摘要:在上周召开的会议上,云安全联盟列出的,即企业组织在年将面临的大顶级云计算安全威胁。当发生数据泄露事故时,企业组织可能会被罚款,他们甚至可能会面临诉讼或刑事指控。糟糕的接口和或将暴露出企业组织在保密性完整性可用性和问责制方面的安全问题。
企业组织在信息化办公环境中,在网络中进行办公及数据传输的潜在危险正在加大,有必要对数据安全进行防范。在上周召开的RSA会议上,CSA(云安全联盟)列出的“Treacherous12”,即企业组织在2016年将面临的12大顶级云计算安全威胁。CSA发布了相关的报告,来帮助云客户和供应商加强他们的防御力度。
云计算
云计算的共享、按需的性质,自然带来了新的安全漏洞,从而可能抵消了企业用户迁移到使用云技术所带来的任何收益,CSA警告说。在CSA之前所发布的报告中指出,云服务天生的性质决定了其能够使得用户绕过整个企业组织的安全政策,并在服务的影子IT项目中建立自己的账户。因此,必须采取新的管制措施,并将其落实到位了。
“这项2016年顶级云安全威胁名单的发布,反映了企业管理队伍所做出的糟糕的云计算决策将产生可怕的后果。”CSA的研究执行副总裁J.R.Santos表示说。
安全威胁1:数据泄露
在云环境中其实面临着许多与传统企业网络相同的安全威胁,但由于大量的数据存储在云服务器,使得云服务供应商成为了一个更具吸引力的攻击目标。潜在损害的严重程度往往取决于数据的敏感性。暴露了个人财务信息往往会成为头条新闻,但其实涉及到涉及健康信息、商业秘密和知识产权的数据泄漏往往是更具破坏性的。
当发生数据泄露事故时,企业组织可能会被罚款,他们甚至可能会面临诉讼或刑事指控。而相应的违规调查活动和客户通知会耗费大量的成本。而间接的恶性影响,还包括诸如企业品牌损失和业务损失,甚至可能会影响企业组织多年的时间而无法翻身。
云服务供应商通常都会部署安全控制来保护他们的环境。但最终,企业组织都需要负责保护他们存储在云中的数据。CSA建议企业组织使用多因素身份验证和加密的方式,来尽量防止数据泄露事故的发生。
安全威胁2:凭据或身份验证遭到攻击或破坏
数据泄露和其他攻击经常是由于企业组织内部松散的身份验证、弱密码、和糟糕的密钥或证书管理所造成的。由于企业组织试图将权限分配给相应的工作职位上的员工用户,故而经常需要处理身份管理的问题。更重要的是,当某个工作职能发生改变或某位用户离开该企业组织时,他们有时会忘记删除该用户的访问权限
诸如一次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务,因为这些手段可以让攻击者很难利用其盗取的密码来登录企业系统。例如,在美国第二大医疗保险服务商Anthem公司数据泄露事件中,导致有超过8000万客户的个人信息被暴露,就是因为用户凭据被盗所导致的结果。Anthem公司没有部署多因素认证,所以一旦攻击者获得凭证,就会导致**烦。
许多开发人员误将凭证和密钥嵌入到了源代码中,并将其发布到了诸如GitHub等面向公众的存储库。密钥需要进行适当的保护,而安全的公共密钥基础设施是必要的,CSA表示说。他们还需要定期修改密钥,从而使得攻击者在没有获得授权的情况下更难利用他们所盗取的密钥了。
那些计划与云服务提供商联合采取身份验证措施的企业组织需要了解他们的云服务提供商所采用的安全措施,以便保护身份验证平台。将身份验证集中到一个单一的存储库中有其风险。企业组织需要在集中方便的身份验证与面临成为攻击者最高价值攻击目标存储库的风险之间进行权衡取舍。
安全威胁3:接口和API被黑客攻击
现如今,几乎每一款云服务和应用程序均提供API。IT团队使用接口和API来管理,并实现与云服务的交互,包括提供云服务的配置、管理、业务流程协调和监控的服务。
云服务的安全性和可用性——从身份认证和访问控制再到加密和活动监测——均需要依赖于API的安全性。随着依赖于这些API和建立在这些接口上的第三方服务的增加,相应的安全风险也在增加,企业组织可能需要提供更多的服务和凭据,CSA警告称。糟糕的接口和API或将暴露出企业组织在保密性、完整性、可用性和问责制方面的安全问题。
API和接口往往是企业系统中最容易被暴露的部分,因为它们通常是通过开放的互联网访问的。CSA建议,企业组织应当将适当控制作为“防御和检测的第一线”,而安全威胁模型应用程序和系统建模,包括数据流和系统架构设计,便成为了开发生命周期的重要组成部分。CSA还建议,安全工作应当重点关注在代码审查和严格的渗透测试方面。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/4896.html
摘要:在年信息安全大会上,云安全联盟报告指出,企业组织在年将面临大顶级云计算安全威胁,云计算共享按需的性质会带来新的安全漏洞,保障行业云计算安全迫在眉睫。而在云计算加速步入落地阶段的今天,云安全正变得更加刻不容缓。 近年来,云计算市场应用正快速增长,越来越多的企业进入到云领域,云计算产品及解决方案的日趋丰富也使云安全上升到重要地位。在2016年RSA信息安全大会上,云安全联盟(CSA)报告指出,...
摘要:在计算机网络发展面临重大机遇的同时,网络安全形式也日益严峻,国家政治经济文化社会国防安全及公民在网络空间的合法权益面临着风险和挑战。最早的计算机网络也被称为计算机通信网。现阶段,一个完整的计算机网络结构体系由两部分组成。 ...
摘要:年已经来临,是云计算将迎来更多变化的一年。无论是云计算行业的专业人士投资者还是技术专家,都可以通过行业厂商和的云计算专家的预测来为年做好准备。位列前茅的云计算供应商是公司和微软公司。2019年已经来临,是云计算将迎来更多变化的一年。Kubernetes已经风靡技术社区,但近日发现的一个重大安全漏洞让人们清醒地意识到,需要一种强大的云安全方法。当然,对于谷歌公司来说,未来云计算的市场竞争将是非...
摘要:结果表明,人们对零日攻击和容器采用率的增加表示担忧。的企业在过去一年中报告了其云环境受到攻击,的企业表示零日攻击是这些攻击的起源。公司的联合创始人兼首席执行官表示,零日攻击将永远是一个真实且不可预知的威胁。根据一项新的调查研究,混合云环境特别容易受到 零日漏洞(zero-day)的攻击。 零日漏洞就是安全漏洞在当天或在24小时内被发现之后立即被恶意利用进行攻击,这种攻击是在厂商缺少防范意识或...
摘要:使用云计算来培训安全团队如今,云计算已经颠覆了企业存储数据的方式,以及工作人员彼此协作和合作的方式。此外,使用云计算为企业提供完全独立的,自包含的特定系统副本,员工可以进行学习。任何希望聘请IT专家的企业都了解正在面临的人才短缺情况。而这不仅仅是在谈论IT安全工作,几乎每个技术领域都面临技能短缺问题,这可能会削弱企业的生产力,并给各种规模企业的IT部门带来挑战。开展非正式的在职培训已成为大多...
阅读 1560·2021-11-18 13:20
阅读 935·2021-10-11 10:59
阅读 2821·2021-08-24 10:01
阅读 3410·2019-08-29 14:21
阅读 3205·2019-08-29 14:15
阅读 3175·2019-08-27 14:27
阅读 3545·2019-08-27 14:19
阅读 3394·2019-08-26 12:23
