您現(xiàn)在的位置：首頁 > IT資訊 > 信息安全 > 十大云安全威脅

十大云安全威脅

2024-07-09 17:01:24　|　來源：企業(yè)IT培訓(xùn)

越來越多的業(yè)務(wù)開始上云，但通常情況下云環(huán)境的搭建和配置往往是優(yōu)先考慮的事情，而安全性則被置于次要地位。大多數(shù)組織(54%)將本地安全工具簡單的遷移到云端，但是這些工具并非為云而設(shè)計(jì)，這限制了它們的擴(kuò)展能力。云業(yè)務(wù)的顯著增長也帶來了威脅和數(shù)據(jù)泄露的大幅增加。在過去的十八個(gè)月中，大多數(shù)利用云計(jì)算能力的企業(yè)都經(jīng)歷了某種形式的數(shù)據(jù)泄露。希望本文能幫助組織提高應(yīng)對(duì)高級(jí)威脅意識(shí)，尤其是在進(jìn)行云計(jì)算遷移和安全建設(shè)時(shí)重點(diǎn)考慮云安全威脅。

01、數(shù)據(jù)泄露

數(shù)據(jù)泄露是指敏感、受保護(hù)或機(jī)密信息被未經(jīng)授權(quán)的個(gè)人發(fā)布、查看、竊取或使用，包括但不限于個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人可識(shí)別信息、商業(yè)秘密和知識(shí)產(chǎn)權(quán)。數(shù)據(jù)泄露可能是針對(duì)性攻擊導(dǎo)致的結(jié)果，也可能僅僅是人為錯(cuò)誤、應(yīng)用程序漏洞或不充分的安全實(shí)踐導(dǎo)致的結(jié)果。

關(guān)鍵要點(diǎn)

云對(duì)攻擊者來說是極具吸引力的目標(biāo)資產(chǎn)。組織可以通過選擇一系列安全措施保護(hù)數(shù)據(jù)安全，包括執(zhí)行最小權(quán)限、創(chuàng)建帶有恢復(fù)計(jì)劃的不可變備份、啟用加密，并定期審查數(shù)據(jù)安全措施來保護(hù)其數(shù)據(jù)。數(shù)據(jù)正成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。定義數(shù)據(jù)的商業(yè)價(jià)值和數(shù)據(jù)丟失的影響對(duì)于擁有或處理數(shù)據(jù)的組織來說非常重要。

保護(hù)數(shù)據(jù)正變成一個(gè)誰可以訪問它，在什么時(shí)間訪問，在什么地點(diǎn)訪問，以什么樣方式訪問等問題。

通過互聯(lián)網(wǎng)訪問的數(shù)據(jù)是最易受錯(cuò)誤配置或利用的資產(chǎn)。

加密技術(shù)可以幫助保護(hù)數(shù)據(jù)，但可能會(huì)影響系統(tǒng)性能，影響用戶體驗(yàn)。

02、配置錯(cuò)誤和變更控制不足

云資源的配置錯(cuò)誤是數(shù)據(jù)泄露的主要原因，而缺乏有效的變更控制是云環(huán)境中配置錯(cuò)誤的常見原因。云環(huán)境與傳統(tǒng)信息技術(shù)不同，在企業(yè)數(shù)據(jù)中心中靜態(tài)的基礎(chǔ)設(shè)施元素在云中被抽象為軟件，它們的整個(gè)生命周期可能只持續(xù)幾分鐘或幾秒鐘。同時(shí)，多云環(huán)境也增加了安全防護(hù)的復(fù)雜性。這種動(dòng)態(tài)的云環(huán)境需要一種敏捷和主動(dòng)的云安全方案，但是許多公司尚未采取對(duì)應(yīng)措施。

關(guān)鍵要點(diǎn)

云配置錯(cuò)誤是指不正確地設(shè)置云資產(chǎn)的行為。這意味著它們可能被惡意活動(dòng)利用，可能導(dǎo)致安全漏洞的檢測時(shí)間延長，使關(guān)鍵的企業(yè)數(shù)據(jù)處于不安全狀態(tài)。在過去的兩年中，特權(quán)賬戶的泄露占所有與身份相關(guān)的安全漏洞的34%。然而，只有38%的組織正在使用多因素認(rèn)證來保護(hù)他們的特權(quán)賬戶。這增加了數(shù)據(jù)泄露的機(jī)會(huì)，因?yàn)樗鼮榫W(wǎng)絡(luò)犯罪分子提供了一個(gè)黃金機(jī)會(huì)，他們可以通過利用配置錯(cuò)誤的賬戶來訪問敏感數(shù)據(jù)。

