网站首页   房产   汽车   旅游   教育   财经   IT   娱乐   体育  
当前位置:主页 > IT >
云安全威胁需要改进IT协作、治理 不一定是新技
来源: 未知 作者:admin 发布时间:2019-08-19 15:37

  随着企业将云服务的使用范围扩大到包括关键业务应用程序和数据,安全漏洞的风险成为了一个C级问题。轻率地将专为内部基础设施和安全控制设计的内部系统迁移到完全不同的云架构,常常是因为没有完全理解云安全的特性、控制、网络设计和用户责任,这将后患无穷。即使像Capital One这样的组织,拥有多年AWS经验、对云技术细微差别有深刻理解的公司,也可能被黑客利用,很明显,每个云用户都需要加倍努力保护自己的安全。值得庆幸的是,有一个像云安全联盟(CSA)这样的组织致力于通过开发策略、建议和威胁研究来提高云环境的安全性。

  “作为DEF CON黑客大会的公共化版本,Black Hat 事件已经成为大多数安全厂商和研究人员必须停止的活动。和大多数安全会议一样,会议上也充斥着关于此前未知的软件漏洞的可怕声明、新的攻击方法以及黑客技术的创造性演示。不幸的是,与大多数安全事件一样,黑帽内容的优势描述的是威胁和漏洞,而不是对策和软件修复。CSA遵循脚本使用该事件发布关于云威胁的新报告,但是使用另一份报告进行反击,该报告详细描述了通过将安全性集成到软件开发和IT操作中来改进组织的安全状况的结构改进。”

  正如Capital One事件所展示的那样,使用云基础设施和应用程序开辟了新的网络攻击途径,同时通过在云提供商和用户之间分担安全策略的责任,使应用程序和数据安全的责任复杂化。上周的专栏关注的是职责划分,而CSA的一份新报告强调了云计算引入的新威胁载体。

  CSA威胁工作组定期发布其对企业云用户面临的最重要安全问题的评估。随着时间的推移,该小组发现传统上对核心基础设施的威胁如拒绝服务攻击或针对硬件和操作系统的漏洞都被云提供商有效的保护起来了,而软件堆栈中更高层次的问题是云用户的责任。CSA发布的一份关于云计算最大威胁的报告指出,

  “调查中得分较高的新项目更加细致入微,表明消费者对云的理解已经成熟。这些问题本质上是特定于云的,因此表明了消费者正在积极考虑云迁移的技术前景。这些主题涉及潜在的控制平面弱点、元结构和应用程序结构故障以及有限的云可见性。这一新的重点明显不同于以往更常见的威胁、风险和漏洞(即数据丢失、拒绝服务),这些在以前的威胁报告中表现得更为突出。”

  该工作组使用微软STRIDE威胁模型,分析了六个威胁类别中每个问题的范围和重要性,并将其归纳为19个最突出的云安全威胁。其结果就是该组织所称的“惊人的11个”,按重要性排列如下。

  1. 数据泄露,例如Capital One事件,其中“敏感、受保护或机密信息被未经授权的个人发布、查看、窃取或使用”。

  2. 错误配置和不充分的变更控制是由设置错误导致的,这些错误使云资源容易受到恶意活动的攻击。”

  3.缺乏云安全体系结构和策略,导致IT部门不理解自己在云安全中的角色,或者不小心将现有的内部应用程序迁移到云基础设施,而没有使其适应新的安全环境。

  4. 不充分理解云身份和访问管理(IAM)服务和控制以及不充分地保护云凭据,例如频繁地旋转加密密钥、密码和证书,从而导致身份、凭据、访问和密钥管理不足。

  6. 内部威胁,指某人滥用其对云资源的授权访问,恶意或无意地破坏系统或暴露敏感数据以破坏操作。这些威胁可能来自现任或前任雇员、承包商或可信任的业务伙伴。

  7. 不安全的接口和API,其中配置或设计不良的API允许攻击者滥用应用程序或访问数据。正如该报告所详细描述的,面向公众的云系统的接口不断受到攻击,而且,正如Capital One所发现的,它常常是攻击者访问其他内部漏洞的门户。

  8. “弱控制平面”就是没有经过深思熟虑的云策略的一个例子,这种策略导致没有充分理解云管理、安全控制和数据流,以及不恰当地使现有流程适应明显不同的环境。

  9. 元结构和应用程序结构的失败是由云提供商对API和其他管理接口的弱实现造成的。根据CSA的报告,

  元结构被认为是CSP/客户界线,也称为基线。为了提高客户对云的可见性,csp经常公开或允许API与水线上的安全进程进行交互。不成熟的csp常常不确定如何使api对客户可用,以及在多大程度上可用。例如,允许客户检索日志或审计系统访问的api可能包含高度敏感的信息。

  虽然不在基线上,但是用于启动服务器端请求伪造(SSRF)的AWS元数据服务是元结构失败的一个例子。

  10. 当不完全了解组织内的云使用情况,从而忽略安全问题时,就会出现有限的云使用可视性。当以下两种情况发生时:(a)员工未经IT授权使用云应用程序和/或资源,即影子IT,或(b)授权的内部人员滥用其访问权限(#6)就会出现上述的结果。

