datasheet

企业组织面临的12大顶级云计算安全威胁

2016-03-15来源: 机房360 关键字:云计算  大数据
    企业组织在信息化办公环境中,在网络中进行办公及数据传输的潜在危险正在加大,有必要对数据安全进行防范。在上周召开的RSA会议上,CSA(云安全联盟)列出的“Treacherous 12”,即企业组织在2016年将面临的12大顶级云计算安全威胁。CSA发布了相关的报告,来帮助云客户和供应商加强他们的防御力度。

  云计算的共享、按需的性质,自然带来了新的安全漏洞,从而可能抵消了企业用户迁移到使用云技术所带来的任何收益,CSA警告说。在CSA之前所发布的报告中指出,云服务天生的性质决定了其能够使得用户绕过整个企业组织的安全政策,并在服务的影子IT项目中建立自己的账户。因此,必须采取新的管制措施,并将其落实到位了。

  “这项2016年顶级云安全威胁名单的发布,反映了企业管理队伍所做出的糟糕的云计算决策将产生可怕的后果。”CSA的研究执行副总裁J.R. Santos表示说。

  安全威胁1:数据泄露

  在云环境中其实面临着许多与传统企业网络相同的安全威胁,但由于大量的数据存储在云服务器,使得云服务供应商成为了一个更具吸引力的攻击目标。潜在损害的严重程度往往取决于数据的敏感性。暴露了个人财务信息往往会成为头条新闻,但其实涉及到涉及健康信息、商业秘密和知识产权的数据泄漏往往是更具破坏性的。

  当发生数据泄露事故时,企业组织可能会被罚款,他们甚至可能会面临诉讼或刑事指控。而相应的违规调查活动和客户通知会耗费大量的成本。而间接的恶性影响,还包括诸如企业品牌损失和业务损失,甚至可能会影响企业组织多年的时间而无法翻身。

  云服务供应商通常都会部署安全控制来保护他们的环境。但最终,企业组织都需要负责保护他们存储在云中的数据。CSA建议企业组织使用多因素身份验证和加密的方式,来尽量防止数据泄露事故的发生。

  安全威胁2:凭据或身份验证遭到攻击或破坏

  数据泄露和其他攻击经常是由于企业组织内部松散的身份验证、弱密码、和糟糕的密钥或证书管理所造成的。由于企业组织试图将权限分配给相应的工作职位上的员工用户,故而经常需要处理身份管理的问题。更重要的是,当某个工作职能发生改变或某位用户离开该企业组织时,他们有时会忘记删除该用户的访问权限

  诸如一次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务,因为这些手段可以让攻击者很难利用其盗取的密码来登录企业系统。例如,在美国第二大医疗保险服务商Anthem公司数据泄露事件中,导致有超过8000万客户的个人信息被暴露,就是因为用户凭据被盗所导致的结果。Anthem公司没有部署多因素认证,所以一旦攻击者获得凭证,就会导致**烦。

  许多开发人员误将凭证和密钥嵌入到了源代码中,并将其发布到了诸如GitHub等面向公众的存储库。密钥需要进行适当的保护,而安全的公共密钥基础设施是必要的,CSA表示说。他们还需要定期修改密钥,从而使得攻击者在没有获得授权的情况下更难利用他们所盗取的密钥了。

  那些计划与云服务提供商联合采取身份验证措施的企业组织需要了解他们的云服务提供商所采用的安全措施,以便保护身份验证平台。将身份验证集中到一个单一的存储库中有其风险。企业组织需要在集中方便的身份验证与面临成为攻击者最高价值攻击目标存储库的风险之间进行权衡取舍。

