云计算中,有哪些常见的安全威胁?有什么案例?
云计算有个特性:资源共享。它带来的问题就是安全问题。例如:
云计算中心本身安全不安全?
如何获得安全的云服务?
云计算为改善安万能做出什么贡献?
等等问题,都是云安全的热门话题。
特殊是:SaaS的提供商。例如,在云计算中,用户在某些方面失去了对资源的控制。就必须重新评估用户自身的安全模式。
定义
和云计算的定义一样,关于云安全也没有同一的定义,但基本上都差不多。
总而言之,云安全就是保护基于云的应用程序、数据和假造底子架构的完整性。它实用于所有云部署模型(公共云、私有云、混淆云),以及所有类型的基于云的服务(IaaS、PaaS、SaaS)。
一般来说,基于云的服务,云提供商负责保护底层底子架构,客户就是负责保护云中的应用程序和数据。
其中,“云安全(Cloud Security)”计划:融合了并行处置惩罚、网格计算、未知病毒活动判断等的新兴技术和概念。
中国云安全的发展历程
[*]2008年,开始兴起
[*]2014年,很多公司参加到这个领域。同时,2014年阿里云等公有云厂商,正式上线云安全服务。这个行业逐渐进入快速发展阶段。
[*]到2018年,初创公司 & 公有云安全厂商,他们之间的竞争和互助关系逐步形成。云安全已成为当前IT底子设施建立,尤其是云服务企业,是他们发展过程中高度器重的领域。
https://i-blog.csdnimg.cn/direct/5f2f92f83ebe4cfeb011cb03b4859043.png
云安全威胁
云安全联盟(Cloud Security Alliance)整理出了11项云安全威胁:
1. 数据泄露
2014上半年,各大行业网站数据泄露的比例:
https://i-blog.csdnimg.cn/direct/b440a75353a64039a636daca6364b368.png
从图中可以看出,医疗卫生、生活房产和论坛社区,占据了数据泄露的前三名。
数据泄露:敏感、受保护或机密信息,在被未经授权的情况下,被发布、检察、窃取或使用。
数据泄露大概是蓄意攻击导致的。也大概是人为错误、应用程序漏洞,或者安全措施不敷的结果。
数据泄露的信息,大概包括:个人健康信息、财务信息、个人可识别信息(PII)、商业机密和知识产权。
https://i-blog.csdnimg.cn/direct/0dc41ddd9db1471da0cf1de10eb2823d.png
数据泄露的负面结果,大概包括:
1. 影响到客户或互助伙伴的声誉和信托
2. 作为企业,会丢失应对竞争对手的知识产权,大概影响产品发布
3. 羁系影响:大概导致的财务损失
4. 品牌影响:导致市场价值减少
5. 导致法律和合同责任
6. 产生额外的财务花销
例子:
Time hop应用程序:由于云计算情况的粉碎,导致数据泄露,影响了 2100 万用户。他们的社交媒体访问令牌也遭到粉碎。
https://i-blog.csdnimg.cn/direct/990ca1fb45f240b48bf6dd859d5946c6.png
Uber :在 2016 年底,他们的亚马逊(AWS)账户遭到黑客攻击,全球 5700 万用户的个人信息受到损害。
https://i-blog.csdnimg.cn/direct/90e10a4b07e74b3d9924fc07a0f50a14.png
2. 凭据被盗和身份验证
安全威胁大概是由于:身份验证不严格、弱暗码、凭据管理疏松等等的结果。
在企业里面,大概面临的问题就是身份管理。比如:有些员工的职能改变或去职时,忘了撤销用户的权限,会导致数据泄露。
多因子身份验证体系,比如一次性暗码、基于手机的身份验证等等,可以有效地保护云服务。
https://i-blog.csdnimg.cn/direct/6e56191c52d44f0084aca2458d4bd467.png
业务影响
比如,冒充正当用户的恶意活动者可以:
读取、窃取、更新、删除数据
监听传输中的数据
发布恶意软件
总的来说,身份、凭据管理不敷,会导致对数据的「未经授权」的访问。
例子
