久數(shù)據(jù)丟失已經(jīng)極少見(jiàn)了。但惡意黑客已經(jīng)會(huì)用永久刪除云端數(shù)據(jù)來(lái)危害公司企業(yè)了,而且云數(shù)據(jù)中心跟其他任何設(shè)施一樣對(duì)自然災(zāi)害無(wú)能為力。
云提供商建議多地分布式部署數(shù)據(jù)和應(yīng)用以增強(qiáng)防護(hù)。足夠的數(shù)據(jù)備份措施,堅(jiān)守業(yè)務(wù)持續(xù)性和災(zāi)難恢復(fù)最佳實(shí)踐,都是最基本的防永久數(shù)據(jù)丟失的方法。日常數(shù)據(jù)備份和離線存儲(chǔ)在云環(huán)境下依然重要。
預(yù)防數(shù)據(jù)丟失的責(zé)任并非全部壓在云服務(wù)提供商肩頭。如果客戶在上傳到云端之間先把數(shù)據(jù)加密,那保護(hù)好密鑰的責(zé)任就落在客戶自己身上了。一旦密鑰丟失,數(shù)據(jù)丟失也就在所難免。
合規(guī)策略通常都會(huì)規(guī)定公司必須保留審計(jì)記錄和其他文件的時(shí)限。此類數(shù)據(jù)若丟失,就會(huì)產(chǎn)生嚴(yán)重的監(jiān)管后果。新歐盟數(shù)據(jù)保護(hù)規(guī)定中,數(shù)據(jù)損毀和個(gè)人數(shù)據(jù)損壞也被視為數(shù)據(jù)泄露,需要進(jìn)行恰當(dāng)?shù)耐ㄖW詈弥獣韵嚓P(guān)規(guī)定,以便陷入麻煩之中。
威脅 No.9:調(diào)查不足
一家公司,若在沒(méi)有完全理解云環(huán)境及其相關(guān)風(fēng)險(xiǎn)的情況下,就投入云服務(wù)的懷抱,那等在它前方的,比然是無(wú)數(shù)的商業(yè)、金融、技術(shù)、法律和合規(guī)風(fēng)險(xiǎn)。公司是否遷移到云環(huán)境,是否與另一家公司在云端合作,都需要進(jìn)行盡職調(diào)查。沒(méi)能仔細(xì)審查合同的公司,可能就不會(huì)注意到提供商在數(shù)據(jù)丟失或泄露時(shí)的責(zé)任條款。
在將App部署到特定云時(shí),如果公司開(kāi)發(fā)團(tuán)隊(duì)缺乏對(duì)云技術(shù)的了解,運(yùn)營(yíng)和架構(gòu)問(wèn)題也會(huì)冒頭。CSA提醒公司企業(yè):每訂閱任何一個(gè)云服務(wù),都必須進(jìn)行全面細(xì)致的盡職調(diào)查,弄清他們承擔(dān)的風(fēng)險(xiǎn)。
威脅 No.10:云服務(wù)濫用
云服務(wù)可能被用于支持違法活動(dòng),比如利用云計(jì)算資源破解密鑰、發(fā)起分布式拒絕服務(wù)(DDoS)攻擊、發(fā)送垃圾郵件和釣魚(yú)郵件、托管惡意內(nèi)容等。
提供商要能識(shí)別出濫用類型,例如通過(guò)檢查流量來(lái)識(shí)別出DDoS攻擊,還要為客戶提供監(jiān)測(cè)他們?cè)骗h(huán)境健康的工具。客戶要確保提供商擁有濫用報(bào)告機(jī)制。盡管客戶可能不是惡意活動(dòng)的直接獵物,云服務(wù)濫用依然可能造成服務(wù)可用性問(wèn)題和數(shù)據(jù)丟失問(wèn)題。
威脅 No.11:拒絕服務(wù)(DoS)攻擊
DoS攻擊以及有很多年的歷史了,但由于云計(jì)算,這種攻擊方式枯木逢春了——因?yàn)樗鼈兺ǔ?huì)影響到可用性,系統(tǒng)響應(yīng)會(huì)被大幅拖慢甚至直接超時(shí),能給攻擊者帶來(lái)很好的攻擊效果。遭受拒絕服務(wù)攻擊,就像經(jīng)歷上下班交通擁堵;只有一條到達(dá)目的地的路,但你除了坐等,毫無(wú)辦法。
DoS攻擊消耗大量的處理能力,最終都要由客戶買單。盡管高流量的DDoS攻擊如今更為常見(jiàn),公司企業(yè)仍然要留意非對(duì)稱的、應(yīng)用級(jí)的DoS攻擊,保護(hù)好自己的Web服務(wù)器和數(shù)據(jù)庫(kù)。
在處理DoS攻擊上,云服務(wù)提供商一般都比客戶更有經(jīng)驗(yàn),準(zhǔn)備更充分。個(gè)中關(guān)鍵,就在于攻擊發(fā)生前就要有緩解計(jì)劃,這樣管理員們才能在需要的時(shí)候可以訪問(wèn)到這些資源。
威脅 No.12:共享技術(shù),共享危險(xiǎn)
共享技術(shù)中的漏洞給云計(jì)算帶來(lái)了相當(dāng)大的威脅。云服務(wù)提供商共享基礎(chǔ)設(shè)施、平臺(tái)和應(yīng)用,一旦其中任何一個(gè)層級(jí)出現(xiàn)漏洞,每個(gè)人都會(huì)受到影響。一個(gè)漏洞或錯(cuò)誤配置,就能導(dǎo)致整個(gè)提供商的云環(huán)境遭到破壞。
若一個(gè)內(nèi)部組件被攻破,就比如說(shuō)一個(gè)管理程序、一個(gè)共享平臺(tái)組件,或者一個(gè)應(yīng)用吧,整個(gè)環(huán)境都會(huì)面臨潛在的宕機(jī)或數(shù)據(jù)泄露風(fēng)險(xiǎn)。CSA建議采用深度防御策略,包括在所有托管主機(jī)上應(yīng)用多因子身份驗(yàn)證,啟用基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng),應(yīng)用最小特權(quán)、網(wǎng)絡(luò)分段概念,實(shí)行共享資源補(bǔ)丁策略等等。
原文地址:http://www.aqniu.com/news-views/14290.html
