7.高级持续威胁(APT)
高级持续威胁(APT)是一种寄生形式的网络攻击,可以渗透到系统中并在目标组织的IT基础设施中建立立足点,从而窃取数据。高级持续威胁(APT)在很长一段时间内暗地追寻目标,通常会适应防备他们的安全措施。云计算安全联盟(CSA)表示,一旦到位,高级持续威胁(APT)可以横向移动,通过数据中心网络并融入正常的网络流量,以实现其目标。
8.数据丢失
云计算安全联盟(CSA)表示,存储在云中的数据可能会因恶意攻击以外的原因而丢失。云计算服务提供商意外删除或火灾或地震等物理灾难可导致客户数据永久丢失,除非提供商或云计算消费者采取适当措施备份数据,遵循业务连续性的灾难恢复最佳实践。
9.尽职调查不足
云计算安全联盟(CSA)表示,当企业高管制定业务战略时,必须考虑云计算技术和服务提供商。在评估技术和提供商时,制定良好的路线图和尽职调查清单对于最大的成功机会至关重要。那些急于采用云计算技术,并选择提供商而不进行尽职调查的组织会面临许多风险。
10.滥用和恶意使用云服务
云计算安全联盟(CSA)表示,云安全服务部署、免费云服务试验,以及通过支付工具欺诈性帐户注册的安全性较差,使云计算模型遭受恶意攻击。网络攻击者可能会利用云计算资源针对用户、组织或其他云计算提供商进行攻击。滥用基于云计算的资源的例子包括发起分布式拒绝服务攻击、垃圾电子邮件和钓鱼活动。
11.拒绝服务(DoS)
拒绝服务(DoS)攻击旨在防止服务用户访问其数据或应用程序。通过强制目标云服务消耗过多的有限系统资源(如处理器功率、内存、磁盘空间或网络带宽),攻击者可能会导致系统速度降低,并使所有合法服务用户无法访问服务。
DNS提供商Dyn公司是深度挖掘报告中提到遭遇DoS攻击的一个关键示例。外部组织可以使用Mirai恶意软件驱使物联网设备在Dyn上启动分布式拒绝服务(DDoS)。他们之所以攻击成功,是因为受损的物联网设备使用了默认凭据。该报告建议分析异常的网络流量,并审查和测试业务连续性计划。
12.共享技术漏洞
云计算安全联盟(CSA)指出,云计算服务提供商通过共享基础设施、平台或应用程序来实现其服务的可扩展性。云计算技术将“即服务”产品区分开来,而无需大幅度改变现成的硬件/软件,有时会牺牲安全性。构成支持云计算服务部署的基础设施组件可能没有设计成为能够为多租户架构或多客户应用程序提供强大的隔离属性。这可能导致共享的技术漏洞,这些漏洞可能会在所有交付模型中被利用。
深度挖掘报告中的一个例子是CloudBleed漏洞,其中外部恶意参与者可以利用其软件中的漏洞从安全服务提供商CloudFlare窃取API密钥、密码和其他凭据。报告建议对所有敏感数据进行加密,并根据敏感级别对数据进行分段。
额外的云威胁:Spectre和Meltdown
在2018年1月,研究人员揭示了大多数现代微处理器中常见的设计特征,它可以允许使用恶意Javascript代码从内存中读取内容,包括加密数据。此问题的两个变体称为Meltdown和Spectre,会影响从智能手机到服务器的所有设备。因此将它们添加到这个云计算威胁列表中。
Spectre和Meltdown都允许进行侧通道攻击,因为它们突破了应用程序之间的隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息,或者如果攻击者是访问者虚拟机(VM)上的Root用户,则可以读取主机内核。
这对云计算服务提供商来说是一个大问题。虽然提供了一些补丁,但它们只会使实施攻击变得更加困难。此外,修补补丁也可能会降低性能,因此某些组织可能会选择不修补系统。CERT 咨询公司建议更换所有受到影响的处理器。
到目前为止,还没有已知的漏洞利用了Meltdown或Spectre这两个缺陷,但专家们认为它们可能会很快得到利用,云计算提供商防范它们的最佳建议是确保所有最新的漏洞都已修补。客户应该要求了解其云计算提供商如何应对Meltdown和Spectre的信息。