基于云的資源高度復(fù)雜和動(dòng)態(tài)變化情況，使它們難以配置。

傳統(tǒng)的控制措施和策略變更管理方法在云中無效。

應(yīng)采用自動(dòng)化工具，能夠持續(xù)掃描配置錯(cuò)誤，并實(shí)時(shí)解決問題的技術(shù)。

03、缺乏云安全架構(gòu)和策略

很多組織仍然只是簡單地將現(xiàn)有的IT堆棧和安全控制措施“轉(zhuǎn)移”到云環(huán)境中，安全建設(shè)往往落后于功能遷移，對(duì)共享安全責(zé)任模型理解不足。為降低被網(wǎng)絡(luò)攻擊可能性，組織需要實(shí)施適當(dāng)?shù)陌踩軜?gòu)并制定強(qiáng)大的安全策略，包括利用云原生工具增加云環(huán)境中的可見性來最小化風(fēng)險(xiǎn)和成本。

關(guān)鍵要點(diǎn)

確保安全架構(gòu)與業(yè)務(wù)目標(biāo)一致。

制定并實(shí)施安全架構(gòu)。

確保威脅模型不斷更新。

將持續(xù)監(jiān)控納入整體安全姿態(tài)。

04、身份、憑據(jù)、訪問和密鑰管理不足

因?yàn)樵朴?jì)算深刻影響身份、憑據(jù)和訪問管理。在公有云和私有云設(shè)置中，云供應(yīng)商和云消費(fèi)者都需要在不影響業(yè)務(wù)運(yùn)轉(zhuǎn)的情況下安全管理IAM。云環(huán)境中安全事件和數(shù)據(jù)泄露可能發(fā)生，原因包括：

憑據(jù)保護(hù)不足。

缺乏定期自動(dòng)輪換加密密鑰、密碼和證書。

缺乏可擴(kuò)展的身份、憑據(jù)和訪問管理系統(tǒng)。

未使用多因素認(rèn)證。

未使用強(qiáng)密碼。

憑據(jù)和加密密鑰不得嵌入源代碼或發(fā)布類似GitHub這樣公開平臺(tái)，密鑰需要使用安全良好的公鑰基礎(chǔ)設(shè)施(PKI)來保護(hù)，以確保密鑰管理活動(dòng)得到執(zhí)行。此外，身份管理系統(tǒng)必須支持在人員變動(dòng)時(shí)(如離職或角色轉(zhuǎn)換)立即撤銷對(duì)資源的訪問權(quán)限。這種身份管理生命周期流程應(yīng)集成在云環(huán)境中和能夠完全自動(dòng)化。

關(guān)鍵要點(diǎn)

云服務(wù)供應(yīng)商提供各種處理密鑰管理的方法，從完全依賴云供應(yīng)商進(jìn)行完全托管的服務(wù)器端加密，到客戶自己生成和管理密鑰并在上傳數(shù)據(jù)之前進(jìn)行加密的完全客戶端加密方法。

安全賬戶，包括多因素認(rèn)證，對(duì)root賬戶進(jìn)行嚴(yán)格限制使用。

對(duì)云用戶和身份實(shí)施最嚴(yán)格的身份和訪問控制。

根據(jù)業(yè)務(wù)需求和最小權(quán)限原則，對(duì)賬戶、VPC和身份組進(jìn)行隔離和分段。

輪換密鑰，移除未使用的憑據(jù)或訪問權(quán)限，并采用集中、程序化密鑰管理。

05、賬戶劫持

在云環(huán)境中，風(fēng)險(xiǎn)最高的賬戶是云服務(wù)賬戶和訂閱賬戶。釣魚攻擊、利用基于云的系統(tǒng)或竊取的憑據(jù)可能會(huì)危及這些賬戶。這些風(fēng)險(xiǎn)源于云服務(wù)的交付模式，以及其組織和治理：數(shù)據(jù)和應(yīng)用程序駐留在云服務(wù)中，云服務(wù)駐留在云賬戶或訂閱賬戶中。

關(guān)鍵要點(diǎn)

賬戶和服務(wù)劫持意味著完全失陷，包括業(yè)務(wù)中斷、數(shù)據(jù)資產(chǎn)泄露等等。惡意攻擊者可以使用網(wǎng)絡(luò)釣魚技術(shù)、暴露的憑據(jù)等脆弱性來獲得云租戶的初始訪問權(quán)限。他們還可以利用過于“寬松”的訪問控制策略進(jìn)一步滲透到環(huán)境中，獲取對(duì)敏感資源的訪問權(quán)限。訪問控制策略應(yīng)仔細(xì)配置，以確保僅授予用戶必要的最少權(quán)限，此外還需實(shí)施職責(zé)分離，以特別保護(hù)敏感操作和資源。

賬戶劫持是一種必須嚴(yán)肅對(duì)待的威脅，不僅僅是重置密碼。

深度防御和IAM控制是減輕賬戶劫持的關(guān)鍵。

06、內(nèi)部威脅

內(nèi)部威脅是指“擁有或曾經(jīng)擁有對(duì)組織資產(chǎn)授權(quán)訪問的個(gè)人，利用他們的訪問權(quán)限，無論是惡意的還是無意的，以可能對(duì)組織產(chǎn)生負(fù)面影響的方式行事。” 內(nèi)部人員可能是當(dāng)前或以前的員工、承包商或其他受信任的商業(yè)伙伴。與外部威脅行為者不同，內(nèi)部人員在公司的安全信任圈內(nèi)操作，他們可以直接訪問網(wǎng)絡(luò)、計(jì)算機(jī)系統(tǒng)和敏感公司數(shù)據(jù)。