会计公司 Deloitte德勤 :在 2017 年 9 月 25 日,由于身份,凭据和访问管理单薄,受到了庞大数据泄露。原因就是:管理员邮件帐户安全性差。这个帐户,只必要一个暗码就可以登录, 不用两步验证。这个攻击者从 2016 年 10 月/ 11 月开始,一直控制着公司的服务器。
黑客可以看到:20万名员工,用微软云服务的发送的电子邮件。除邮件外,黑客还可以看到用户名,暗码,Internet 协议(IP)地址,企业架构图等等。
https://i-blog.csdnimg.cn/direct/73417b909b254959b23a0c472d3f08c2.png
还有一个例子:黑客从 GitHub 上,获取了云服务凭据(凭据被盗),劫持了一个账户来开采假造货币。
https://i-blog.csdnimg.cn/direct/b77ac5ddecf64803b1b81921995a91f8.png
https://i-blog.csdnimg.cn/direct/f9252002f17841c7aba84636ba310d46.png
3. 界面和API被黑
现在,云服务和云应用都提供API(应用编程接口)。
IT团队用界面和 API:管理云服务(比如:服务开通、管理、配置和监测)。以是,云服务的安全,也依靠于API的安全性。
弱界面和有漏洞的API:会让企业面临很多安全问题。攻击者可以通过App的各种API接口,入侵云平台服务器。设计不良的 API 也大概会被滥用,然后导致数据泄露。
API 和 UI 通常是体系中最开放的部分,以是,在设计时要考虑到安全问题。
https://i-blog.csdnimg.cn/direct/b5d57d31175a431f8c04eb58673dab6f.png
涉及到不安全 API 的案列
Facebook 在: 2018 年 9 月 28 日,出现了一个影响超过 5000 万个账户的庞大数据泄露的事件。就是在2017年,一个「凭据窃取漏洞」被引入到Facebook 代码中。
Facebook当时说,不知道有什么信息被盗,也不知道有多少其他的用户会受到影响。
https://i-blog.csdnimg.cn/direct/dd128b35150843d89937faac278b8fa0.png
4. 体系漏洞
随着云计算中,多租户的出现,体系漏洞的问题也在增大。企业共享数据库,也催生出了很多新的攻击方式。
修复体系漏洞的花费,相比于其他IT付出,要少一些。
5. 账户劫持
在云情况中,风险最高的帐户是云服务或订阅账户。网络垂纶攻击、体系入侵、登录凭据被盗等,都大概会危害这些帐户。
这些潜在的威胁,大概会导致云情况的严重中断,例如:数据和资产丢失,体系入侵等。
帐户劫持:意味着完全的失控:失去对帐户、服务和内部数据的控制。
这种失控的结果很严重。大概会出现严重的运营和业务中断。
https://i-blog.csdnimg.cn/direct/9fb3099275d5461896b44876476b0c56.png
和账户劫持有关的事件:
2014 年 6 月,代码托管服务公司 Code Spaces 的 AWS 账户,里面的管理控制台被入侵。这家企业在资产遭到粉碎后,被迫关闭。
2009 年,众多亚马逊体系被劫持,运行宙斯僵尸网络病毒。
https://i-blog.csdnimg.cn/direct/86a077000ba444cab1a4211765615982.pnghttps://i-blog.csdnimg.cn/direct/40836a6eba5c42e2a4d0257a0c703050.png
6. 恶意内部人士
企业里员工的恶意活动:比如,数据偷盗,报复公司等等。
和外部威胁差别,内部人员不必要穿透防火墙、假造专用网络(vpn)和其他外围安全防御。内部人员可以直接访问网络,计算机体系和敏感数据。
内部威胁比你想象的更广泛。《Netwrix 2018 云安全陈诉》表现,58%的公司,把安全漏洞归咎于内部人员。大多数安全变乱,都是由内部人员疏忽引起的。
https://i-blog.csdnimg.cn/direct/95a71973f8c3439aa4742317bf0cb4cc.png
和内部威胁相关的例子:
2018年,特斯拉收到了恶意内部人员的威胁。原因是:没有得到晋升而不满。