  11. 滥用和恶意使用云服务,攻击者使用云服务来托管恶意软件或发起攻击,隐藏在云提供商域名的合法性背后。来自云基础设施的威胁通常包括恶意软件存储和传播、DDoS攻击、电子邮件垃圾邮件和钓鱼活动以及自动点击欺诈。

  作为CSA的CEO和创始人,Jim Reavis在一次采访中指出,这些安全问题影响着所有类型的云服务,包括SaaS,而不仅仅是像AWS这样的基础设施,

  这份报告非常值得一读,因为它详细描述了每种威胁的业务影响和真实世界的例子,以及针对每种威胁的特定云控制(来自CSA的CCM分类)。一份配套文件分析了9起新闻事件,显示了威胁的来源、分类、技术和商业影响,以及本可以阻止或减轻攻击的CCM控制。例如,下面是Zynga数据泄露的总结图表。

  1956年,人工智能的概念诞生。60多年后的今天,人工智能被频频提及,并赋能到各个行业,包括金融、医疗、交通、制造业,以及客服行业。 在人工智能发展迅猛的过程中,呼叫中心也受到了...

  如今,现代化的数据管理平台正在成为企业的首先,而传统的数据运维应用平台则逐渐被边缘化。尤其在AI和机器学习技术的推动下,企业数据正在走向以云为核心的数字化征程。 根据思科的...

  现代企业基本没有完全云端化或压根儿不用云的,随着几乎每家公司都朝着在业务中引入云的方向发展,融合了云服务、云基础设施和公司现场技术的混合环境,便是如今大多数公司的实际情...

  多云应该可以降低成本,提高灵活性和创新能力,但事实上对于有些企业来说恰恰相反。 多云似乎是个好主意。不幸的是它不起作用。如果多云帮助了客户,但供应商在这个过程中出现了问题...

  微软今天宣布在三个云区域推出新的Azure Ultra Disk固态硬盘存储服务。 Azure Ultra Disk是微软所谓的下一代分布式块存储服务,旨在满足高吞吐量和高IO Azure虚拟机的需求,目前在美国东部2、北欧...

  据国外媒体报道,戴尔旗下云计算公司VMware证实,它正在就收购软件开发平台Pivotal Software(以下简称Pivotal)进行谈判。此次收购对Pivotal的估值约为40亿美元。 根据拟议的交易,VMware将以每股15美...

  鉴于数字业务对企业IT基础设施的要求和压力,企业首席信息官需要对其所拥有的IT技术充满信心,以帮助其组织保持响应能力、可用性、竞争力。 根据调研机构Gartner公司在2018年云计算市场的...

  很多企业认为,采用多云管理工具可以为不同的环境带来秩序、控制、洞察力。 随着企业将更多的工作负载迁移到更多的云计算提供商的平台上,许多IT和网络管理员对其工作感到不知所措,...

  为充分利用大数据创新城市管理,推进互联网+便民服务,加快建设智慧城市,近日,经景德镇市政府第53次常务会议审议通过,《景德镇市智慧城市建设管理意见》正式印发。 《景德镇市智慧...

  从2016年阿里开创城市大脑的概念,到如今在全球范围内布局11个城市,可以说阿里凭借着一己之力完成了城市大脑在中国的认知和普及,现今阿里云也在这个领域形成了绝对领先的竞争态势。...

  使用 TRINAMIC 的 TMC2209 启用智能台式应用 数据手册下载 TRINAMIC的 TMC2209 是用于台式解决方案的终极步进驱动器,可同时进行失...

  Diodes的低待机功耗,高压,非隔离降压电源切换器适用于家电和物联网应用 Diodes的 AP3917B,AP3917C和AP3917D是一系列通用AC,高...

 
  推荐新闻
· K12在线教育维权第一案胜 ... 2019-07-07
· 体育新闻工作者足球联赛 ... 2019-07-18
· 全国54所财经类大学排行榜 ... 2019-06-25
· 端午机票比去年便宜 部分 ... 2019-06-27
· 体育用品有哪些分类呢? ... 2019-06-23
· 新视家梁军:儿童教育和 ... 2019-03-03
· 马云谈老师与学生的“恩 ... 2019-07-18
· 今日2018头条盛典大半个娱 ... 2019-02-19
· 三季度全国网信系统重拳 ... 2019-06-28
· 杜特尔特签署公告 批准在 ... 2019-02-15
· 完善家庭教育支持政策正 ... 2019-01-23
· 元旦国内去哪比较好 元旦 ... 2019-02-28
· 房子购买了快两年 润丰园 ... 2019-07-24
· 2019年房地产估价市场行情 ... 2019-07-19
· AASTOCKS 财经新闻 - 公司新 ... 2019-07-22
· 环球链全球区块链精华要 ... 2019-08-09
· 标普1500综合指数15只最被 ... 2019-07-02
· 首届家庭教育发展论坛在 ... 2019-02-16
· 6月旅游最佳地方国外 六月 ... 2019-08-16
· 祖龙娱乐与百度贴吧开启 ... 2019-07-26
   
关于我们 | 广告服务 | 联系方式 | 网站投稿 | 网站声明 | 网站地图
备案号:
新新网-娄底新闻门户网站_娄底日报社官网 http://www.17iqq.com
泰国试管婴儿保研论坛seo培训班