信息化觀察網(wǎng)

本文來(lái)自安全牛。

云工作負(fù)載、供應(yīng)鏈、邊緣計(jì)算、物聯(lián)網(wǎng)（IoT）以及區(qū)塊鏈等新技術(shù)的流行和應(yīng)用改變了云計(jì)算應(yīng)用的安全格局。為了提高對(duì)云中威脅、漏洞和風(fēng)險(xiǎn)的認(rèn)知，國(guó)際云安全聯(lián)盟（CSA）不久前就當(dāng)前云計(jì)算領(lǐng)域的應(yīng)用安全問(wèn)題展開(kāi)研究，對(duì)700余名云計(jì)算技術(shù)行業(yè)專(zhuān)家進(jìn)行了調(diào)研，并編寫(xiě)發(fā)布《云計(jì)算頂級(jí)威脅報(bào)告》。報(bào)告認(rèn)為，以下11個(gè)方面的安全挑戰(zhàn)正在成為阻礙云計(jì)算應(yīng)用的關(guān)鍵性威脅。

威脅1

身份、憑據(jù)、訪問(wèn)權(quán)限

和密鑰管理不善

身份、憑據(jù)、訪問(wèn)管理系統(tǒng)中一般包含了允許組織管理、監(jiān)控和保護(hù)用戶(hù)對(duì)關(guān)鍵資源進(jìn)行訪問(wèn)的各類(lèi)工具和策略，這些關(guān)鍵資源可能包括電子文件、計(jì)算機(jī)系統(tǒng)和物理資源，例如服務(wù)器機(jī)房或建筑物等。在此過(guò)程中，適當(dāng)?shù)鼐S護(hù)和持續(xù)監(jiān)控身份、憑據(jù)、訪問(wèn)管理系統(tǒng)至關(guān)重要。在身份和訪問(wèn)管理（IAM）中使用風(fēng)險(xiǎn)評(píng)分可增強(qiáng)安全態(tài)勢(shì)。使用清晰的風(fēng)險(xiǎn)分配模型、持續(xù)的監(jiān)控以及適當(dāng)?shù)男袨楦綦x和細(xì)分有助于交叉檢查（cross-check）IAM系統(tǒng)。

業(yè)務(wù)影響

如果身份、憑據(jù)、訪問(wèn)權(quán)限和密鑰管理不善，可能會(huì)造成如下負(fù)面后果：

•業(yè)務(wù)系統(tǒng)訪問(wèn)缺乏合規(guī)性，員工對(duì)網(wǎng)絡(luò)安全性漠不關(guān)心；

•關(guān)鍵業(yè)務(wù)數(shù)據(jù)被替換或損壞，未經(jīng)授權(quán)或惡意用戶(hù)的數(shù)據(jù)滲漏難以發(fā)現(xiàn)；

•喪失用戶(hù)信任和業(yè)務(wù)營(yíng)收；

•因嚴(yán)重安全事件響應(yīng)和取證而產(chǎn)生額外的財(cái)務(wù)費(fèi)用；

•勒索軟件攻擊和供應(yīng)鏈中斷。

安全事件

2019年1月-7月，Capital One銀行發(fā)生大規(guī)模數(shù)據(jù)泄露事件，該事件的誘因是Capital One在其AWS賬戶(hù)中的服務(wù)器執(zhí)行任意用戶(hù)發(fā)起請(qǐng)求。攻擊者可以借助放置在公網(wǎng)上的服務(wù)器非法訪問(wèn)內(nèi)網(wǎng)中的服務(wù)器，進(jìn)而造成命令執(zhí)行、數(shù)據(jù)泄露等危害。

防護(hù)要點(diǎn)

•使用多因素身份驗(yàn)證；

•對(duì)云用戶(hù)和身份使用嚴(yán)格的訪問(wèn)控制，特別是限制root賬戶(hù)的使用；

•根據(jù)業(yè)務(wù)需求和最小特權(quán)原則隔離和細(xì)分賬戶(hù)；

•采用程序化、集中式方法輪換密鑰；

•及時(shí)刪除未使用的憑據(jù)和訪問(wèn)特權(quán)。

威脅2

不安全的接口和API

組織為了給第三方開(kāi)發(fā)人員和客戶(hù)提供更好的數(shù)字體驗(yàn)，正在加速采用API。但隨著API日趨普及，保護(hù)這些接口的安全性也變得至關(guān)重要。必須檢查API和微服務(wù)是否存在由于錯(cuò)誤配置、不良編碼實(shí)踐、缺乏身份驗(yàn)證和不當(dāng)授權(quán)而導(dǎo)致的漏洞。這些漏洞可能會(huì)使接口易受攻擊。

API和其他接口的錯(cuò)誤配置是安全事件和數(shù)據(jù)泄露的主要原因，常見(jiàn)的問(wèn)題有：未經(jīng)身份驗(yàn)證的端點(diǎn)；弱認(rèn)證；權(quán)限過(guò)大；禁用標(biāo)準(zhǔn)安全控制；系統(tǒng)未打補(bǔ)??；邏輯設(shè)計(jì)問(wèn)題；禁用日志記錄或監(jiān)控等。這些問(wèn)題可能會(huì)導(dǎo)致資源滲漏、刪除或修改，數(shù)據(jù)調(diào)整或服務(wù)中斷等。

業(yè)務(wù)影響

API和不安全接口對(duì)業(yè)務(wù)的影響主要是敏感或私有數(shù)據(jù)意外暴露，此類(lèi)風(fēng)險(xiǎn)的嚴(yán)重程度取決于API使用方式以及檢測(cè)和緩解漏洞的速度。

安全事件

2021年5月5日，居家健身品牌Peloton曝出API漏洞，不健全的用戶(hù)身份驗(yàn)證和對(duì)象級(jí)授權(quán)會(huì)通過(guò)API暴露Peloton客戶(hù)個(gè)人身份信息（PII）。這些數(shù)據(jù)包括詳細(xì)的用戶(hù)年齡、性別、城市、體重、鍛煉統(tǒng)計(jì)數(shù)據(jù)，甚至可揭示用戶(hù)在個(gè)人資料設(shè)置頁(yè)面中設(shè)為私密的生日等信息。

防護(hù)要點(diǎn)

•跟蹤、配置和保護(hù)與API相關(guān)的攻擊面；

•更新傳統(tǒng)的控制和變更管理策略及方法，以跟上基于云的API增長(zhǎng)和變化趨勢(shì)；

•企業(yè)應(yīng)采用自動(dòng)化技術(shù)，持續(xù)監(jiān)控異常API流量并近乎實(shí)時(shí)地修復(fù)漏洞；

•考慮采用開(kāi)放的API框架，例如開(kāi)放云計(jì)算接口（OCCI）或云基礎(chǔ)架構(gòu)管理接口（CIMI）。

威脅3

錯(cuò)誤配置和變更控制不足

錯(cuò)誤配置是指計(jì)算資產(chǎn)的不正確或不合理設(shè)置，使它們易受意外損壞或惡意活動(dòng)的影響。常見(jiàn)的錯(cuò)誤配置包括：不安全的數(shù)據(jù)存儲(chǔ)元素或容器；過(guò)多的權(quán)限；保持默認(rèn)憑據(jù)和配置設(shè)置不變；禁用標(biāo)準(zhǔn)安全控制；系統(tǒng)未打補(bǔ)丁；禁用日志記錄或監(jiān)控；不受限制地訪問(wèn)端口和服務(wù)；不安全地管理秘密；配置不當(dāng)或缺乏配置驗(yàn)證。云資源配置錯(cuò)誤是數(shù)據(jù)泄露的主要原因，可能導(dǎo)致資源刪除或修改以及服務(wù)中斷。

云環(huán)境中的不當(dāng)變更控制可能會(huì)導(dǎo)致錯(cuò)誤配置，并阻礙錯(cuò)誤配置的修復(fù)。云環(huán)境和云計(jì)算方法與傳統(tǒng)信息技術(shù)（IT）的不同之處在于它使更改更難以控制。傳統(tǒng)的變更流程涉及多個(gè)角色和許可，因此需要數(shù)天或數(shù)周才能投入使用。云計(jì)算依靠自動(dòng)化、角色擴(kuò)展和訪問(wèn)來(lái)支持快速變更，這使得其很難控制變更。此外，使用多個(gè)云提供商會(huì)增加復(fù)雜性，每個(gè)提供商的獨(dú)特功能幾乎每天都在增強(qiáng)和擴(kuò)展。這種動(dòng)態(tài)環(huán)境需要一種敏捷和主動(dòng)的變更控制和修復(fù)方法。

業(yè)務(wù)影響

錯(cuò)誤配置和變更控制不足造成的影響主要包括：

•數(shù)據(jù)披露影響保密性；

•數(shù)據(jù)丟失影響可用性；

•數(shù)據(jù)破壞影響完整性；

•系統(tǒng)性能影響運(yùn)營(yíng)效率；

•系統(tǒng)中斷影響運(yùn)營(yíng)可持續(xù)性；

•勒索贖金會(huì)造成財(cái)務(wù)影響；

•違規(guī)和罰款造成合規(guī)和財(cái)務(wù)影響；

•收入損失；

•股價(jià)下跌；

•公司聲譽(yù)影響。

安全事件

2021年1月7日，微軟公司錯(cuò)誤配置了Microsoft Azure Blob（云）存儲(chǔ)桶，該存儲(chǔ)桶存放了大量第三方數(shù)據(jù)，希望與微軟合作的100多個(gè)企業(yè)“宣傳片”和源代碼被公開(kāi)披露。

防護(hù)要點(diǎn)

•企業(yè)需要采用持續(xù)掃描配置錯(cuò)誤資源的可用技術(shù)，以便實(shí)時(shí)修復(fù)漏洞；

•變更管理方法必須能夠反映業(yè)務(wù)轉(zhuǎn)型和安全挑戰(zhàn)的動(dòng)態(tài)性質(zhì)，以確保使用實(shí)時(shí)自動(dòng)驗(yàn)證正確批準(zhǔn)變更。

威脅4

缺乏云安全架構(gòu)和策略

云安全策略和架構(gòu)包括對(duì)云部署模型、云服務(wù)模型、云服務(wù)提供商（CSP）、服務(wù)區(qū)域可用區(qū)、特定云服務(wù)和一般原則的考慮和選擇。此外，IAM的前瞻性設(shè)計(jì)、跨不同云帳戶(hù)、供應(yīng)商、服務(wù)和環(huán)境的網(wǎng)絡(luò)和安全控制也在范圍內(nèi)。對(duì)戰(zhàn)略的考慮應(yīng)先于架構(gòu)規(guī)劃并指導(dǎo)架構(gòu)設(shè)計(jì)，但云挑戰(zhàn)通常需要增量和敏捷的規(guī)劃方法。如果云計(jì)算要成功且安全，則不能忽視安全考慮和風(fēng)險(xiǎn)。行業(yè)違規(guī)事件表明，缺乏這樣的規(guī)劃可能會(huì)導(dǎo)致云環(huán)境和應(yīng)用程序無(wú)法（或無(wú)法有效地）抵御網(wǎng)絡(luò)攻擊。

業(yè)務(wù)影響

缺乏云安全策略和架構(gòu)會(huì)限制高效的企業(yè)和基礎(chǔ)設(shè)施安全架構(gòu)實(shí)施的可行性。如果沒(méi)有這些安全/合規(guī)目標(biāo)，云計(jì)算將無(wú)法取得成功，甚至還會(huì)導(dǎo)致因違規(guī)而被罰款和其他處罰，或者由于實(shí)施不當(dāng)?shù)闹貥?gòu)和遷移而產(chǎn)生巨額成本。

安全事件

2021年1月，沃爾瑪旗下的美國(guó)服裝店Bonobos遭遇大規(guī)模數(shù)據(jù)泄露，暴露了數(shù)百萬(wàn)客戶(hù)的個(gè)人信息，其中包括客戶(hù)地址、電話號(hào)碼、部分信用卡號(hào)碼和網(wǎng)站上的訂單。發(fā)生這種情況的原因是托管備份文件的外部云備份服務(wù)遭到破壞。

防護(hù)要點(diǎn)

•企業(yè)應(yīng)在云服務(wù)和基礎(chǔ)架構(gòu)設(shè)計(jì)和決策中考慮業(yè)務(wù)目標(biāo)、風(fēng)險(xiǎn)、安全威脅和法律合規(guī)性；

•鑒于云環(huán)境快速變化的步伐和有限的集中控制，遵循云服務(wù)和基礎(chǔ)架構(gòu)安全設(shè)計(jì)原則對(duì)于開(kāi)發(fā)更為重要；

•將盡職調(diào)查和第三方供應(yīng)商安全評(píng)估視為基本實(shí)踐，并與威脅建模、安全設(shè)計(jì)和集成相輔相成。

威脅5

不安全的軟件開(kāi)發(fā)