他的粉碎举措,包括:使用虚假户名,对特斯拉生产操纵体系中的代码进行更改,向第三方输出:大量高度敏感的数据。
https://i-blog.csdnimg.cn/direct/2c457f35cb0741f0b326390c3a8b32fa.png
2018 年 6月, 印度旁遮普国家银行(Punjab National Bank),出现了一件18 亿美元的内部欺诈事件。
这家银行的一名员工,用暗码,未经授权访问 SWIFT :银行间生意业务体系,操纵资金生意业务。这个事件:是一个钻石商人策划的,目的:从供应商那里购买钻石。
https://i-blog.csdnimg.cn/direct/0026b4bfe96a4eff97da8488bc82499c.png
7. APT (高级连续性威胁)寄生虫
APT:是一种复杂的、连续的网络攻击,包含三个要素:高级、长期、威胁。
高级:执行攻击,必要比传统攻击拥有更高的定制程度和复杂程度,必要花费大量时间和资源来研究确定体系内部的漏洞;
长期:为了到达特定目的。过程中“放长线”,连续监控目标,对目标保有长期的访问权;
威胁:人为参与策划的攻击。攻击目标是高价值的构造,攻击一旦得手,往往会给攻击目标造成巨大的影响。
APT很难被侦测到。云提供商:会用高级技术,阻止APT渗透进他们的底子设施。
客户也要经常检测云账户中的APT运动。
https://i-blog.csdnimg.cn/direct/072107f7be95425c9b7c4c5cb6e93079.png
8. 永久的数据丢失
比如:恶意黑客,会永久删除云端数据,来危害用户。
以是,你要分布式部署数据和应用,加强防护。
数据备份措施和灾难规复:是最基本的防止永久数据丢失的方法。
9.云服务滥用
云服务大概会被用于支持违法运动。
搭建在云服务中的恶意软件,看起来是非常可信的。因为,他们使用了云服务商的域名。
别的,基于云的恶意软件,可以利用共享工具来进行传播。
其他滥用云资源的例子
比如:
• 启动DDoS攻击(分布式拒绝服务)
• 垃圾邮件,垂纶邮件攻击
• 电子挖矿
• 大规模主动化点击犯罪
• 对账号服务器进行暴力攻击
• 存储恶意或盗版内容
解决云服务滥用的办法
云服务提供商,检测支付漏洞,和云服务的滥用。
云服务提供商,要对这些滥用资源的活动进行识别,实时陈诉给客户。
业务影响
比如,一旦攻击者,乐成入侵客户的云底子设施管理平台,攻击者可以利用云服务来做非法事情,而且客户还必要对此买单。
比如:黑客进行电子货币挖矿, 那客户还需一直为此而买单。
https://i-blog.csdnimg.cn/direct/1f5618a6cb9b4c90ba188123eff0040f.png
云服务滥用的案例
2016年,有个恶意软件叫做CloudSquirrel:它利用垂纶邮件的方式,来传播恶意软件。
让受害者打开貌似重要的链接(比如发票)。一旦打开,CloudSquirrel就会让受害者主动下载额外的加密恶意软件Java包。
目的:是窃取 Outlook 通讯录中的用户数据。
https://i-blog.csdnimg.cn/direct/55039667257540149e015903756c0050.png
10、拒绝服务(DoS)攻击
拒绝服务攻击:对网络、网站进行的网络攻击。
目的:限制正当用户的访问。
通常是通过使用虚假的体系请求,使目标站点过载,阻止正当用户访问它。
https://i-blog.csdnimg.cn/direct/f0f9292107c443bea270dab5e53eb6d8.png
在web上,流行的一种常见类型的DoS攻击称为:分布式拒绝服务(DDoS)攻击,DDoS依靠「很多」的受感染的计算机,同时阻止访问。
https://i-blog.csdnimg.cn/direct/c31373172187430ea8770f5a24347272.png
DoS攻击:通常,会影响可用性:体系相应会被拖慢,甚至直接超时。
11.共享技术,共享危险
共享技术里面的漏洞,也会给云计算带来比较大的威胁。
云服务里面的:共享底子设施、平台和应用,都大概会出现漏洞。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]