十二大主流云安全威胁
CSA 表示,不安全的云服务部署、免费的云服务试用以及欺诈账户注册,都将云计算模型暴露在恶意攻击之下。恶意人员可能会利用云计算资源来针对用户、组织机构或其他云供应商。滥用云关联资源的例子包括发起分布式拒绝服务攻击、垃圾邮件和钓鱼攻击。 11. 拒绝服务 (DoS) DoS 攻击旨在阻止使用服务的用户访问他们的数据或应用程序。通过强制目标云服务消耗过多的系统资源(如处理能力,内存,磁盘空间或网络带宽), 攻击者可以使系统速度降低,并使所有合法的服务用户无法访问服务。 DNS 供应商 Dyn 是 Deep Dive 报告中 DoS 攻击的一个主要例子。一个外部组织使用 Mirai 恶意软件通过物联网设备, 在 Dyn 上启动分布式拒绝服务 (DDoS)。这次攻击之所以能成功,是因为受到攻击的物联网设备使用了默认凭证。该报告建议分析异常的网络流量,并审查和测试业务连续性计划。 12. 共享的技术漏洞 CSA 指出,云服务供应商通过共享基础架构、平台或应用程序来提供可扩展的服务。云技术带来了 “即服务” 概念,而没有对现有的硬件和软件进行实质性改动——有时是以牺牲安全性为代价的。组成支持云服务部署的基础组件,其设计目的可能不是为了多用户架构或多用户应用程序提供强大的隔离功能。这可能导致共享技术漏洞,这些漏洞可能会在所有交付模型中被利用。 Deep Dive 报告中的一个例子是 Cloudbleed 漏洞,在这个漏洞中,一个外部人员能够利用其软件中的一个漏洞从安全服务供应商 Cloudflare 中窃取 API 密钥、密码和其他凭据。该报告建议对所有敏感数据进行加密,并根据敏感级别对数据进行分段。 其他:幽灵(Spectre)和熔断(Meltdown) 2018年1月,研究人员报告了大多数现代微处理器的一个常见设计特性,利用该特性使用恶意 Javascript 代码可以从内存中读取内容,包括加密数据。这一漏洞的两种变体分别被称为熔断 (Meltdown) 和幽灵 (Spectre),它们影响了从智能手机到服务器的各种设备。正因为后者,我们才把它们列入这个云威胁列表中。 Spectre 和 Meltdown 都能进行旁路攻击,因为它们打破了应用程序之间的相互隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,如果攻击者是客户虚拟机 (VM) 上 root 用户,则可以读取主机内核。 对于云服务提供商来说,这是一个巨大的问题。当补丁可用时,攻击者会更难发动攻击。补丁可能会降低性能,因此一些企业可能选择不给系统打补丁。CERT 建议更换所有受影响的处理器——但还没有代替品时,很难做到这一点。 到目前为止,还没有任何已知的利用 Meltdown 或 Spectre 的漏洞,但专家们一致认为,这些漏洞很可能很快就会出现。对于云供应商来说,防范它们的最佳建议是确保所有最新补丁都已到位。客户应该要云供应商提供他们应对 Meldown 和 Spectre 的策略。 《云计算十二大顶级威胁:行业洞察报告》: https://cloudsecurityalliance.org/artifacts/top-threats-cloud-computing-plus-industry-insights/ 【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】 戳这里,看该作者更多好文
(编辑:宜春站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |