登录
2022.08.04
3948
国际云安全联盟CSA携手700多位业界专家开展深度调研,探讨了云计算行业的安全问题,发布了《云计算的11类顶级威胁》报告。
关注公众号“国际云安全联盟CSA”
回复关键词“云计算”即可阅读下载白皮书
今年,我们的受访者确定了他们的云环境的11个重要安全问题。国际云安全联盟CSA顶级威胁工作组利用调查结果及其专业知识创建了2022年“云计算的11类顶级威胁”报告。2022年度的最新排名如下:
1.身份、凭据、访问和密钥管理不足
2.不安全的接口和API
3.配置错误和变更控制不足
4.缺乏云安全架构和策略
5.无安全举措的软件开发流程
6.第三方供应链风险
7.系统漏洞
8.意外云数据泄露
9.无服务器和容器工作负载的
错误配置和利用
10.有组织犯罪/黑客/APT
11.云存储数据外泄
在确定了11个主要威胁后,工作组对每个问题进行了分析。海外专家分析并详细阐述了该项目细节,包括云租户是否拥有共享责任,并定义其在云堆栈中的位置以及云服务的类型(SaaS、PaaS、IaaS或SPI)模型。另外业务相关性、关键指标、典型案例和真实发生的安全事故说明了每种风险都可能会产生什么风险、以及如何产生的,并给出缓解措施。
透视威胁
1.身份、凭据、访问和密钥管理不足
身份、凭证、访问管理系统主要是指允许组织管理、监视和保护的策略可获取关键敏感信息的资源工具。例如像电子文件,计算机系统和物理资源,如服务器机房门禁或电子令牌。合理维护和持续性跟踪身份伪造带来的安全风险非常重要。使用可视化身份和访问管理(IAM)的风险评分可提高安全态势。使用清晰的风险分配模型监控和适当隔离其行为有助于交叉检查IAM系统。跟踪目标访问和风险评分频率对理解风险背景也至关重要。
2.不安全的接口和API
随着云计算、移动互联网、物联网的蓬勃发展,越来越多的应用开发深度依赖于API之间的相互调用。《2021 Bots自动化威胁报告》显示,作为一种轻量化的技术,API在全球范围内受到企业组织的高度青睐,应用接口呈现爆发式增长。
相比2021年,2022年API流量同比增长4.8倍,44%的企业正在建造和维护100个或更多的API。为API提供攻击暴露面的缩减、跟踪、配置和保护非常必要关键。
3.配置错误和变更控制不足
由于企业在云中存储、交互的数据规模巨大,复杂、庞大的数据使管理成为一个难题,一旦管理不当,就会引来攻击者的入侵。云计算资源配置错误是导致组织数据泄露的主要原因,尽管很多企业清楚云安全漏洞会造成严重的后果,但他们在对云计算的服务进行配置时,仍然会出错。配置错误的类型多种多样:常见的将数据存储在有安全风险的存储单元或容器中,对数据赋予过度的读写权限,或禁用默认的安全配置,这类配置错误都会造成意想不到的安全问题。
CSPM的持续性配置检查
4.缺乏云安全架构和策略
云安全策略和安全架构包括对云部署模型、云服务模型、云服务器提供商(CSP)、服务区域可用性区域、特定云服务、通用原则和预定义规则的选型和规划。
云基础设施以及业务的快速的变化,包括分散特性、订阅式的模式,都会影响安全技术和安全因素的设计。然而,如果云计算业务突飞猛进,就无法忽视安全建设与风险评估。
5.无安全举措的软件开发流程
软件本身是复杂的,一定程度上说云场景下,会增加软件技术的复杂性。在这种复杂性中,并未被软件开发者们设计的功能,就很容易出现了安全漏洞或配置错误。虽然我们要感谢云的可访问便利性,但云威胁也比以往任何时候都更容易利用这些“特征”。
采用云优先的战略,可以让实体减轻负担云服务提供商(CSP)面临的维护和安全问题。托管服务可以提供商管理基础设施和/或平台层阻止开发人员重新发明轮子。
密钥存储服务/管理和安全持续集成/持续部署(CI/CD)允许开发人员将重点放在业务逻辑上。
Gartner DevSecOps工具链
6.第三方供应链风险