  安全威胁3:接口和API被黑客攻击

  现如今,几乎每一款云服务和应用程序均提供API。IT团队使用接口和API来管理,并实现与云服务的交互,包括提供云服务的配置、管理、业务流程协调和监控的服务。

  云服务的安全性和可用性——从身份认证和访问控制再到加密和活动监测——均需要依赖于API的安全性。随着依赖于这些API和建立在这些接口上的第三方服务的增加,相应的安全风险也在增加,企业组织可能需要提供更多的服务和凭据,CSA警告称。糟糕的接口和API或将暴露出企业组织在保密性、完整性、可用性和问责制方面的安全问题。

  API和接口往往是企业系统中最容易被暴露的部分,因为它们通常是通过开放的互联网访问的。CSA建议,企业组织应当将适当控制作为“防御和检测的第一线”,而安全威胁模型应用程序和系统建模,包括数据流和系统架构设计,便成为了开发生命周期的重要组成部分。CSA还建议,安全工作应当重点关注在代码审查和严格的渗透测试方面。

  安全威胁4:利用系统漏洞

  系统漏洞,或利用程序中的bug,并不是什么新闻了,但他们的确已经成为多租户云计算中所出现的大问题了。企业组织以一种接近彼此的方式共享内存、数据库和其他资源,创建了新的攻击面。

  庆幸的是,针对系统漏洞的攻击可以通过“基本的IT流程”来减轻,CSA表示说。最佳实践方案包括定期的漏洞扫描,及时的补丁管理,并迅速跟踪报告系统的安全威胁。

  根据CSA介绍,相对于其他IT支出,减轻系统漏洞的成本较小。通过IT流程来发现和修补漏洞的费用相对于潜在的损失要小很多。受到相应规范严格监管的行业需要尽快打补丁,最好是将这一过程自动化,并经常化,CSA建议。变更控制流程能够解决紧急修补问题,从而确保企业的技术团队能够正确记录整治活动的和审查过程。

  安全威胁5:账户被劫持

  网络钓鱼、欺诈和软件漏洞仍然能够成功攻击企业,而云服务则增加了一个新的层面的威胁,因为攻击者可以窃听活动,操纵交易,并修改数据。攻击者也可以使用云应用程序发动其他攻击。

  常见的深度防护保护策略可以包含安全违规所造成的损害。企业组织应该禁止用户和服务之间共享帐户凭证,并实现多因素身份验证方案。账户,甚至包括服务帐户都应该被监控,以便每笔交易可以追溯到相关的所有者。而关键是要保护帐户凭据不被盗取,CSA表示说。

  安全威胁6:来自企业内部的恶意人员

  来自企业内部的安全威胁包括了许多方面:现任或前任员工、系统管理员、承包商或商业伙伴。恶意破坏的范围从窃取企业机密数据信息到报复行为。而在迁移采用了云服务的情况下,一个来自企业内部的恶意人员可能会摧毁企业组织的整个基础设施或操作数据。而如果仅仅是纯粹依赖于云服务提供商的安全性,如加密,则风险是最大的。

  CSA建议企业组织需要控制加密过程和密钥,实行职责分离,最大限度的减少用户的访问。实施有效的记录、监控和审核管理员的活动也是至关重要的。

  正如CSA所指出的那样,很容易将一个拙劣的尝试对日常工作的执行误解为“恶意”的内部攻击活动。这方面的一个例子便是:一名管理员不小心将一个敏感的客户数据库复制到了一个公开访问的服务器上。企业组织通过在云中实施适当的培训和管理,来防止这些错误正变得越来越重要了,从而得以避免更大的潜在风险。安全威胁7:APT寄生虫

  CSA将“寄生”形式的攻击恰当地称之为高级的持续性威胁(APT)。APT渗透到企业组织的系统,建立一个立足点,然后悄悄地在较长的一段时间内将数据和知识产权漏出。

  APT通过网络进行典型的横向移动,以融入正常的数据传输流量,所以他们很难被检测到。主要的云服务提供商利用先进的技术来防止APT渗入他们的基础设施,但企业客户需要积极的检测APT对于其云帐户的攻击,因为其可能会在他们内部部署的系统中。