軟件系統(tǒng)很復(fù)雜，而云技術(shù)往往又會(huì)增加這種復(fù)雜性，這會(huì)增加漏洞利用和錯(cuò)誤配置的可能性。雖然開(kāi)發(fā)人員本意并不是為了開(kāi)發(fā)不安全的軟件，但主要軟件供應(yīng)商每月都會(huì)發(fā)布補(bǔ)丁，以修復(fù)影響系統(tǒng)機(jī)密性、完整性和/或可用性的代碼錯(cuò)誤。雖然并非所有軟件錯(cuò)誤都具有安全隱患，但正如歷史所證明的那樣，即使是不起眼的失誤也可能成為重大威脅。

業(yè)務(wù)影響

不安全的軟件開(kāi)發(fā)可能造成的影響包括：

•客戶(hù)對(duì)產(chǎn)品或解決方案失去信心；

•數(shù)據(jù)泄露導(dǎo)致品牌聲譽(yù)受損；

•訴訟造成的法律和財(cái)務(wù)影響。

安全事件

2021年9月13日，研究人員發(fā)現(xiàn)AppleiOS被NSO的Pegasus軟件利用，涉及允許遠(yuǎn)程執(zhí)行代碼的零點(diǎn)擊漏洞。

防護(hù)要點(diǎn)

•使用云技術(shù)讓開(kāi)發(fā)人員能夠?qū)Ｗ⒂跇I(yè)務(wù)特有的問(wèn)題；

•通過(guò)利用共享責(zé)任模型，可以將修復(fù)等項(xiàng)目歸云服務(wù)提供商（CSP）而非企業(yè)所有；

•CSP重視安全性，并將就如何以安全方式實(shí)施服務(wù)提供指導(dǎo)，例如AWS Well-Architected Framework或安全設(shè)計(jì)模式。

威脅6

不安全的供應(yīng)鏈系統(tǒng)

在云計(jì)算采用率迅速增長(zhǎng)的現(xiàn)實(shí)中，第三方資源可能意味著不同的事物：從開(kāi)源代碼到SaaS產(chǎn)品和API風(fēng)險(xiǎn)，一直到云供應(yīng)商提供的托管服務(wù)。來(lái)自第三方資源的風(fēng)險(xiǎn)也被視為“供應(yīng)鏈漏洞”，因?yàn)樗鼈兪瞧髽I(yè)交付產(chǎn)品或服務(wù)過(guò)程的一部分。近年來(lái)，隨著對(duì)第三方供應(yīng)鏈服務(wù)的依賴(lài)日益增加，網(wǎng)絡(luò)犯罪分子利用這些漏洞的情況越來(lái)越多。研究顯示，2/3的違規(guī)行為由供應(yīng)商或第三方漏洞造成。

業(yè)務(wù)影響

不安全的供應(yīng)鏈系統(tǒng)可能其造成的影響主要有：

•云上關(guān)鍵業(yè)務(wù)流程的丟失或中斷；

•云業(yè)務(wù)數(shù)據(jù)遭到外部用戶(hù)訪問(wèn)；

•修補(bǔ)或修復(fù)安全問(wèn)題取決于提供商及其響應(yīng)速度，同時(shí)需要不斷更新內(nèi)部應(yīng)用程序和產(chǎn)品。這對(duì)業(yè)務(wù)的影響可能至關(guān)重要，具體取決于易受攻擊的組件對(duì)應(yīng)用程序的重要性。

安全事件

2019年5月至2021年8月，大眾汽車(chē)集團(tuán)的北美子公司遭遇由供應(yīng)商造成的數(shù)據(jù)泄露事件，該供應(yīng)商在2019年5月至2021年8月期間將存儲(chǔ)服務(wù)置于未受保護(hù)的狀態(tài)。此事件涉及330萬(wàn)客戶(hù)，泄露數(shù)據(jù)包括個(gè)人身份信息（PII）以及對(duì)某些客戶(hù)而言更為敏感的財(cái)務(wù)數(shù)據(jù)。

防護(hù)要點(diǎn)

•雖然企業(yè)無(wú)法防止并非由自己創(chuàng)建的代碼或產(chǎn)品中的漏洞，但可以嘗試就使用哪種產(chǎn)品做出正確的決策，例如：尋找官方支持的產(chǎn)品，以及那些擁有合規(guī)認(rèn)證、漏洞賞金計(jì)劃并提供安全公告和快速修復(fù)程序的企業(yè)；

