在上周召開的RSA會議上，CSA(云安全聯盟)列出的“Treacherous 12”，即企業組織在2016年將面臨的12大頂級云計算安全威脅。CSA發布了相關的報告，來幫助云客戶和供應商加強他們的防御力度。

       云計算的共享、按需的性質，自然帶來了新的安全漏洞，從而可能抵消了企業用戶遷移到使用云技術所帶來的任何收益，CSA警告說。在CSA之前所發布的報告中指出，云服務天生的性質決定了其能夠使得用戶繞過整個企業組織的安全政策，并在服務的影子IT項目中建立自己的賬戶。因此，必須采取新的管制措施，并將其落實到位了。

       “這項2016年頂級云安全威脅名單的發布，反映了企業管理隊伍所作出的糟糕的云計算決策將產生可怕的后果。”CSA的研究執行副總裁J.R. Santos表示說。

       安全威脅1：數據泄露

       在云環境中其實面臨著許多與傳統企業網絡相同的安全威脅，但由于大量的數據存儲在云服務器，使得云服務供應商成為了一個更具吸引力的攻擊目標。潛在損害的嚴重程度往往取決于數據的敏感性。暴露了個人財務信息往往會成為頭條新聞，但其實涉及到涉及健康信息、商業秘密和知識產權的數據泄漏往往是更具破壞性的。

       當發生數據泄露事故時，企業組織可能會被罰款，他們甚至可能會面臨訴訟或刑事指控。而相應的違規調查活動和客戶通知會耗費大量的成本。而間接的惡性影響，還包括諸如企業品牌損失和業務損失，甚至可能會影響企業組織多年的時間而無法翻身。

       云服務供應商通常都會部署安全控制來保護他們的環境。但最終，企業組織都需要負責保護他們存儲在云中的數據。CSA建議企業組織使用多因素身份驗證和加密的方式，來盡量防止數據泄露事故的發生。

       安全威脅2：憑據或身份驗證遭到攻擊或破壞

       數據泄露和其他攻擊經常是由于企業組織內部松散的身份驗證、弱密碼、和糟糕的密鑰或證書管理所造成的。由于企業組織試圖將權限分配給相應的工作職位上的員工用戶，故而經常需要處理身份管理的問題。更重要的是，當某個工作職能發生改變或某位用戶離開該企業組織時，他們有時會忘記刪除該用戶的訪問權限

       諸如一次性密碼、手機認證和智能卡認證這樣的多因素認證系統能夠保護云服務，因為這些手段可以讓攻擊者很難利用其盜取的密碼來登錄企業系統。例如，在美國第二大醫療保險服務商Anthem公司數據泄露事件中，導致有超過8000萬客戶的個人信息被暴露，就是因為用戶憑據被盜所導致的結果。Anthem公司沒有部署多因素認證，所以一旦攻擊者獲得憑證，就會導致大麻煩。

       許多開發人員誤將憑證和密鑰嵌入到了源代碼中，并將其發布到了諸如GitHub等面向公眾的存儲庫。密鑰需要進行適當的保護，而安全的公共密鑰基礎設施是必要的，CSA表示說。他們還需要定期修改密鑰，從而使得攻擊者在沒有獲得授權的情況下更難利用他們所盜取的密鑰了。

       那些計劃與云服務提供商聯合采取身份驗證措施的企業組織需要了解他們的云服務提供商所采用的安全措施，以便保護身份驗證平臺。將身份驗證集中到一個單一的存儲庫中有其風險。企業組織需要在集中方便的身份驗證與面臨成為攻擊者最高價值攻擊目標存儲庫的風險之間進行權衡取舍。

       安全威脅3：接口和API被黑客攻擊

       現如今，幾乎每一款云服務和應用程序均提供API。IT團隊使用接口和API來管理，并實現與云服務的交互，包括提供云服務的配置、管理、業務流程協調和監控的服務。

       云服務的安全性和可用性——從身份認證和訪問控制再到加密和活動監測——均需要依賴于API的安全性。隨著依賴于這些API和建立在這些接口上的第三方服務的增加，相應的安全風險也在增加，企業組織可能需要提供更多的服務和憑據，CSA警告稱。糟糕的接口和API或將暴露出企業組織在保密性、完整性、可用性和問責制方面的安全問題。