  进入的共同点包括鱼叉式网络钓鱼、直接攻击、预装恶意软件的USB驱动器、以及对第三方网络的攻击。特别是,CSA建议企业组织需要培训用户识别网络钓鱼技术。

  定期加强企业员工用户的安全意识,保持员工用户保持警觉,就不太可能被欺骗,让一个APT易于进入企业网络。而企业用户的IT 部门需要了解最新的先进性攻击。而采取先进的安全控制、流程管理、事件响应计划、员工培训等措施固然会增加企业组织的安全预算。单企业组织应该权衡这些成本与成功的攻击对于企业所造成的潜在的经济损失。

  安全威胁8:永久性的数据丢失

  鉴于现如今的云服务已经日趋成熟,因此由服务供应商的错误所造成的永久性的数据丢失已经变得非常罕见了。但恶意黑客已经能够永久的删除云中的数据以对企业造成危害了,而同时,云数据中心的任何设施也更容易受到自然灾害的损害。

  云供应商建议在多个区域进行分布式数据和应用程序的托管,以增加保护。充足的数据备份措施也是必不可少的措施,以及坚持实施确保业务连续性和灾难恢复的最佳做法。日常数据备份和异地存储在云环境仍然是很重要的。

  防止数据丢失的责任并不是只在云服务提供商这一方。如果企业客户对数据进行了加密,然后上传到云端,那么企业客户就需要要小心保护加密密钥。一旦密钥丢了,数据也就丢失了。

  合规政策经常规定了企业组织必须保留其审核记录和其他相关文件多长时间。失去这些数据可能会产生严重的监管后果。欧盟最新的数据保护规则还将数据破坏和个人数据受损纳入数据泄露的范畴,要求进行适当的通知。因此,企业用户必须熟悉各种规则,以避免陷入麻烦。

  安全威胁9:缺乏尽职调查

  那些尚未充分理解云环境及其相关的风险就采用了云服务的企业组织可能会遭遇到“无数的商业、金融、技术、法律及合规风险”,CSA警告说。通过尽职调查,能够分析一家企业组织是否试图迁移到云中或与另一家公司在云中合并(或工作)。例如,企业组织没有细看合同可能没有意识到如若发生数据丢失或泄密的情况下,供应商的相关责任。

  如果一家公司的开发团队缺乏对云技术的熟悉,则会出现操作和架构问题,因为应用程序需要部署到特定的云服务。CSA提醒企业组织必须进行全面的尽职调查,了解当他们订购一项云服务时,其所应当承担的风险。

  安全威胁10:云服务的滥用

  云服务可以被征用以支持违法活动,如利用云计算资源破解加密密钥以发动攻击。其他的例子包括发动DDoS攻击,发送垃圾邮件和钓鱼邮件,和托管恶意内容。

  云服务供应商需要识别云服务被滥用的类型——比如审查流量以识别DDoS攻击;为客户提供工具,以监控他们云环境的健康状况。企业客户应该确保供应商提供了报告云服务被滥用的机制。虽然企业客户可能不会成为恶意行为的直接猎物,但云服务的滥用仍然会导致服务的可用性问题和数据丢失。

  安全威胁11:DoS攻击

  DoS攻击已经存在多年了,但由于云计算的兴起,他们所引发的问题再一次变得突出,因为它们往往会影响到云服务的可用性。系统可能会变得运行缓慢或是简单的超时。“经历拒绝服务攻击时,就像被困在交通高峰期的交通拥堵中一样,此时要到达你的目的地只有这一种方式,除了坐在那里等待之外没有什么是你能做的。”该报告称。

  DoS攻击消耗了大量的处理能力,而企业客户最终还可能不得不为其买单。虽然大容量的DDoS攻击是非常常见的,企业组织应该意识到不对称的、应用程序层的DoS攻击,其目标是攻击Web服务器和数据库漏洞。

  较之他们的企业客户,云服务提供商往往能够更好地准备处理DoS攻击,CSA说。关键是要有一套计划,在攻击发生之前以减轻其损害程度,所以当管理员们需要时,他们应该有权访问这些资源。