•識(shí)別并跟蹤企業(yè)正在使用的第三方，這包括開(kāi)源、SaaS產(chǎn)品、云提供商和托管服務(wù)，以及可能已添加到應(yīng)用程序中的其他集成；

•定期審查第三方資源。如果發(fā)現(xiàn)不需要的產(chǎn)品，請(qǐng)將其刪除并撤銷(xiāo)可能已授予它們的權(quán)限（如進(jìn)入代碼存儲(chǔ)庫(kù)、基礎(chǔ)架構(gòu)或應(yīng)用程序的任何訪問(wèn)權(quán)限）；

•不要成為薄弱環(huán)節(jié)。在適用范圍內(nèi)對(duì)企業(yè)應(yīng)用程序進(jìn)行滲透測(cè)試、向開(kāi)發(fā)人員介紹安全編碼實(shí)踐，并使用靜態(tài)應(yīng)用程序安全測(cè)試（SAST）和動(dòng)態(tài)應(yīng)用程序安全測(cè)試（DAST）解決方案。

威脅7

系統(tǒng)漏洞

系統(tǒng)漏洞也是目前云服務(wù)平臺(tái)中普遍存在的缺陷。攻擊者可能會(huì)利用它們來(lái)破壞數(shù)據(jù)的機(jī)密性、完整性和可用性，從而破壞服務(wù)運(yùn)營(yíng)。值得注意的是，所有組件都可能包含使云服務(wù)易受攻擊的漏洞。這些系統(tǒng)漏洞主要有四類(lèi)：

•零日漏洞——新發(fā)現(xiàn)的還未開(kāi)發(fā)出補(bǔ)丁的漏洞。黑客會(huì)迅速利用這些漏洞，因?yàn)樵诓渴鹧a(bǔ)丁之前沒(méi)有任何東西可以阻止它們。之前發(fā)現(xiàn)的Log4Shell就是一個(gè)典型的零日漏洞示例。

•缺少安全補(bǔ)丁——隨著未修補(bǔ)漏洞數(shù)量的增加，整體系統(tǒng)安全風(fēng)險(xiǎn)也在增加，因此，一旦發(fā)現(xiàn)有已知關(guān)鍵漏洞的補(bǔ)丁可用，盡快部署它們可以減少系統(tǒng)的攻擊面。

•基于配置的漏洞——當(dāng)系統(tǒng)使用默認(rèn)或錯(cuò)誤配置的設(shè)置部署時(shí)，就會(huì)出現(xiàn)這種漏洞?；谂渲玫穆┒词纠ㄊ褂眠z留安全協(xié)議、弱加密密碼、弱權(quán)限和保護(hù)不善的系統(tǒng)管理界面。此外，在系統(tǒng)上運(yùn)行不必要的服務(wù)是另一個(gè)與配置相關(guān)的問(wèn)題。

•弱驗(yàn)證或默認(rèn)憑據(jù)——缺乏強(qiáng)身份驗(yàn)證憑據(jù)使?jié)撛诘墓粽呖梢暂p松訪問(wèn)系統(tǒng)資源和相關(guān)數(shù)據(jù)。同樣地，未安全存儲(chǔ)的密碼可能會(huì)被黑客竊取并用于侵入系統(tǒng)。

業(yè)務(wù)影響

云計(jì)算系統(tǒng)漏洞可能對(duì)業(yè)務(wù)造成的影響有：

•許多數(shù)據(jù)泄露都是由系統(tǒng)漏洞造成的；

•當(dāng)發(fā)生數(shù)據(jù)泄露時(shí)，企業(yè)業(yè)務(wù)可能會(huì)中斷，從而影響客戶(hù)使用企業(yè)服務(wù)；

•處理數(shù)據(jù)泄露等問(wèn)題而產(chǎn)生額外的技術(shù)性成本。

安全事件

2021年12月，Log4Shell（CVE-2021-45046）遠(yuǎn)程代碼漏洞爆發(fā)，影響了基于Java的Log4j日志記錄工具2.0beta9-2.14.1版本。鑒于Java在云系統(tǒng)中的廣泛使用，Log4Shell成為一個(gè)嚴(yán)重威脅。攻擊者可以通過(guò)向易受攻擊的系統(tǒng)提交惡意請(qǐng)求來(lái)利用Log4Shell，該請(qǐng)求會(huì)導(dǎo)致系統(tǒng)執(zhí)行任意代碼，從而使攻擊者能夠竊取信息、啟動(dòng)勒索軟件或接管系統(tǒng)的控制權(quán)。

