云安全聯(lián)盟(CSA)本周對2013年云計算的一些威脅進行了排名。在本次的排名中,前九名分別是:分別是:數(shù)據(jù)泄露、數(shù)據(jù)丟失、賬戶或服務流量劫持、不安全的接口和API、拒絕服務、惡意的內(nèi)部人員、云服務的濫用、不夠充分的審查、共享技術漏洞。
今年前三大威脅是數(shù)據(jù)泄露、數(shù)據(jù)丟失和賬戶劫持。在2010年,前三個是云服務的濫用、不安全的接口和API、惡意的內(nèi)部人士。這三個威脅仍在今年的名單上,但排名分別下跌到第7、4、6位。
在RSA大會的年度首腦會議上,CSA發(fā)布了這份由其Top Threats Working Group匯編的排行榜,旨在對企業(yè)和他們的風險管理決策方面提供幫助。
CSA 的Top Threats Working Group與聯(lián)盟的行業(yè)專家開展了一項云威脅的調(diào)查,這些行業(yè)專家包括:惠普軟件的高級安全分析師Rafal Los、Voodoo Security的創(chuàng)始人兼首席顧問Dave Shackleford以及微軟的高級安全項目經(jīng)理Bryan Sullivan等。
以下是2013年的9個云計算的最嚴重的威脅:
1. 數(shù)據(jù)泄露
我們都知道,數(shù)據(jù)泄露像一個討厭的老相識,但云計算加重了這種威脅。一個設計不當?shù)亩嘧鈶粼品諗?shù)據(jù)庫將使攻擊者不僅僅進入一個帳戶,而且會進入每一個與該服務相關的其他帳戶。
2. 數(shù)據(jù)丟失
這是經(jīng)常發(fā)生的故事,你的設備被破解,造成數(shù)據(jù)被偷或被刪除。意外刪除或天災(比如颶風桑迪)都可能會導致永久性的數(shù)據(jù)丟失,除非供應商提供備份。同樣,如果一個企業(yè)的數(shù)據(jù)在上傳到云之前就行加密,他們就能更好地保護加密密鑰或數(shù)據(jù)。
3. 賬戶或服務流量劫持
黑客通過網(wǎng)絡釣魚、欺詐或利用軟件漏洞來劫持無辜的用戶。通常黑客根據(jù)一個密碼就可以竊取用戶多個服務中的資料,因為用戶不會為每個服務設立一個不一樣的密 碼。對于供應商,如果被盜的密碼可以登陸云,那么用戶的數(shù)據(jù)將被竊聽、篡改,黑客將向用戶返回虛假信息,或重定向用戶的服務到欺詐網(wǎng)站。不僅對用戶自身造 成損失,還將對供應商的聲譽造成影響。
4. 不安全的接口和API
云中的API允許任意數(shù)量的交互——配置、管理和監(jiān)控等,他們對整體安全來說是一個薄弱的環(huán)節(jié)。API通過政策進行控制,開發(fā)人員必須在質(zhì)量和安全性方面注意設計,這是無法避免的。這個問題變得更復雜,因為API是跨領域的分層。
5. 拒絕服務
剝奪用戶訪問他們的資源和數(shù)據(jù),并造成延遲是破壞一個云服務的一個攻擊方法,可能意味著在線服務的死亡。其他形式的攻擊,如非對稱應用級的DoS攻擊,在不消耗大量的資源的情況下就可利用弱點將Web服務器、數(shù)據(jù)庫和其他云資源作為目標。
6. 惡意的內(nèi)部人員
惡意的內(nèi)部人員風險是每個組織必須考慮的方面。這種情況不一定發(fā)生,但當它發(fā)生時,它造成的傷害就會很大。CSA表示,完全依賴于云服務提供商的安全系統(tǒng),是最大的風險。
7. 云服務的濫用
云服務的大眾化,導致它可向任何人提供計算資源,不管那些人的目的是什么,即便他們正是那些尋求資源,以破解你的加密信息、發(fā)動拒絕服務攻擊、服務服務器的惡意軟件或散布盜版軟件的人。
8. 不夠充分的審查
云計算的好處聽起來有很多,比如降低成本、提高效率、更好的安全性等,但遷移到云計算的風險是沒有足夠的評估風險。不了解云服務環(huán)境、應用程序或服務被推到云中、營運責任(比如事件響應、加密、安全監(jiān)控等),這些都會對企業(yè)產(chǎn)生未知的風險。
9. 共享技術漏洞
所有的交付模型展示了共享基礎設施、平臺和應用程序所帶來的特點。一個防守深入策略由CSA提出,包括計算、存儲、網(wǎng)絡、應用程序和用戶安全執(zhí)行,以及對IaaS、PaaS和SaaS的監(jiān)測。一個故障可以波及整個服務提供商的云。