  安全威胁12:共享的科技,共享的危险

  共享技术的漏洞对云计算构成了重大威胁。云服务供应商共享基础设施、平台和应用程序,如果一个漏洞出现在任何这些层中,其会影响到每个云服务的租户。“一个单一的漏洞或错误,会导致整个供应商的云服务被攻击。”该报告说。

  如果一部分组件被破坏泄露,例如,一款系统管理程序、一个共享的平台组件、或应用程序被攻击,其将潜在的使得整个云环境被攻击。CSA推荐采用深层防御的策略,包括在所有主机、基于主机和基于网络的入侵检测系统,采用多因素身份验证,应用最小特权的概念,网络分割,和修补共享的资源。

  这12大云计算安全危险给企业组织很好地梳理了防范的必要手段,但如果要做到万无一失,还需要企业相关部门及管理人员提高警惕,因为网络环境下,黑客攻击手段的多样化往往出其不意。

关键字:云计算  大数据

编辑:鲁迪 引用地址:http://www.eeworld.com.cn/afdz/article_201603159404.html
本网站转载的所有的文章、图片、音频视频文件等资料的版权归版权所有人所有,本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如果本网所选内容的文章作者及编辑认为其作品不宜公开自由传播,或不应无偿使用,请及时通过电子邮件或电话通知我们,以迅速采取适当措施,避免给双方造成不必要的经济损失。

上一篇:透视央视3·15:信息安全成焦点
下一篇:安防企业品牌建设 你忽略了哪些?

关注eeworld公众号 快捷获取更多信息
关注eeworld公众号
快捷获取更多信息
关注eeworld服务号 享受更多官方福利
关注eeworld服务号
享受更多官方福利

推荐阅读

要大战智能云计算市场 亚马逊发布机器学习AI推理芯片

—英特尔和AMD。这款支持AWS的A1EC2实例的多核Arm处理器,性能几乎与AMD的基于Arm的芯片水平并肩。亚马逊AWS自研发Graviton也表示了其并不想在服务器处理上受制于英特尔,英特尔服务器处理器高成本且供应有短缺风险。亚马逊  可以说Graviton针对的是芯片厂商,而具有学习功能的AI芯片Inferentia针对的就是整个云计算市场的同行,国外的微软、谷歌等,也包括国内的阿里云(阿里今年收购中天微系统有限公司和旗下达摩院自研芯片业务一起合并成芯片公司——平头哥半导体有限公司就能说明阿里也不想受芯片商的制约。)、华为云等。云计算估值5000亿美元的智能云计算市场,亚马逊,甲骨文,微软,阿里云,华为云各方云计算巨头都纷纷备战
发表于 2018-11-30
要大战智能云计算市场 亚马逊发布机器学习AI推理芯片

未来的智慧安防是谁的主场?

,有3个问题需要解决: 1、底层的大数据和云计算,前端的AI人脸识别、IoT方案如何组合才能在社区场景中更好地落地? 2、业主、物业、公安这些不同单元如何联通?如何建立立体化的安全防控体系? 3、如何平衡便民服务和社区安全治理之间的关系? 这三大问题相互交织,横亘在安防厂商的面前,其复杂程度远远超出之前智慧安防在警用场景的应用。当二爷把这三个问题抛给东方网力的总裁赵永军,他回答说,问题的核心是大数据,东方网力做“智能安防社区系统”就是围绕“一标六实”进行数据采集,采用“统一规划、统一标准、统一平台、统一管理”的理念进行规划建设来解决问题。东方网力的打法具有一定的代表性。 具体来说,东方网力
发表于 2018-10-30