防護(hù)要點(diǎn)

•系統(tǒng)漏洞是系統(tǒng)組件中的缺陷，通常由人為錯(cuò)誤引入，使黑客更容易攻擊企業(yè)的云服務(wù)，因此強(qiáng)化“人”的因素至關(guān)重要，企業(yè)可以定期開(kāi)展安全培訓(xùn)和教育；

•通過(guò)常規(guī)漏洞檢測(cè)和補(bǔ)丁部署以及嚴(yán)格的IAM實(shí)踐，可以大大降低系統(tǒng)漏洞導(dǎo)致的安全風(fēng)險(xiǎn)。

威脅8

云計(jì)算數(shù)據(jù)的意外泄露

云服務(wù)使企業(yè)能夠以前所未有的速度構(gòu)建、創(chuàng)新和擴(kuò)展。然而，云的復(fù)雜性和向云服務(wù)所有權(quán)的轉(zhuǎn)變，通常會(huì)導(dǎo)致缺乏安全治理和控制。不同CSP中云資源配置數(shù)量的增加使錯(cuò)誤配置更加普遍，云庫(kù)存缺乏透明度和網(wǎng)絡(luò)可視性可能會(huì)導(dǎo)致數(shù)據(jù)意外泄露。

業(yè)務(wù)影響

意外的數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有：

•這些數(shù)據(jù)中可能包含敏感的客戶(hù)數(shù)據(jù)、員工信息、產(chǎn)品數(shù)據(jù)等。暴露此類(lèi)數(shù)據(jù)會(huì)導(dǎo)致意外費(fèi)用，如取證團(tuán)隊(duì)、客戶(hù)支持流程產(chǎn)生的費(fèi)用以及受影響客戶(hù)的賠償；

•數(shù)據(jù)泄露還會(huì)產(chǎn)生很多額外的間接成本，例如內(nèi)部調(diào)查和溝通、當(dāng)前客戶(hù)流失以及由于信譽(yù)受損而導(dǎo)致的潛在客戶(hù)流失等。

安全事件

2021年1月，VIP游戲公司因云配置錯(cuò)誤暴露了超過(guò)6萬(wàn)用戶(hù)的2300萬(wàn)條記錄，其中包含電子郵件、用戶(hù)名、社交問(wèn)題、網(wǎng)絡(luò)ID和網(wǎng)絡(luò)上的玩家數(shù)據(jù)。

防護(hù)重點(diǎn)

•基于配置的解決方案在提供必要的可見(jiàn)性方面有限，并且無(wú)法檢查或掃描工作負(fù)載，因此有必要查看托管服務(wù)的PaaS數(shù)據(jù)庫(kù)、存儲(chǔ)和計(jì)算工作負(fù)載，包括虛擬機(jī)、容器和安裝在其上的數(shù)據(jù)庫(kù)軟件；

•選擇對(duì)企業(yè)云環(huán)境具有完全可見(jiàn)性的引擎，以識(shí)別允許將流量暴露在外部的任何路由或網(wǎng)絡(luò)服務(wù)，包括負(fù)載均衡器、應(yīng)用程序負(fù)載均衡器、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）、網(wǎng)絡(luò)對(duì)等互連、云防火墻、Kubernetes網(wǎng)絡(luò)等；

•確保數(shù)據(jù)庫(kù)實(shí)施最低權(quán)限的IAM策略，并通過(guò)控制和監(jiān)控該策略的分配來(lái)減少訪問(wèn)風(fēng)險(xiǎn)。

威脅9

云工作負(fù)載的錯(cuò)誤配置和利用

管理和擴(kuò)展云基礎(chǔ)架構(gòu)及安全控制以運(yùn)行應(yīng)用程序仍然是云計(jì)算開(kāi)發(fā)團(tuán)隊(duì)的重大挑戰(zhàn)。無(wú)服務(wù)器和云原生容器化工作負(fù)載似乎是解決這個(gè)問(wèn)題的靈丹妙藥——將責(zé)任轉(zhuǎn)移給云服務(wù)提供商。不過(guò)與將虛擬機(jī)遷移到云相比，它們需要更高級(jí)別的云和應(yīng)用程序安全成熟度。

