仅仅将本地安全控制迁移到全新的云环境是不够的。即使是具有多年经验的云中的组织也是脆弱的。
随着公司将云服务的使用扩展到包括关键业务数据和应用程序,安全漏洞的风险成为C级问题。内部系统的内部系统不加选择地迁移不同云架构的安全性通常是由于对云安全功能,控制,网络设计和用户责任的不完全理解。甚至像Capital One这样的组织,拥有多年AWS经验的公司以及对云技术细微差别的深入了解,都可以被黑客利用。显然,每个云用户都需要加倍努力来保护他们的安全。幸运的是,云安全联盟(CSA)等组织通过制定战略,建议和威胁调查来改善云环境的安全性。
云安全威胁应该改善协作和IT治理,而不一定是新技术
“作为DEF CON黑客大会的公开版本,黑帽事件已成为大多数安全厂商和调查人员必须停止的活动。与大多数安全会议一样,会议关于以前未知的软件漏洞充满了可怕的陈述。“新的攻击方法和盗版技术的创造性演示。不幸的是,与大多数安全事件一样,黑帽内容的好处描述了威胁和漏洞,而不是对策和软件解决方案。 CSA遵循使用该事件在云上发布的脚本新的威胁报告,但通过另一份报告反驳,详细说明了通过将安全性集成到软件开发中来改善组织安全状况的结构改进。 IT运营。“
首先,发现威胁
正如Capital One活动所展示的那样,云基础设施和应用程序的使用通过共享云提供商和用户之间的安全策略责任,开辟了新的网络攻击并使应用程序和数据的安全责任变得复杂化。上周的专栏专注于责任分工,新的CSA报告强调了云计算引入的新威胁载体。
CSA Top Threats工作组定期发布其对业务云用户面临的最重要安全问题的评估。随着时间的推移,该团队发现云提供商有效地保护了对中央基础设施的传统威胁,例如拒绝服务攻击或对硬件和操作系统的漏洞,以及堆栈中问题的增加。软件是云用户的责任。关于云计算最大威胁的CSA报告指出
“调查得分较高的新项目更加细致,表明消费者对云的理解已经成熟。这些问题是云特有的,表明消费者正在积极考虑云迁移的技术前景这些问题涉及控制平面中可能存在的弱点,元结构故障和应用程序结构以及云中可见性有限这种新方法与威胁,风险和漏洞存在显着差异比以前更常见(即数据丢失,拒绝服务)主要威胁报告更加突出。“该团队使用Microsoft STRIDE威胁模型分析了六种威胁类别中每一种的范围和重要性,并将其归纳为19种最突出的云安全威胁。结果是该组织称之为“惊人的11”,按重要性分类如下。
1.数据泄露,例如Capital One事件,其中“未经授权的人员发布,查看,窃取或使用”机密,受保护或机密信息“。
2.配置错误导致云资源容易受到恶意活动的攻击,从而导致设置不正确和更改控制不当。 “
3.缺乏体系结构和云安全策略,这意味着IT部门无法理解他们在云安全中的角色,或者无意中将现有内部应用程序迁移到云基础架构而不适应新环境。安全性。
4.对云身份和访问管理(IAM)服务和控制的理解不充分以及对云凭证的不充分保护,例如频繁轮换加密密钥,密码和证书,从而导致身份,凭据,访问和密钥管理不足。
5.通过网络钓鱼攻击或凭证被盗来绑架帐户(请参阅#4)。
6.当有人滥用其授权的云资源访问权限,以恶意或非自愿方式销毁系统或将机密数据暴露给中断的操作时的内部威胁。这些威胁可能来自当前或以前的员工,承包商或可信赖的业务合作伙伴。
7.不安全的接口和API,其中错误配置或设计不良的API允许攻击者滥用应用程序或访问数据。正如报告中详述的那样,与公共云系统的接口不断受到攻击,正如Capital One发现的那样,它通常是攻击者访问其他内部漏洞的门户。
8.“弱控制平面”是一个经过深思熟虑的云战略的例子,导致对云管理,安全控制和数据流以及不适当的适应缺乏正确的理解。从现有流程到显着不同的环境。
9.应用程序的元结构和结构的失败是由云提供者对API和其他管理接口的弱实现引起的。根据CSA报告,
元结构被认为是CSP /客户端限制,也称为基线。为了提高客户在云中的可见性,csp经常公开或允许API与水线上的安全流程进行交互。不成熟的csp通常不确定如何向客户提供API以及在何种程度上可用。例如,允许客户检索记录或审核系统访问的API可能包含高度机密的信息。
虽然它不在基线,但用于启动服务器端请求(SSRF)伪造的AWS元数据服务是元结构错误的一个示例。
10.当您不完全了解组织内云的使用并忽略安全问题时,会出现使用云的可见性有限。发生以下两种情况时会发生以上情况:(a)IT未授权员工使用云中的应用程序和/或资源,即隐藏的IT,或(b)授权的内部人员滥用其权利访问(#6)结果11.滥用和恶意使用云服务,攻击者使用云服务托管恶意软件或发起攻击,隐藏在云提供商域名的合法性背后。云基础架构威胁通常包括恶意软件存储和分发,DDoS攻击,垃圾邮件和网络钓鱼活动以及自动点击欺诈。
作为CSA的首席执行官和创始人,Jim Reavis在接受采访时表示,这些安全问题会影响所有类型的云服务,包括SaaS,而不仅仅是像AWS这样的基础架构。
此报告值得一读,因为它详细说明了每种威胁的业务影响和实际示例,以及每种威胁的特定云控制(CSA的CCM分类)。一份支持文件分析了九个新闻事件,这些事件显示了威胁的来源,分类,技术和商业影响以及可能阻止或减轻攻击的CCM控制。例如,这是Zynga数据泄漏的摘要图表。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
