企业微信服务商
腾讯云授权服务中心

新闻、帮助、产品更新动态

最新的业界新闻,产品系统更新开发动态,帮助教程和活动发布

公司新闻
行业新闻
专业知识

2018年云计算安全的十二大风险挑战~

发布日:2018-01-05 08:36       阅读数:

     如今,随着数据进入云端,尤其是进入公共云服务,这些资源成为网络犯罪分子的首要目标。云计算改变组织使用、存储和共享数据、应用程序和工作负载的方式,其目的就是要弄清楚云安全的主要责任方到底是云服务提供商还是使用云的用户。
 
  另外,也是要让企业对云安全有个明确的应对策略,使得越来越多的数据和应用程序正在转向云端,这将带来独特的信息安全挑战。以下是使用云服务时,面临的最严重的12个云安全挑战:
 
  1、身份信息、登录凭证和访问保护不到位,管理不善:
 
  云计算安全联盟表示,网络犯罪分子冒充合法用户、操作人员或开发人员的黑客可以读取、修改和删除用户的数据,获取控制平台和管理功能,在用户传输数据的过程中进行窥探,发布似乎来源于合法来源的恶意软件。因此可以断定,身份信息、登录凭证或密钥管理的保护不到位,会对组织或最终用户造成灾难性的损害,严重造成数据未经授权就会被恶意访问。
 
  2、系统漏洞攻击云端窃取数据:
 
  系统漏洞是攻击云端的另一个途径,攻击者可以用来侵入系统窃取数据、控制系统或破坏服务操作的程序中可利用的漏洞或中断服务操作。云计算安全联盟表示,操作系统组件中的漏洞使得所有服务和数据的安全性置于重大风险之中。随着云端出现多租户,来自不同组织的系统彼此靠近,特别是对于公共云端平台来说,一个空间可能有多个临时用户,如果系统存在漏洞,并且允许访问共享内存和资源,那攻击面将会非常广。
 
  3、客户数据存在被泄露的风险:
 
  CSA的调查显示,数据泄露可能是黑客的攻击结果;数据泄露是具有针对性攻击的主要目标或是人为错误、应用程序漏洞或安全措施不佳的结果。
 
  它可能涉及泄露的数据都是比较隐私的数据或者是不适合公开发布的信息,包括个人健康信息、个人可识别信息、财务信息、商业秘密和知识产权等。由于不同的原因,组织基于云端的数据可能具有更大的价值。数据泄露的风险并不是云计算独有的情况,但它始终是云计算用户的首要考虑因素,但它始终是云端客户的首要考虑因素。
 
  4、云端数据被删除或者丢失:
 
  云计算安全联盟表示,存储在云端的数据可能因恶意攻击(并非黑客攻击)而丢失。云计算服务提供商遭遇意外删除、存储在云中的数据:比如云服务提供商的设备损坏、技术故障或火灾、地震等物理灾难导致永久丢失,除非提供商采取适当的措施对数据进行了备份,实现灾难恢复。
 
  5、应用程序编程和不安全的两大接口:
 
  云计算提供商提供了一组用户会通过云服务商提供的用户界面(ui)或客户端来管理云服务,CSA的调查显示,对云端进行攻击的所有配置、管理和监控都是通过这些接口进行的,通常情况下,通常情况下,他们需要进行设计以防止意外和恶意的企图,来确定云服务的安全性和可用性取决于API的安全性。
 
  6、共享技术漏洞的出现:
 
  云计算安全联盟指出,云服务提供商通过共享基础架构,平台或应用程序来扩展其服务。单位了节省成本,云技术将“即服务”产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。支持云服务的底层组件可能在最初设计时,并未想到为多用户进行架构提供强大的隔离属性,可能在所有交付模式中被攻击者利用,从而导致共享中的技术漏洞。
 
  7、高级持续性威胁(APT)攻击:
 
  APT是一种寄生的,针对特定目标的网络攻击形式,它会提前渗透到目标公司IT基础设施,从中窃取数据,APT在很长一段时间内都是处于潜伏的状态,经常能够适应抵御它们的安全措施,但是一旦部署到位,高级持续性威胁(APT)可以通过数据中心网络横向移动,并与正常的网络流量融合,所以一般安全防御措施很难检测到它的存在,从而达到攻击目的。
 
  8、企业“内鬼”盗取公司重要系统数据:
 
  云计算安全联盟表示,虽然有些威胁的严重程度是有争议的,但内部威胁是一个真正的威胁。因为“日防夜防,家贼难防”CSA的调查显示,虽然大部分威胁都是外部人员所为,但也不排除公司怀有恶意的内部人员(如系统管理员)可以访问潜在的敏感信息,更多地访问更重要的系统,并最终访问数据,因此云服务提供商提供安全措施的系统将面临更大的风险。
 
  9、CSA尽职调查力度不足:
 
  CSA的调查显示,当云提供商的企业高管在制定业务战略时,必须对云技术进行必要的实地调查,已评估风险系数,在评估云计算技术和提供商时,制定良好的路线图和尽职调查清单对于获得最大的成功至关重要。
 
  10、黑客劫持账户或服务:
 
  CSA的调查显示,账户或服务劫持并不是什么新鲜事物,但却是黑客攻击云端的手段之一。如果黑客获得了用户的凭证,他们就可以窃听活动和交易,操纵数据,返回虚假信息,并将客户重定向到非法站点。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,黑客通常可以访问云计算服务的关键区域,从而窃取机密信息,从而危及该区域功能的机密性、完整性和可用性。
 
  11、滥用和恶意使用云服务:
 
  云计算安全联盟指出,目前许多云服务都在努力推销自己的产品,所以我们可以使用很多免费的云服务。安全性差的云服务部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。即使云服务提供商是无意的,那也是其不负责任在先。滥用云端资源的例子包括启动分布式拒绝服务攻击,垃圾邮件和网络钓鱼攻击。
 
  12、拒绝服务(DoS)导致合法用户无法访问:
 
  拒绝服务(DoS)攻击旨在防止服务的用户访问其数据或应用程序。通过强制目标云服务占用过多的有限系统资源,如处理器能力,内存,磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使所有合法的用户无法访问服务。

编辑:航网科技   来源:深圳航网科技有限公司

本文版权归原作者所有 转载请注明出处

联系我们

客服部:深圳市龙华区龙胜商业大厦5楼B5区

业务部:深圳市南山区讯美科技广场2栋12楼1202

资质证书

    • Copyright © 2011-2020 www.hangw.com. All Rights Reserved 深圳航网科技有限公司 版权所有 增值电信业务经营许可证:粤B2-20201122 - 粤ICP备14085080号

    在线客服

    微信扫一扫咨询客服


    全国免费服务热线
    0755-36300002

    返回顶部