毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

云安全威脅需要改進(jìn)IT協(xié)作、治理，而不一定是新技術(shù)

僅僅將你的本地安全控制遷移到一個(gè)全新的云環(huán)境是不夠的。即使是擁有多年經(jīng)驗(yàn)的云組織也很脆弱。 隨著企業(yè)將云服務(wù)的使用范圍擴(kuò)大到包括關(guān)鍵業(yè)務(wù)應(yīng)用程序和數(shù)據(jù)，安全漏洞的風(fēng)險(xiǎn)成為了一個(gè)C級(jí)問(wèn)題。輕率地將專為內(nèi)部基礎(chǔ)設(shè)施和安全控制設(shè)計(jì)的內(nèi)部系統(tǒng)遷移到完全不同的云架構(gòu)，常常是因?yàn)闆](méi)有完全理解云安全的特性、控制、網(wǎng)絡(luò)設(shè)計(jì)和用戶責(zé)任，這將后患無(wú)窮。即使像Capital One這樣的組織，擁有多年AWS經(jīng)驗(yàn)、對(duì)云技術(shù)細(xì)微差別有深刻理解的公司，也可能被黑客利用，很明顯，每個(gè)云用戶都需要加倍努力保護(hù)自己的安全。值得慶幸的是，有一個(gè)像云安全聯(lián)盟(CSA)這樣的組織致力于通過(guò)開發(fā)策略、建議和威脅研究來(lái)提高云環(huán)境的安全性?！白鳛镈EF CON黑客大會(huì)的公共化版本，Black Hat 事件已經(jīng)成為大多數(shù)安全廠商和研究人員必須停止的活動(dòng)。和大多數(shù)安全會(huì)議一樣，會(huì)議上也充斥著關(guān)于此前未知的軟件漏洞的可怕聲明、新的攻擊方法以及黑客技術(shù)的創(chuàng)造性演示。不幸的是，與大多數(shù)安全事件一樣，黑帽內(nèi)容的優(yōu)勢(shì)描述的是威脅和漏洞，而不是對(duì)策和軟件修復(fù)。CSA遵循腳本使用該事件發(fā)布關(guān)于云威脅的新報(bào)告，但是使用另一份報(bào)告進(jìn)行反擊，該報(bào)告詳細(xì)描述了通過(guò)將安全性集成到軟件開發(fā)和IT操作中來(lái)改進(jìn)組織的安全狀況的結(jié)構(gòu)改進(jìn)?！? 首先，找出威脅 正如Capital One事件所展示的那樣，使用云基礎(chǔ)設(shè)施和應(yīng)用程序開辟了新的網(wǎng)絡(luò)攻擊途徑，同時(shí)通過(guò)在云提供商和用戶之間分擔(dān)安全策略的責(zé)任，使應(yīng)用程序和數(shù)據(jù)安全的責(zé)任復(fù)雜化。上周的專欄關(guān)注的是職責(zé)劃分，而CSA的一份新報(bào)告強(qiáng)調(diào)了云計(jì)算引入的新威脅載體。 CSA頂級(jí)威脅工作組定期發(fā)布其對(duì)企業(yè)云用戶面臨的最重要安全問(wèn)題的評(píng)估。隨著時(shí)間的推移，該小組發(fā)現(xiàn)傳統(tǒng)上對(duì)核心基礎(chǔ)設(shè)施的威脅如拒絕服務(wù)攻擊或針對(duì)硬件和操作系統(tǒng)的漏洞都被云提供商有效的保護(hù)起來(lái)了，而軟件堆棧中更高層次的問(wèn)題是云用戶的責(zé)任。CSA發(fā)布的一份關(guān)于云計(jì)算最大威脅的報(bào)告指出， “調(diào)查中得分較高的新項(xiàng)目更加細(xì)致入微，表明消費(fèi)者對(duì)云的理解已經(jīng)成熟。這些問(wèn)題本質(zhì)上是特定于云的，因此表明了消費(fèi)者正在積極考慮云遷移的技術(shù)前景。這些主題涉及潛在的控制平面弱點(diǎn)、元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)故障以及有限的云可見(jiàn)性。這一新的重點(diǎn)明顯不同于以往更常見(jiàn)的威脅、風(fēng)險(xiǎn)和漏洞(即數(shù)據(jù)丟失、拒絕服務(wù))，這些在以前的頂級(jí)威脅報(bào)告中表現(xiàn)得更為突出?！? 該工作組使用微軟STRIDE威脅模型，分析了六個(gè)威脅類別中每個(gè)問(wèn)題的范圍和重要性，并將其歸納為19個(gè)最突出的云安全威脅。其結(jié)果就是該組織所稱的“驚人的11個(gè)”，按重要性排列如下。 1. 