在無(wú)服務(wù)器模型中，CSP負(fù)責(zé)底層基礎(chǔ)架構(gòu)的安全和管理。除了開(kāi)發(fā)和運(yùn)營(yíng)方面的優(yōu)勢(shì)之外，這還減少了攻擊面，因?yàn)槟J(rèn)情況下CSP在短期容器中運(yùn)行功能代碼。不斷刷新的系統(tǒng)顯著限制了攻擊事件的持久性。但是，如果CSP允許客戶(hù)配置具有更長(zhǎng)生命周期和“熱啟動(dòng)”（warm start）配置的無(wú)服務(wù)器容器，則環(huán)境會(huì)變得不那么安全。其他風(fēng)險(xiǎn)包括臨時(shí)文件系統(tǒng)和共享內(nèi)存，這也可能泄漏敏感信息。

缺乏對(duì)基礎(chǔ)設(shè)施的控制，也妨礙了應(yīng)用程序安全問(wèn)題的緩解和傳統(tǒng)安全工具可見(jiàn)性的實(shí)現(xiàn)。企業(yè)需要圍繞云環(huán)境、應(yīng)用程序、可視化、訪問(wèn)控制和機(jī)密管理建立強(qiáng)大的安全性，以減少攻擊半徑。

業(yè)務(wù)影響

無(wú)服務(wù)器和容器化工作負(fù)載可以顯著提高云計(jì)算應(yīng)用的敏捷性、降低成本、簡(jiǎn)化操作，甚至提高安全性。但在缺乏必要專(zhuān)業(yè)知識(shí)和盡職調(diào)查的情況下，使用這些技術(shù)實(shí)施的應(yīng)用程序配置可能會(huì)導(dǎo)致重大違規(guī)、數(shù)據(jù)丟失甚至業(yè)務(wù)現(xiàn)金流枯竭。

安全事件

2021年以來(lái)，圍繞拒絕錢(qián)包（Denial of Wallet，DOW）攻擊的云安全事件越來(lái)越多。DoW攻擊與傳統(tǒng)的拒絕服務(wù)（DoS）攻擊類(lèi)似，兩者都旨在引起破壞。但是，DoW攻擊專(zhuān)門(mén)針對(duì)無(wú)服務(wù)器用戶(hù)。這種攻擊利用了以下事實(shí)：無(wú)服務(wù)器供應(yīng)商根據(jù)應(yīng)用程序消耗的資源量向用戶(hù)收費(fèi)，這意味著，如果攻擊者向網(wǎng)站充斥流量，則網(wǎng)站所有者可能會(huì)承擔(dān)巨額賬單。

防護(hù)要點(diǎn)

•企業(yè)應(yīng)通過(guò)云安全態(tài)勢(shì)管理（CSPM）、云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）和云工作負(fù)載保護(hù)平臺(tái)（CWPP）實(shí)施自動(dòng)檢查；

•企業(yè)應(yīng)投資于云安全培訓(xùn)、治理流程和可重用的安全云架構(gòu)模式，以降低不安全的云配置風(fēng)險(xiǎn)和頻率；

•開(kāi)發(fā)團(tuán)隊(duì)在遷移至無(wú)服務(wù)器技術(shù)之前，應(yīng)更加嚴(yán)格地遵循安全相關(guān)的最佳實(shí)踐。

威脅10

有組織的犯罪團(tuán)伙和APT攻擊

有組織的犯罪團(tuán)伙旨在描述一個(gè)犯罪團(tuán)伙的組織級(jí)別。高級(jí)持續(xù)性威脅（APT）是一個(gè)廣義術(shù)語(yǔ)，用于描述入侵者或入侵團(tuán)隊(duì)在網(wǎng)絡(luò)上長(zhǎng)期開(kāi)展非法活動(dòng)，以挖掘高度敏感的數(shù)據(jù)。APT已經(jīng)建立了復(fù)雜的戰(zhàn)術(shù)、技術(shù)和協(xié)議（TTP）來(lái)滲透其目標(biāo)。他們經(jīng)常在目標(biāo)網(wǎng)絡(luò)中潛伏數(shù)月不被發(fā)現(xiàn)，并能夠在網(wǎng)絡(luò)中橫向移動(dòng)以訪問(wèn)高度敏感的業(yè)務(wù)數(shù)據(jù)或資產(chǎn)。