       API和接口往往是企業系統中最容易被暴露的部分，因為它們通常是通過開放的互聯網訪問的。CSA建議，企業組織應當將適當控制作為“防御和檢測的第一線”，而安全威脅模型應用程序和系統建模，包括數據流和系統架構設計，便成為了開發生命周期的重要組成部分。CSA還建議，安全工作應當重點關注在代碼審查和嚴格的滲透測試方面。

       安全威脅4：利用系統漏洞

       系統漏洞，或利用程序中的bug，并不是什么新聞了，但他們的確已經成為多租戶云計算中所出現的大問題了。企業組織以一種接近彼此的方式共享內存、數據庫和其他資源，創建了新的攻擊面。

       慶幸的是，針對系統漏洞的攻擊可以通過“基本的IT流程”來減輕，CSA表示說。最佳實踐方案包括定期的漏洞掃描，及時的補丁管理，并迅速跟蹤報告系統的安全威脅。

       根據CSA介紹，相對于其他IT支出，減輕系統漏洞的成本較小。通過IT流程來發現和修補漏洞的費用相對于潛在的損失要小很多。受到相應規范嚴格監管的行業需要盡快打補丁，最好是將這一過程自動化，并經�；�，CSA建議。變更控制流程能夠解決緊急修補問題，從而確保企業的技術團隊能夠正確記錄整治活動的和審查過程。

       安全威脅5：賬戶被劫持

       網絡釣魚、欺詐和軟件漏洞仍然能夠成功攻擊企業，而云服務則增加了一個新的層面的威脅，因為攻擊者可以竊聽活動，操縱交易，并修改數據。攻擊者也可以使用云應用程序發動其他攻擊。

       常見的深度防護保護策略可以包含安全違規所造成的損害。企業組織應該禁止用戶和服務之間共享帳戶憑證，并實現多因素身份驗證方案。賬戶，甚至包括服務帳戶都應該被監控，以便每筆交易可以追溯到相關的所有者。而關鍵是要保護帳戶憑據不被盜取，CSA表示說。

       安全威脅6：來自企業內部的惡意人員

       來自企業內部的安全威脅包括了許多方面：現任或前任員工、系統管理員、承包商或商業伙伴。惡意破壞的范圍從竊取企業機密數據信息到報復行為。而在遷移采用了云服務的情況下，一個來自企業內部的惡意人員可能會摧毀企業組織的整個基礎設施或操作數據。而如果僅僅是純粹依賴于云服務提供商的安全性，如加密，則風險是最大的。

       CSA建議企業組織需要控制加密過程和密鑰，實行職責分離，最大限度的減少用戶的訪問。實施有效的記錄、監控和審核管理員的活動也是至關重要的。

       正如CSA所指出的那樣，很容易將一個拙劣的嘗試對日常工作的執行誤解為“惡意”的內部攻擊活動。這方面的一個例子便是：一名管理員不小心將一個敏感的客戶數據庫復制到了一個公開訪問的服務器上。企業組織通過在云中實施適當的培訓和管理，來防止這些錯誤正變得越來越重要了，從而得以避免更大的潛在風險。

       安全威脅7：APT寄生蟲

       CSA將“寄生”形式的攻擊恰當地稱之為高級的持續性威脅(APT)。APT滲透到企業組織的系統，建立一個立足點，然后悄悄地在較長的一段時間內將數據和知識產權漏出。

       APT通過網絡進行典型的橫向移動，以融入正常的數據傳輸流量，所以他們很難被檢測到。主要的云服務提供商利用先進的技術來防止APT滲入他們的基礎設施，但企業客戶需要積極的檢測APT對于其云帳戶的攻擊，因為其可能會在他們內部部署的系統中。

       進入的共同點包括魚叉式網絡釣魚、直接攻擊、預裝惡意軟件的USB驅動器、以及對第三方網絡的攻擊。特別是，CSA建議企業組織需要培訓用戶識別網絡釣魚技術。

       定期加強企業員工用戶的安全意識，保持員工用戶保持警覺，就不太可能被欺騙，讓一個APT易于進入企業網絡。而企業用戶的IT 部門需要了解最新的先進性攻擊。而采取先進的安全控制、流程管理、事件響應計劃、員工培訓等措施固然會增加企業組織的安全預算。單企業組織應該權衡這些成本與成功的攻擊對于企業所造成的潛在的經濟損失。