數(shù)據(jù)泄露，例如Capital One事件，其中“敏感、受保護(hù)或機(jī)密信息被未經(jīng)授權(quán)的個(gè)人發(fā)布、查看、竊取或使用”。 2. 錯(cuò)誤配置和不充分的變更控制是由設(shè)置錯(cuò)誤導(dǎo)致的，這些錯(cuò)誤使云資源容易受到惡意活動(dòng)的攻擊。” 3.缺乏云安全體系結(jié)構(gòu)和策略，導(dǎo)致IT部門不理解自己在云安全中的角色，或者不小心將現(xiàn)有的內(nèi)部應(yīng)用程序遷移到云基礎(chǔ)設(shè)施，而沒(méi)有使其適應(yīng)新的安全環(huán)境。 4. 不充分理解云身份和訪問(wèn)管理(IAM)服務(wù)和控制以及不充分地保護(hù)云憑據(jù)，例如頻繁地旋轉(zhuǎn)加密密鑰、密碼和證書，從而導(dǎo)致身份、憑據(jù)、訪問(wèn)和密鑰管理不足。 5. 通過(guò)網(wǎng)絡(luò)釣魚攻擊或竊取憑證劫持帳戶(見(jiàn)#4)。 6. 內(nèi)部威脅，指某人濫用其對(duì)云資源的授權(quán)訪問(wèn)，惡意或無(wú)意地破壞系統(tǒng)或暴露敏感數(shù)據(jù)以破壞操作。這些威脅可能來(lái)自現(xiàn)任或前任雇員、承包商或可信任的業(yè)務(wù)伙伴。 7. 不安全的接口和API，其中配置或設(shè)計(jì)不良的API允許攻擊者濫用應(yīng)用程序或訪問(wèn)數(shù)據(jù)。正如該報(bào)告所詳細(xì)描述的，面向公眾的云系統(tǒng)的接口不斷受到攻擊，而且，正如Capital One所發(fā)現(xiàn)的，它常常是攻擊者訪問(wèn)其他內(nèi)部漏洞的門戶。 8. “弱控制平面”就是沒(méi)有經(jīng)過(guò)深思熟慮的云策略的一個(gè)例子，這種策略導(dǎo)致沒(méi)有充分理解云管理、安全控制和數(shù)據(jù)流，以及不恰當(dāng)?shù)厥宫F(xiàn)有流程適應(yīng)明顯不同的環(huán)境。 9. 元結(jié)構(gòu)和應(yīng)用程序結(jié)構(gòu)的失敗是由云提供商對(duì)API和其他管理接口的弱實(shí)現(xiàn)造成的。根據(jù)CSA的報(bào)告， 元結(jié)構(gòu)被認(rèn)為是CSP/客戶界線，也稱為基線。為了提高客戶對(duì)云的可見(jiàn)性，csp經(jīng)常公開或允許API與水線上的安全進(jìn)程進(jìn)行交互。不成熟的csp常常不確定如何使api對(duì)客戶可用，以及在多大程度上可用。例如，允許客戶檢索日志或?qū)徲?jì)系統(tǒng)訪問(wèn)的api可能包含高度敏感的信息。 雖然不在基線上，但是用于啟動(dòng)服務(wù)器端請(qǐng)求偽造(SSRF)的AWS元數(shù)據(jù)服務(wù)是元結(jié)構(gòu)失敗的一個(gè)例子。 10. 當(dāng)不完全了解組織內(nèi)的云使用情況，從而忽略安全問(wèn)題時(shí)，就會(huì)出現(xiàn)有限的云使用可視性。當(dāng)以下兩種情況發(fā)生時(shí):(a)員工未經(jīng)IT授權(quán)使用云應(yīng)用程序和/或資源，即影子IT，或(b)授權(quán)的內(nèi)部人員濫用其訪問(wèn)權(quán)限(#6)就會(huì)出現(xiàn)上述的結(jié)果。 11. 濫用和惡意使用云服務(wù)，攻擊者使用云服務(wù)來(lái)托管惡意軟件或發(fā)起攻擊，隱藏在云提供商域名的合法性背后。來(lái)自云基礎(chǔ)設(shè)施的威脅通常包括惡意軟件存儲(chǔ)和傳播、DDoS攻擊、電子郵件垃圾郵件和釣魚活動(dòng)以及自動(dòng)點(diǎn)擊欺詐。 作為CSA的CEO和創(chuàng)始人，Jim Reavis在一次采訪中指出，這些安全問(wèn)題影響著所有類型的云服務(wù)，包括SaaS，而不僅僅是像AWS這樣的基礎(chǔ)設(shè)施， 這份報(bào)告非常值得一讀，因?yàn)樗敿?xì)描述了每種威脅的業(yè)務(wù)影響和真實(shí)世界的例子，以及針對(duì)每種威脅的特定云控制(來(lái)自CSA的CCM分類)。一份配套文件分析了9起新聞事件，顯示了威脅的來(lái)源、分類、技術(shù)和商業(yè)影響，以及本可以阻止或減輕攻擊的CCM控制。例如，下面是Zynga數(shù)據(jù)泄露的總結(jié)圖表。 作者：張?zhí)K月來(lái)源：T媒體