导语:越来越多的数据和应用程序正在转向云端,这将带来独特的信息安全挑战

 supercell_cloud-100649777-primary.idge.jpg

越来越多的数据和应用程序正在转向云端,这将带来独特的信息安全挑战。以下是使用云服务时,面临的最严重的12个风险。要说明的是这12个风险提示可是国际云安全联盟(CSA)在经过细致的调查后得出的结论。其目的就是要弄清楚云安全的主要责任方到底是云服务提供商而是使用云的用户。另外,也是要让企业对云安全有个明确的应对策略。

数据泄露

CSA的调查显示,数据泄露可能是黑客的攻击结果,但也可能是人为操作错误、应用程序漏洞或安全措施配置不当的结果。泄露的数据都是比较隐私的数据,包括个人健康信息、财务信息、个人身份信息、商业秘密和知识产权。虽然数据泄露的风险并不是云计算独有的,但它始终是云端客户的首要考虑因素。

身份信息、登录凭证和访问管理的保护不到位

冒充合法用户、操作人员或开发人员的黑客可以读取、修改和删除用户的数据,进而对云端的管理功能进行修改。CSA的调查显示,对云端数据进行攻击的恶意软件的来源都是合法的。因此可以断定,身份信息、登录凭证或密钥管理的保护不到位,是造成数据未经授权被访问的根本原因。

不安全的接口和应用程序编程接口(api)

用户会通过云服务商提供的用户界面(ui)或客户端来管理云服务,CSA的调查显示,对云端进行攻击的所有配置、管理和监控都是通过这些接口进行的,一般云服务的安全性和可用性都依赖于api的安全性。

系统漏洞

系统漏洞是攻击云端的另一个途径,攻击者可以利用这些漏洞潜入系统窃取数据、控制系统或中断服务操作。CSA的调查显示,操作系统组件中的漏洞会将所有云端服务和数据的安全性置于重大风险之中。特别是对于公共云端平台来说,一个空间可能有多个临时用户,如果系统存在漏洞,那攻击面将会非常广。

账户劫持

CSA的调查显示,帐号或服务劫持也是黑客攻击云端的手段之一。如果黑客获得了用户的凭证,他们就可以监控用户的活动,篡改数据,返回虚假信息,并将客户重定向到非法站点。使用窃取的凭证,黑客通常可以访问云计算服务的关键区域,从而窃取机密信息,进而破坏该区域功能的完整性和可用性。

内鬼

日防夜防,家贼难防,CSA的调查显示,虽然大部分威胁都是外部人员所为,但也不排除公司内部有人在盗取数据,从而谋取暴力。近年来,类似事件屡见不鲜,由于像系统管理员这样的内部人员可以访问敏感信息,所以把安全完全放在云服务提供商显然是不明智的。

APT攻击

APT是一种长期潜伏针对特定目标的网络攻击形式,它会提前渗透到目标公司IT基础设施,然后伺机窃取数据,APT在很长一段时间内都是处于潜伏的状态,所以一般的安全防御措施很难检测到它的存在。

数据丢失

CSA的调查显示,存储在云中的数据可能会发生不明原因(并非黑客攻击)的丢失,比如云服务提供商的设备损坏、技术故障或火灾、地震等物理灾难可能导致客户数据的永久丢失,除非提供商采取适当的措施对数据进行了备份。

尽职调查不足

CSA的调查显示,当云提供商的高管在制定业务战略时,必须对云技术进行必要的实地调查,已评估风险系数。

恶意使用云服务

CSA的调查显示,目前许多云服务都在努力推销自己的产品,所以我们可以使用很多免费的云服务。但其实有的云服务的安全配置根本就不到位,只是为了做个噱头吸引客户。有的云服务还要让用户在登录时,输入用户的个人支付账号并和其它社交账号联系起来。毫无疑问,这是利用云服务骗取用户信息的一个手段,即使云服务提供商是无意的,那也是其不负责任在先。滥用云端资源的例子包括启动分布式拒绝服务攻击,垃圾邮件和网络钓鱼攻击。

拒绝服务(DoS)

DoS攻击旨在阻止用户访问其存储的数据或应用程序,通过强制目标云服务占用过多的有限系统资源,如处理器能力,内存,磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使所有合法的服务用户无法访问云服务。

共享技术漏洞

CSA的调查显示,云服务提供商通过共享基础架构,平台或应用程序来扩展其服务。单位了节省成本,云服务提供商是不会大幅增加现成的硬件或软件的,所以只能以牺牲安全为代价了。支持云服务的底层组件可能在最初设计时,并未想到为多用户进行架构,这可能会导致共享中的技术漏洞。

源链接

Hacking more

...