越来越多企业数据和应用程序正在转向于云计算,这造成了云上面临更多的安全挑战。以下是使用云服务时,所要面对的12个顶级安全威胁。
云计算不断改变企业在使用、存储和共享数据的方式,并改善着应用程序和网络负载的方式。它还引入了一系列新的安全威胁和挑战。有了许多的数据接入云计算,特别是接入公共云服务,这些资源自然会成为黑客的目标。
安全专家认为:公有云利用量快速增长,不可避免的会导致更多的潜在的风险。
与许多人认为的相反,云计算中保护公司数据主要责任不在于服务提供商,而在于企业自身。当前许多企业正处在一个云安全过渡期,安全的重点正从供应商转向客户。而企业花费大量时间来判断某个特定的云服务提供商是否’安全’,几乎没有任何意义可言。
为了让更多的企业了解云安全问题,以便他们能够就云计算采取做出更明智的决策,某安全机构对其行业进行了一次深入的调查,就云计算中最严重的安全问题给出专业的意见。以下是最重要的云安全问题。(按照调查结果的严重程序排列):
1、数据泄露
数据泄露可能是有针对性的攻击,也可能是人为错误,应用程序漏洞或者安全保护措施不佳的结果。这可能涉及任何不公开发布的信息,包括个人健康信息、财务信息,个人身份信息、商业秘密和知识产权等。由于不同的原因,公司基于云计算的数据可能对不同方有价值。数据泄露的风险并不是云计算所独有的,但它始终是云客户的首要考虑因素。
2、验证授权存在缺陷
黑客伪装成合法用户,编辑或者开发人员进行读取、修改和删除数据;获取发布平台的管理功能;由于验证授权存在缺陷可能导致未经授权的数据访问,并可能对公司或者最终用户造成灾难性的伤害。
3、不安全的接口和可编程SDK
云服务商提供了一些软件管理或者API管理接口与云服务交互。通过供应、管理和监控接口来完成自动化操作,云服务的安全性和可用性均取决于API的安全性。它们需要被设计来防止意外和恶意的绕过策略。
4、系统漏洞
系统漏洞是黑客可用来渗透系统窃取数据,控制系统或中断服务操作的程序中可利用的漏洞。操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云中多租户的出现,来自不同公司的系统互相寄生于宿主机,并且允许访问共享内存和资源,从而创建新的攻击面。
5、帐户劫持
帐户或者服务劫持并不是新的漏洞,但云计算为这一场景增添了新的威胁。如果黑客可以访问用户的验证数据,他们可以窃听操作和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或者服务可能成为黑客的新跳板。由于授权数据被盗,黑客可以访问云计算服务的关键区域,从而危及这些服务的机密性完整性和可用性。
6、内鬼
企业的安全威胁,很大一部分在于来自内部的威胁。像系统管理员这样的角色可以访问数据库的数据或者潜在的敏感信息,并且可以越来越多的访问更重要的系统。仅依靠云服务提供商的系统,将面临的更大的挑战。
7、高级持续性威胁(APT)
APT就像一种寄生虫的网络攻击方式,它渗透到目标公司IT基础设施步步为营渗透更多系统,从中窃取敏感数据。APT在很长一段时间内悄悄接近自己的目标,经常适应和抵御目标的安全措施。
8、数据丢失
存储在云中的数据可能因恶意攻击以外的原因而丢失。云服务提供商的意外删除或者火灾或者地震等物理灾难可能导致客户数据永久丢失,除非提供商或者云客户采取适当措施来备份数据,遵循业务连续性的最佳实践,符合灾难恢复要求。
9、技术调研不足
当公司高层制定业务战略时,必须考虑云技术和服务提供商。在评估技术和提供商时,制定一个好的路线图和技术调研清单对于获得最大的成功机会到头重要。急于采用云计算并选择提供商而没有执行深入的技术调研,可能会面临诸多的技术风险。
10、滥用云服务
云服务部署考虑不周全,免费的云服务试用或者测试数据没有删除,暴露在黑客攻击范围内。黑客可能会利用云计算资源来定位用户,公司或者其他云提供商。滥用云端资源且不加以保护,将极易被攻击。
11、拒绝服务
DoS攻击旨在防止服务的用户访问数据或者应用程序。通过强制消耗云服务过多的有限系统资源,如处理器能力、内存、磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使用所有合法的服务用户无法正常使用。
12、共享技术漏洞
云服务提供商通过共享基础架构,平台或者应用程序来扩展其服务。云技术将’云计算即服务’产品划分几个部分,而不会大幅变成硬件或者软件。有时会以牺牲安全为代价。构成支持云服务部署的底层组件可能并未没有设计为多租房架构或者多客户应用程序提供强大的安全隔离。这可能会导致共享的技术漏洞,可能在所有使用过程中被利用。
相关推荐
对基于Git的版本控制服务的通用攻击面的探索
IDC企业安全建设
上汽云中心全场景安全建设
域名空间治理与域名协议安全的演进
以攻击者的视角守护企业安全
网络协议侧信道的漏洞简史
安全,永无止境_思科视角下的全球安全技术演进
从表象空间的视角论网络空间技术与安全的关系
以色列对网络安全的承诺
DATA_PROTECTION_FOR_PUBLIC_SERVICE_INDUSTRY_IN_THE_ERA_OF_BIG_DATA
Top_Security_and_Risk_Management_Trends_for_2019_and_Beyond
聚变:数字时代的安全产业变革
如何去挖掘物联网环境中的高级恶意软件威胁
APT检测设备的扩展研究–甲方的最佳自我实践
APT_攻守道
PHP动态特性的捕捉与逃逸
来自小密圈里的那些奇技淫巧
信息安全从积累到创造
在2019北京网络安全大会上的讲话
网络变革带来的机遇和挑战
网络安全与全球可持续发展
国家网络战略和治理的演变
从0-1的企业安全建设之路
中小互联网企业业务安全建设实践
维度升级-搭建切合实战的风控分析体系
业务安全红蓝对抗的思考与实践
从源代码漏洞挖掘谈有价值研究
方班CTF战队建设与网安人才培养模式探索
为何自动化漏洞挖掘如此困难
非典型安全研究人员的自我培养
HoMonit__基于无线侧信道的智能家居应用异常检测
用于发现物联网设备的规则采集引擎
Invetter__Locating_Insecure_Input_Validations_in_Android_Services
基于生成对抗网络的文本验证码识别方法研究
口令文件泄露检测技术
VulDeePecker:一个基于深度学习的漏洞检测系统
理解人群报告安全漏洞的可重现性
端到端安全协议的威胁、演进和部署
移动应用内嵌浏览器恶意行为检测与分析
FUZE:辅助生成内核UAF漏洞利用
司南__定位二进制代码中的不安全密钥
现代隐私权:“社交网络与机器学习模式”案例研究
等保2
顺丰安全态势感知建设实践
可视及赋能_Gigamon助力构建现代网络多层次可视及安全