業(yè)務(wù)影響

•APT組織的動(dòng)機(jī)各不相同。有些是出于政治動(dòng)機(jī)（即黑客活動(dòng)主義者），而另一些則是有組織的犯罪集團(tuán)的一部分，甚至還有一些團(tuán)體是國(guó)家行為體黑客組織；

•要了解APT組織可能對(duì)企業(yè)產(chǎn)生的業(yè)務(wù)影響，企業(yè)必須對(duì)其信息資產(chǎn)進(jìn)行業(yè)務(wù)影響分析。這使企業(yè)能夠了解APT組織如何以及為什么可能以其為目標(biāo)，以及潛在安全漏洞的潛在業(yè)務(wù)影響可能是什么。

安全事件

2016年2月，Lazarus group（APT38）幾乎徹底搶劫了孟加拉國(guó)的國(guó)家銀行；2022年1月，LAPSUS$入侵了Nvidia的內(nèi)部網(wǎng)絡(luò)并竊取了機(jī)密數(shù)據(jù)。該組織沒(méi)有向Nvidia勒索數(shù)據(jù)，而是要求釋放對(duì)用于加密挖掘的圖形處理單元的限制。

防護(hù)要點(diǎn)

•對(duì)企業(yè)進(jìn)行業(yè)務(wù)影響分析，以了解企業(yè)信息資產(chǎn)；

•參加網(wǎng)絡(luò)安全信息共享小組，以了解任何相關(guān)的APT組織及其TTP（Tactics、Techniques和Procedures，即戰(zhàn)術(shù)、技術(shù)和過(guò)程）；

•進(jìn)行攻擊性安全演習(xí)以模擬這些APT組織的TTP，并調(diào)整安全監(jiān)控工具以進(jìn)行檢測(cè)。

威脅11

不安全的云上數(shù)據(jù)存儲(chǔ)

云存儲(chǔ)數(shù)據(jù)發(fā)生泄露是涉及敏感、受保護(hù)或機(jī)密信息的嚴(yán)重安全事件。這些數(shù)據(jù)可能會(huì)被企業(yè)之外的個(gè)人發(fā)布、查看、竊取或使用。云存儲(chǔ)數(shù)據(jù)是有針對(duì)性攻擊的最主要目標(biāo)之一，并且可能是由漏洞利用、配置錯(cuò)誤、應(yīng)用程序漏洞或糟糕的安全實(shí)踐造成的。這類(lèi)數(shù)據(jù)泄露可能涉及不打算公開(kāi)發(fā)布的任何信息類(lèi)型，例如個(gè)人健康信息、財(cái)務(wù)信息、個(gè)人身份信息、商業(yè)機(jī)密和知識(shí)產(chǎn)權(quán)等。

業(yè)務(wù)影響

云存儲(chǔ)數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有：

•知識(shí)產(chǎn)權(quán)丟失，被用于其它產(chǎn)品開(kāi)發(fā)、戰(zhàn)略計(jì)劃，甚至發(fā)動(dòng)未來(lái)攻擊；

•失去客戶(hù)、利益相關(guān)者、合作伙伴和員工的信任，可能會(huì)抑制商業(yè)行為、投資和購(gòu)買(mǎi)，并降低員工在企業(yè)工作的意愿；

•監(jiān)管更嚴(yán)格，包括財(cái)務(wù)罰款或流程和業(yè)務(wù)變更等；

•地緣政治因素會(huì)影響商業(yè)行為。

安全事件

2021年6月，因發(fā)生重大用戶(hù)數(shù)據(jù)泄露事件，F(xiàn)acebook在歐洲受到起訴，但該事件直到在暗網(wǎng)論壇上發(fā)現(xiàn)其有超過(guò)5.33億個(gè)賬戶(hù)信息可供免費(fèi)下載后才被曝光。

防護(hù)要點(diǎn)

•云存儲(chǔ)需要配置良好的環(huán)境（SSPM、CSPM）；

•應(yīng)用CSP最佳實(shí)踐指南、監(jiān)控和檢測(cè)功能，以檢測(cè)和防止攻擊及數(shù)據(jù)泄露；

•需要對(duì)員工進(jìn)行云存儲(chǔ)使用安全意識(shí)培訓(xùn)，因?yàn)閿?shù)據(jù)分散在不同的位置并由不同的角色控制；

•在適當(dāng)?shù)那闆r下實(shí)施客戶(hù)端加密；

•對(duì)數(shù)據(jù)進(jìn)行分類(lèi)并記錄事件響應(yīng)中所采取的措施。