根據(jù)波恩蒙研究所研究，員工或承包商的疏忽占內(nèi)部威脅比例的64%，而23%與犯罪內(nèi)部人員有關(guān)，13%與憑據(jù)盜竊有關(guān)。一些常見的情況包括配置錯(cuò)誤的云服務(wù)器、員工在他們自己的不安全個(gè)人設(shè)備和系統(tǒng)上存儲(chǔ)公司敏感數(shù)據(jù)以及員工或其他內(nèi)部人員成被釣魚郵件，導(dǎo)致公司資產(chǎn)被惡意攻擊。

關(guān)鍵要點(diǎn)

采取措施減少內(nèi)部人員的疏忽可以減輕內(nèi)部威脅的后果。下面概述的行動(dòng)可以幫助解決用戶疏忽和管理引入的安全問題。

安全培訓(xùn)：為團(tuán)隊(duì)提供培訓(xùn)，正確安裝、配置和監(jiān)控您的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)、移動(dòng)設(shè)備和備份設(shè)備。定期的意識(shí)培訓(xùn)，告知他們?nèi)绾翁幚戆踩L(fēng)險(xiǎn)，要求使用強(qiáng)密碼并經(jīng)常更新密碼等。

修復(fù)配置錯(cuò)誤的云服務(wù)器：定期審計(jì)云中和本地的服務(wù)器，然后糾正與組織內(nèi)設(shè)置的安全基線偏離的任何偏差。

限制對(duì)關(guān)鍵系統(tǒng)的訪問：確保擁有特權(quán)訪問的人員限制在少數(shù)員工中，監(jiān)控任何權(quán)限級(jí)別的所有計(jì)算機(jī)服務(wù)器的訪問。

07、不安全的接口和API

API和UI通常是系統(tǒng)最暴露的部分，可能是唯一具有公共IP地址的資產(chǎn)，可在受信任的組織邊界之外使用。作為“前門”，它們很可能會(huì)被持續(xù)攻擊，因此需要有足夠的控制措施來保護(hù)它們免受攻擊。

關(guān)鍵要點(diǎn)

測試 API 和微服務(wù)是否存在因配置不當(dāng)、編碼不當(dāng)、身份驗(yàn)證不足和授權(quán)不當(dāng)而導(dǎo)致的漏洞。API安全關(guān)鍵點(diǎn)如下：

API 的攻擊面必須受到監(jiān)控、配置和保護(hù)。

確保妥善保護(hù)API密鑰，避免重復(fù)使用。

使用能夠持續(xù)監(jiān)控異常 API 流量，能夠使用準(zhǔn)實(shí)時(shí)修復(fù)問題的技術(shù)。

08、系統(tǒng)漏洞

云服務(wù)平臺(tái)存在系統(tǒng)漏洞。它們可能被用來破壞數(shù)據(jù)的機(jī)密性、完整性和可用性，從而可能擾亂服務(wù)運(yùn)營。

關(guān)鍵要點(diǎn)

系統(tǒng)漏洞是系統(tǒng)組件內(nèi)部的故障，經(jīng)常由人為錯(cuò)誤引起，使黑客更容易利用企業(yè)的云服務(wù)。

結(jié)合嚴(yán)格的 IAM 程序，可以通過常規(guī)漏洞識(shí)別和補(bǔ)丁分發(fā)來顯著減輕系統(tǒng)漏洞造成的安全威脅。

09、有限的可見性

組織無法分析云服務(wù)使用是否安全，主要表現(xiàn)在兩個(gè)方面，首先是一些未經(jīng)授權(quán)的應(yīng)用程序使用。這種情況導(dǎo)致了大量影子資產(chǎn)，而安全攻擊中有三分之一將通過影子IT系統(tǒng)和資源發(fā)起。其次，組織通常無法分析他們批準(zhǔn)的應(yīng)用程序是如何被內(nèi)部人員利用的，無法確定他們的行為是否超出正常要求或是否滿足安全合規(guī)要求。

關(guān)鍵要點(diǎn)

構(gòu)建完整的云可見性解決方案，包括CSPM、CWPP、CIEM等。

強(qiáng)制執(zhí)行全公司接受云使用政策的培訓(xùn)和執(zhí)行。

所有云服務(wù)都必須經(jīng)過云安全架構(gòu)師或第三方風(fēng)險(xiǎn)管理的審查和批準(zhǔn)。

在組織內(nèi)實(shí)施零信任模型。

10、濫用和惡意使用云服務(wù)

托管的惡意軟件的云服務(wù)可能看起來更合法，因?yàn)閻阂廛浖褂肅SP的域名。此外，云托管的惡意軟件可以使用云共享工具作為攻擊向量，進(jìn)一步傳播自身。濫用云資源的其他例子包括：

發(fā)起DDoS攻擊

電子郵件垃圾郵件和網(wǎng)絡(luò)釣魚活動(dòng)

挖礦

托管惡意或盜版內(nèi)容

關(guān)鍵要點(diǎn)