大发龙虎大战你 好,游客 登录
背景:
阅读新闻

11个主要的云安全威胁

[日期:2019-10-15] 来源:大发龙虎大战企业 网D1Net  作者: [字体: ]

  如今,越来越多的大发龙虎大战企业 正在将数据和应用程序迁移到云中,这带来了独特的信息安全挑战。而大发龙虎大战企业 在使用大发龙虎大战大发龙虎大战服务 时将面临11个主要的云安全威胁。

  大发龙虎大战继续改变大发龙虎大战企业 使用、存储和共享数据、应用程序、工作负载的方式。它还带来了许多新的安全威胁和挑战。随着大量数据进入大发龙虎大战(尤其是公共云大发龙虎大战服务 ),这些资源自然成为不良行为者的目标。

  调研机构Gartner大发龙虎大战公司 副总裁兼云安全负责人Jay Heiser表示,“公共云应用正在迅速增长,因此难以避免地导致敏感信息面临大发龙虎大战更多 的潜在风险。”

  与许多人的想法相反,保护大发龙虎大战企业 在云中数据的主要责任不在于大发龙虎大战服务 提供商,而在于客户本身。Heiser表示,“大发龙虎大战大发龙虎大战我 们 正处于一个云安全过渡期,在这个过渡期内,人们的注意力正从提供商转向客户。很多大发龙虎大战企业 正在认识到,花大量时间试图弄清楚某个大发龙虎大战大发龙虎大战服务 提供商是否‘安全’实际上没有回报。”

  为了使大发龙虎大战组织 对云安全问题有新的了解,以便他们可以就云采用策略做出有根据的决策,云安全联盟(CSA)发布了其新版本的《大发龙虎大战的11个最大威胁报告》。

  该报告反映了云安全联盟(CSA)社区中的安全专家之间当前就云中重要的安全问题达成的共识。云安全联盟(CSA)表示,尽管云中存在许多安全问题,但这个列表主要关注11个与大发龙虎大战的共享、按需特性相关的问题。

  去年的调查报告中列出的几项威胁排名今年有所下降,其中包括拒绝大发龙虎大战服务 、共享大发龙虎大战技术 漏洞、大发龙虎大战大发龙虎大战服务 提供商数据丢失和系统漏洞。报告指出,“调查表明,由大发龙虎大战大发龙虎大战服务 提供商负责的传统安全问题似乎不那么令人担忧。相反,大发龙虎大战大发龙虎大战我 们 看到大发龙虎大战更多 的是需要解决位于大发龙虎大战技术 堆栈更高层的安全问题,是高级管理层决策的结果。”

  为了确定人们更为关注的问题,云安全联盟(CSA)对大发龙虎大战行业 专家进行了一项调查,以就大发龙虎大战中很大的安全性问题收集专业意见。以下是主要的云安全性问题(按调查结果的严重性顺序依次排列):

  1.数据泄露

  数据泄露的威胁在去年的调查中仍然保持其重要的位置。不难理解其原因,因为数据泄露可能会严重损害大发龙虎大战企业 的声誉和财务。它们可能会导致知识产权(IP)损失和重大法律责任。

  云安全联盟(CSA)大发龙虎大战关于 数据泄露威胁的关键要点包括:

  •攻击者需要获取数据,因此大发龙虎大战企业 需要定义其数据的价值及其丢失的影响。

  •谁有权访问数据是解决保护数据的关键问题。

  •通过全球大发龙虎大战互联网 可访问的数据很容易受到错误配置或利用。

  •加密可以保护数据,但需要在性能和用户体验之间进行权衡。

  •大发龙虎大战企业 需要考虑云大发龙虎大战服务 提供商经过测试的可靠事件响应计划。

  2.配置错误和变更控制不足

  配置错误和变更控制不足是对云安全联盟(CSA)列表的新威胁,考虑到许多大发龙虎大战企业 意外地通过大发龙虎大战泄露数据的例子,这不足为奇。例如,云安全联盟(CSA)引用了Exactis事件,大发龙虎大战提供商因配置错误开放了Elasticsearch数据库,其中包含2.3亿名美国消费者的个人数据,可供公众访问。由于备份大发龙虎大战服务 器配置不正确,其威胁与数据泄露一样严重, Level One Robotics大发龙虎大战公司 泄露了100多家制造大发龙虎大战公司 的IP。

  云安全联盟(CSA)表示,这不仅仅是大发龙虎大战企业 须关注的数据丢失,还有为了破坏业务而大发龙虎大战删除 或修改资源。报告将大部分错误配置归咎于糟糕的变更控制实践。

  云安全联盟(CSA)大发龙虎大战关于 配置错误和变更控制不力的关键要点包括:

  •基于大发龙虎大战的资源的复杂性使其难以配置。

  •不要期望传统的控制和变更管理大发龙虎大战方法 在云中有效。

  •使用自动化和大发龙虎大战技术 ,这些大发龙虎大战技术 会持续扫描错误配置的资源。

  3.缺乏云安全架构和策略

  这个问题从大发龙虎大战出现时就一直存在,但今年已成为云安全联盟(CSA)的新问题。将系统和数据迁移到云中所需的时间很小化的愿望通常优先于安全性。因此,该大发龙虎大战公司 可以使用非针对其设计的安全性基础设施和策略在云中运营。这出现在2019年的清单上的事实表明,大发龙虎大战更多 的大发龙虎大战企业 意识到这是一个值得关注的问题。

  云安全联盟(CSA)大发龙虎大战关于 缺乏云安全架构和策略的关键要点包括:

  •安全体系结构需要与业务目标保持一致。

  •开发和实施安全体系结构框架。

  •保持威胁模型为新版本。

  •部署连续监视功能。

  4.身份、凭证、访问和密钥管理不力

  列表中的另一个新威胁是对数据、系统和物理资源(如大发龙虎大战服务 器机房和建筑物)的访问管理和控制不力。该报告指出,大发龙虎大战要求大发龙虎大战企业 改变与身份和访问管理(IAM)有关的做法。没有这样做的后果可能导致安全事件和破坏,其原因是:

  •凭据保护不足

  •缺乏自动轮换密码密钥、密码和证书的功能

  •缺乏可扩展性

  •无法使用多因素身份验证

  •无法使用强密码

  云安全联盟(CSA)大发龙虎大战关于 身份、证书、访问和密钥管理不足的关键要点包括:

  •安全帐户,包括使用双因素身份验证

  •限制使用root帐户

  •根据业务需求和较低特权原则,隔离和细分帐户、虚拟私有云和身份组

  •采用程序化、集中式大发龙虎大战方法 进行密钥轮换。

  •大发龙虎大战删除 未使用的凭据和访问权限。

  5.帐户劫持

  帐户劫持仍然是今年第五大云威胁。随着网络钓鱼尝试变得更加有效和更具针对性,攻击者获得高权限帐户访问权的风险非常大。网络钓鱼并不是攻击者获取凭据的唯一大发龙虎大战方法 。他们还可以通过其他方式窃取账户。

  一旦攻击者可以使用合法帐户进入系统,他们就可能造成大量破坏,其中包括盗窃或破坏重要数据、中止大发龙虎大战服务 交付或财务欺诈。云安全联盟(CSA)建议对用户进行帐户劫持的危险和迹象的大发龙虎大战培训 和教育,以很大程度地降低风险。

  云安全联盟(CSA)大发龙虎大战关于 帐户劫持的关键要点包括:

  •帐户凭据被盗后,不仅要重置密码。需要从根本原因入手解决问题。

  •深度防御大发龙虎大战方法 和强大的身份识别与访问管理(IAM)控制是很好的防御大发龙虎大战方法 。

  6.内部威胁

  来自受信任内部人员的威胁在云中与内部部署系统一样严重。大发龙虎大战组织 内部人员可以是现任或前任员工、承包商或可信赖的业务大发龙虎大战合作 伙伴,这些是无需突破大发龙虎大战公司 防御即可访问其系统的其他人。

  内部人士造成的损害并不一定怀有恶意,他们可能会无意间使数据和系统面临风险。云安全联盟(CSA)引用了波洛蒙研究所的2018年内部威胁成本研究报告,该报告指出,报告的所有内部事件中有64%是由于员工或承包商的疏忽所致。这种疏忽可能包括配置错误的大发龙虎大战大发龙虎大战服务 器,在个人设备上存储敏感数据,或成为网络钓鱼电子邮件的受害者。

  云安全联盟(CSA)大发龙虎大战关于 内部威胁的关键要点包括:

  •对员工进行有关正确做法的大发龙虎大战培训 和教育,以保护数据和系统。使教育成为一个持续的过程。

  •定期审核和修复配置错误的大发龙虎大战大发龙虎大战服务 器。

  •限制对关键系统的访问。

  7.不安全的接口和API

  不安全的接口和API从去年的第三名跌至第七名。2018年发生了众所周知的Facebook数据泄露事件,影响了全秋5000多万个帐户,这是其查看方式功能中引入的漏洞的结果。尤其是当与用户界面相关联时,API漏洞可以为攻击者提供窃取用户或员工凭据的清晰途径。

  云安全联盟(CSA)报告指出,大发龙虎大战企业 需要了解API和用户界面是系统中最容易暴露的部分,并且鼓励通过设计大发龙虎大战方法 来构建它们来保证安全性。

  云安全联盟(CSA)大发龙虎大战关于 不安全的接口和API的关键要点包括:

  •采取良好的API做法,例如监督库存、测试、审计和异常活动保护等项目。

  •保护API密钥并避免重用。

  •考虑开放的API框架,例如开放大发龙虎大战接口(OCCI)或云基础设施管理接口(CIMI)。

  8.控制平台薄弱

  控制平台涵盖了数据复制、迁移和存储的过程。根据云安全联盟(CSA)的说法,如果负责这些过程的人员无法完全控制数据基础设施的逻辑、安全性和验证,则控制平台将很薄弱。管理人员需要了解安全配置、数据流向以及架构盲点或弱点。否则可能会导致数据泄漏、数据不可用或数据损坏。

  云安全联盟(CSA)大发龙虎大战关于 控制平台薄弱的关键要点括:

  •确保大发龙虎大战大发龙虎大战服务 提供商提供了履行法律和法定义务所需的安全控制。

  •进行尽职调查,以使大发龙虎大战大发龙虎大战服务 提供商拥有足够的控制平台。

  9.元结构和应用程序结构故障

  大发龙虎大战大发龙虎大战服务 提供商的元结构保存有关如何保护其系统的安全信息,并通过API调用公开该信息。云安全联盟(CSA)将元结构称为云大发龙虎大战服务 提供商/客户的“分界线”。API大发龙虎大战帮助 客户检测未经授权的访问,但还包含高度敏感的信息,例如日志或审核系统数据。

  这条“分界线”也是潜在的故障点,可能使攻击者能够访问数据或破坏云客户。API实施不佳通常是导致漏洞的原因。云安全联盟(CSA)指出,例如,不成熟的大发龙虎大战大发龙虎大战服务 提供商可能不知道如何正确地向其客户提供API。

  另一方面,客户可能不了解如何正确实施大发龙虎大战应用程序。当他们连接非为云环境设计的应用程序时,尤其如此。

  云安全联盟(CSA)大发龙虎大战关于 元结构和应用程序结构失败的关键要点包括:

  •确保大发龙虎大战大发龙虎大战服务 提供商提供可见性,并公开缓解措施。

  •在云原生设计中实施适当的功能和控件。

  •确保大发龙虎大战大发龙虎大战服务 提供商进行渗透测试并向客户提供发现结果。

  10.大发龙虎大战使用情况有限的可见性

  安全专业人员普遍抱怨大发龙虎大战环境使他们对检测和防止恶意活动所需的许多数据视而不见。云安全联盟(CSA)将这种有限的使用可见性挑战分为两类:未经批准的应用程序使用和未经批准的应用程序滥用。

  许可的应用程序滥用可能是使用许可的应用程序的授权人员或使用被盗凭据的外部威胁参与者。云安全联盟(CSA)报告称,安全团队需要能够通过检测异常行为来区分有效用户和无效用户。

  云安全联盟(CSA)大发龙虎大战关于 有限的云使用可见性的关键要点包括:

  •从上到下开发与人员、流程和大发龙虎大战技术 相关的大发龙虎大战可见性工作。

  •在大发龙虎大战组织 范围内进行强制性大发龙虎大战培训 ,了解可接受的云使用政策和执行情况。

  •让云安全架构师或第三方风险管理人员查看未经批准的云大发龙虎大战服务 。

  •投资云访问安全代理(CASB)或大发龙虎大战软件 定义的网关(SDG),以分析出站活动。

  •投资Web应用程序防火墙以分析入站连接。

  •在整个大发龙虎大战组织 中实施零信任模型。

  11.滥用和恶意使用大发龙虎大战大发龙虎大战服务

  攻击者越来越多地使用合法的大发龙虎大战大发龙虎大战服务 来支持其活动。例如,他们可能使用大发龙虎大战大发龙虎大战服务 在GitHub等站点上托管伪装的恶意大发龙虎大战软件 ,发起DDoS攻击,分发网络钓鱼电子邮件,挖掘数字货币,执行自动点击欺诈或进行暴力攻击以窃取凭据。

  云安全联盟(CSA)表示,大发龙虎大战大发龙虎大战服务 提供商应有适当的缓解措施,以防止和发现滥用行为,例如付款大发龙虎大战工具 欺诈或滥用大发龙虎大战大发龙虎大战服务 。对于大发龙虎大战提供商来说,建立事件响应框架以应对滥用并允许客户报告滥用也很重要。

  云安全联盟(CSA)大发龙虎大战关于 滥用和滥用云大发龙虎大战服务 的关键要点包括:

  •监控员工的大发龙虎大战使用情况是否受到滥用。

 

  •使用大发龙虎大战数据丢失防护(DLP)解决方案来监视和阻止数据泄露。

大发龙虎大战推荐 打印 | 录入:admin | 阅读:
本文评论   
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 大发龙虎大战本站 管理人员有权保留或大发龙虎大战删除 其管辖留言中的任意内容
  • 大发龙虎大战本站 有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款