       安全威脅8：永久性的數據丟失

       鑒于現如今的云服務已經日趨成熟，因此由服務供應商的錯誤所造成的永久性的數據丟失已經變得非常罕見了。但惡意黑客已經能夠永久的刪除云中的數據以對企業造成危害了，而同時，云數據中心的任何設施也更容易受到自然災害的損害。

       云供應商建議在多個區域進行分布式數據和應用程序的托管，以增加保護。充足的數據備份措施也是必不可少的措施，以及堅持實施確保業務連續性和災難恢復的最佳做法。日常數據備份和異地存儲在云環境仍然是很重要的。

       防止數據丟失的責任并不是只在云服務提供商這一方。如果企業客戶對數據進行了加密，然后上傳到云端，那么企業客戶就需要要小心保護加密密鑰。一旦密鑰丟了，數據也就丟失了。

       合規政策經常規定了企業組織必須保留其審核記錄和其他相關文件多長時間。失去這些數據可能會產生嚴重的監管后果。歐盟最新的數據保護規則還將數據破壞和個人數據受損納入數據泄露的范疇，要求進行適當的通知。因此，企業用戶必須熟悉各種規則，以避免陷入麻煩。

       安全威脅9：缺乏盡職調查

       那些尚未充分理解云環境及其相關的風險就采用了云服務的企業組織可能會遭遇到“無數的商業、金融、技術、法律及合規風險”，CSA警告說。通過盡職調查，能夠分析一家企業組織是否試圖遷移到云中或與另一家公司在云中合并(或工作)。例如，企業組織沒有細看合同可能沒有意識到如若發生數據丟失或泄密的情況下，供應商的相關責任。

       如果一家公司的開發團隊缺乏對云技術的熟悉，則會出現操作和架構問題，因為應用程序需要部署到特定的云服務。CSA提醒企業組織必須進行全面的盡職調查，了解當他們訂購一項云服務時，其所應當承擔的風險。

       安全威脅10：云服務的濫用

       云服務可以被征用以支持違法活動，如利用云計算資源破解加密密鑰以發動攻擊。其他的例子包括發動DDoS攻擊，發送垃圾郵件和釣魚郵件，和托管惡意內容。

       云服務供應商需要識別云服務被濫用的類型——比如審查流量以識別DDoS攻擊；為客戶提供工具，以監控他們云環境的健康狀況。企業客戶應該確保供應商提供了報告云服務被濫用的機制。雖然企業客戶可能不會成為惡意行為的直接獵物，但云服務的濫用仍然會導致服務的可用性問題和數據丟失。

       安全威脅11：DoS攻擊

       DoS攻擊已經存在多年了，但由于云計算的興起，他們所引發的問題再一次變得突出，因為它們往往會影響到云服務的可用性。系統可能會變得運行緩慢或是簡單的超時。“經歷拒絕服務攻擊時，就像被困在交通高峰期的交通擁堵中一樣，此時要到達你的目的地只有這一種方式，除了坐在那里等待之外沒有什么是你能做的。”該報告稱。

       DoS攻擊消耗了大量的處理能力，而企業客戶最終還可能不得不為其買單。雖然大容量的DDoS攻擊是非常常見的，企業組織應該意識到不對稱的、應用程序層的DoS攻擊，其目標是攻擊Web服務器和數據庫漏洞。

       較之他們的企業客戶，云服務提供商往往能夠更好地準備處理DoS攻擊，CSA說。關鍵是要有一套計劃，在攻擊發生之前以減輕其損害程度，所以當管理員們需要時，他們應該有權訪問這些資源。

       安全威脅12：共享的科技，共享的危險

       共享技術的漏洞對云計算構成了重大威脅。云服務供應商共享基礎設施、平臺和應用程序，如果一個漏洞出現在任何這些層中，其會影響到每個云服務的租戶。“一個單一的漏洞或錯誤，會導致整個供應商的云服務被攻擊。”該報告說。

       如果一部分組件被破壞泄露，例如，一款系統管理程序、一個共享的平臺組件、或應用程序被攻擊，其將潛在的使得整個云環境被攻擊。CSA推薦采用深層防御的策略，包括在所有主機、基于主機和基于網絡的入侵檢測系統，采用多因素身份驗證，應用最小特權的概念，網絡分割，和修補共享的資源。
 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：12大頂級云安全威脅

本文網址：http://www.guhuozai8.cn/html/consultation/10839519180.html