一笔百亿美元军方订单,引发了美国科技公司大混战

国防部的计算系统迁移到云端,将美国的军队系统“带入新世纪”。五角大楼表示,这样做有很多好处,比如有助于他们在数据分析工作中引入人工智能;为士兵执行任务期间提供实时数据等等。五角大楼  对美国科技公司来说,JEDI 是一块超级“肥肉”——谁能和国防部签下协议拿到订单,谁就可能在在接下来数年内踢开竞争对手,获得接近垄断的政府技术供应商地位。  那么,有哪些公司参与了竞标呢?  有资格参与竞标者,其基础设施必须足够将 340 万五角大楼工作人员和 400 万台设备转移到云端。仅这条要求,就把众多中小型公司排除在外。几家主要的竞标者,都是巨头级别的大型云计算公司,包括亚马逊、谷歌、甲骨文、IBM 和微软。  但是,竞标过程从一开始就受到了
发表于 2018-10-30
一笔百亿美元军方订单,引发了美国科技公司大混战

戴尔是否又会折戟云计算市场?

戴尔董事长兼CEO迈克尔戴尔(Michael Dell)的“第一桶金”来自销售定制个人电脑(PC),现在,我们越来越需要习惯这位创始人所拥有的同名企业在“解决方案和服务”领域的建树。 “两年多以前,我们完成了合并,把Dell、EMC、VMware(云计算和硬件虚拟化软件、服务提供商)、Pivotal等很多其他公司,整合成一家在基础架构、硬件和软件领域都处于世界领先地位的公司,”在10月17日北京举行的戴尔科技峰会上,迈克尔?戴尔称,“现在的戴尔科技集团正是一家关键的世界级基础架构公司。” 2013年,陷入困境的戴尔公司在错过移动时代后,宣布了250亿美元私有化计划,让公司远离公众焦点,留出喘息空间重新思考和定位
发表于 2018-10-29
戴尔是否又会折戟云计算市场?

联想还有多长的路要走?

在企业级市场上的布局已经横跨服务器、存储、网络、云平台、大数据、IoT、AI等多个领域,不管是布局的广度还是整体的营收状况,单独把DCG的业绩拿出来都是一家不俗的企业。尤其在收购IBM x86服务器业务之后,在第三方发布的服务器市场报告也显示,联想服务器业务在今年二季度夺得了全球服务器市场份额第三名。  不过,靓丽的成绩背后却不能掩盖联想在智能化转型上的几大隐忧: 第一,联想依然是产品思维,这与当下市场发展的趋势并不相符。对于联想DCG业务来说,服务器产品可以说是一枝独秀,相比较而言,存储、网络、云计算、大数据、AI等相差很大。如果仅靠卖产品,面对服务器等市场激烈的竞争和利润率的下降,要获得持续的增长显然
发表于 2018-10-20
联想还有多长的路要走?

谷歌称因价值观不符放弃美军方百亿美元云计算项目

 美国科技巨头谷歌宣布,放弃竞标美国军方价值100亿美元的云计算业务合约。   10月8日,谷歌宣布,不再参与竞标美国国防部价值100亿美元的云计算业务合约,一部分原因是因为该项目与公司的新道德准则不符。   该合约的项目名为“联合企业防御基础设施云”(Joint Enterprise Defense Infrastructure cloud),简称JEDI,内容是将美国国防部的大量数据过渡至商业运营的云系统。据彭博社10月9日报道,企业与五角大楼的合约可长达10年,竞标截止日期为10月12日。   谷歌的一位发言人在声明中称:“我们不再竞标JEDI,因为首先,我们不能确定它符合我们的人工智能原则
发表于 2018-10-10

小广播

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新更新 手机版

站点相关: 视频监控 智能卡 防盗报警 智能管理 处理器 传感器 其他技术 综合资讯 安防论坛

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京ICP证060456号 京ICP备10001474号 电信业务审批[2006]字第258号函 京公海网安备110108001534 Copyright © 2005-2018 EEWORLD.com.cn, Inc. All rights reserved
pt type="text/javascript" src="//v3.jiathis.com/code/jia.js?uid=2113614" charset="utf-8">