在云计算应用迅速增加的世界中,第三方资源可能带来不同的影响:从开源代码、SaaS产品和API风险(顶级威胁2),一直到云供应商提供的托管服务。来自第三方资源的风险也被视为供应链漏洞,因为它们是交付产品或服务过程的一部分。这些风险存在于消费的每一种产品和服务中。尽管如此,由于近年来对第三方服务和基于软件的产品越来越依赖,对这些漏洞和可黑客配置的攻击也越来越多。事实上,根据海外知名学术机构的研究,三分之二的违规行为是供应商或第三方漏洞造成的。
7.系统漏洞
系统漏洞是云服务平台中的缺陷。他们可能会被利用,试图破坏数据的机密性、完整性和可用性,可能会中断服务操作。所有组件都可能包含可能使云服务受到攻击的漏洞。
8.意外云数据泄露
云服务使公司能够以前所未有的速度进行建设、创新和扩展。然而,云的复杂性和向云服务所有权的转移,以及不同的团队和业务单位,往往导致缺乏安全治理和控制。不同云服务提供商中的云资源、配置数量不断增加,使得错误配置更加常见,云资源缺乏透明度和过度的对互联网暴露可能会导致意外的数据泄漏。
9.无服务器和容器工作负载的错误配置和利用
迁移到云基础设施和采用DevOps实践使IT团队能够比以往更快地为业务提供价值。管理和扩展基础设施和安全控制以运行应用程序仍然是开发团队的一个重大负担。用于管理prem环境的遗留基础设施团队必须学习新技能,如基础设施代码和云安全。这些团队必须对支持其应用程序的网络和安全控制承担更多责任。无服务器和cloudnative容器化工作负载似乎是解决这一问题的灵丹妙药,问题是,将这一责任转移给云服务提供商(CSP)。不过,与将虚拟机迁移到云中相比,它需要更高级别的云和应用程序安全成熟度。
ServerLess安全风险
10.有组织犯罪/黑客/APT
攻击活动,其中入侵者或入侵者团队在网络上建立非法的长期存在,以挖掘高度敏感的数据。这些小组可能包括国家和有组织犯罪团伙。“有组织犯罪”一词是用来描述一个群体在创造反映群体个体努力的有计划和理性行为时所具有的组织水平的方式。APT已经建立了复杂的战术、技术和协议(TTP)来渗透其目标。APT组在目标网络中花费数月时间未被发现并不罕见。
11.云存储数据外泄
云存储数据外泄是一种涉及敏感、受保护或机密信息的事件。这些数据可能被发布、查看、窃取或由组织运行环境之外的个人使用。数据外泄可能是有针对性攻击的主要目标,并可能由被利用的漏洞或配置错误、应用程序漏洞或较差的安全实践导致。渗出可能涉及任何非公开发布的信息,例如个人健康信息、财务信息、个人身份信息(PII)、商业秘密和知识产权。
随着云业务模型和安全策略的发展,报告提高了对关键安全性的认识问题. 身份、凭据、访问和密钥管理不足占据首位。重播攻击、模拟和过度许可在云中持续的发生。使用自签名证书、糟糕的密码管理或信任每个根CA只是几个值得怀疑的选择。随着对零信任架构和SDP的强调,就像《云计算的11类顶级威胁》第一期中强调的例子始终是调查最关心的对象。
最后,在最后一个列表中排名第三的战略和架构回避了一个问题:“为什么在规划和架构安全解决方案方面仍然存在这样的问题”?云计算已不再是一种新奇事物——全局的安全挑战困难重重,但我们为什么不关注11类顶级威胁,重新定义一种最适合我们的安全模式呢。
致谢
新华三集团在安全领域拥有近二十年的经验积累,率先提出"主动安全"理念与技术框架,引领业界从被动防御向主动安全的理念转变。新华三拥有1200多项安全领域专利技术,近40大类超500款专业安全产品,覆盖边界安全、云安全、工控安全、数据安全、5G安全和等级保护等细分领域,具备业界最全面的安全产品和解决方案付能力,可为用户提供可信、可控的全系列网络安全产品及完整的“云-网-边-端”一体化安全解决方案。
新华三是CSA大中华区的理事单位,支持该报告内容的翻译,但不影响CSA研究内容的开发权和编辑权。
手机:19925407556
邮箱:info@c-csa.cn