12个顶级云安全威胁

云计算安全联盟(CSA)表示，云安全服务部署、免费云服务试验，以及通过支付工具欺诈性帐户注册的安全性较差，使云计算模型遭受恶意攻击。网络攻击者可能会利用云计算资源针对用户、组织或其他云计算提供商进行攻击。滥用基于云计算的资源的例子包括发起分布式拒绝服务攻击、垃圾电子邮件和钓鱼活动。

11.拒绝服务(DoS)

拒绝服务(DoS)攻击旨在防止服务用户访问其数据或应用程序。通过强制目标云服务消耗过多的有限系统资源(如处理器功率、内存、磁盘空间或网络带宽)，攻击者可能会导致系统速度降低，并使所有合法服务用户无法访问服务。

DNS提供商Dyn公司是深度挖掘报告中提到遭遇DoS攻击的一个关键示例。外部组织可以使用Mirai恶意软件驱使物联网设备在Dyn上启动分布式拒绝服务(DDoS)。他们之所以攻击成功，是因为受损的物联网设备使用了默认凭据。该报告建议分析异常的网络流量，并审查和测试业务连续性计划。

12.共享技术漏洞

云计算安全联盟(CSA)指出，云计算服务提供商通过共享基础设施、平台或应用程序来实现其服务的可扩展性。云计算技术将“即服务”产品区分开来，而无需大幅度改变现成的硬件/软件，有时会牺牲安全性。构成支持云计算服务部署的基础设施组件可能没有设计成为能够为多租户架构或多客户应用程序提供强大的隔离属性。这可能导致共享的技术漏洞，这些漏洞可能会在所有交付模型中被利用。

深度挖掘报告中的一个例子是CloudBleed漏洞，其中外部恶意参与者可以利用其软件中的漏洞从安全服务提供商CloudFlare窃取API密钥、密码和其他凭据。报告建议对所有敏感数据进行加密，并根据敏感级别对数据进行分段。

额外的云威胁：Spectre和Meltdown

在2018年1月，研究人员揭示了大多数现代微处理器中常见的设计特征，它可以允许使用恶意Javascript代码从内存中读取内容，包括加密数据。此问题的两个变体称为Meltdown和Spectre，会影响从智能手机到服务器的所有设备。因此将它们添加到这个云计算威胁列表中。

Spectre和Meltdown都允许进行侧通道攻击，因为它们突破了应用程序之间的隔离。能够通过非特权登录访问系统的攻击者可以从内核读取信息，或者如果攻击者是访问者虚拟机(VM)上的Root用户，则可以读取主机内核。

这对云计算服务提供商来说是一个大问题。虽然提供了一些补丁，但它们只会使实施攻击变得更加困难。此外，修补补丁也可能会降低性能，因此某些组织可能会选择不修补系统。CERT 咨询公司建议更换所有受到影响的处理器。

到目前为止，还没有已知的漏洞

如何实时有效地发现证券行业云系统的脆弱性？  

利用了Meltdown或Spectre这两个缺陷，但专家们认为它们可能会很快得到利用，云计算提供商防范它们的最佳建议是确保所有最新的漏洞都已修补。客户应该要求了解其云计算提供商如何应对Meltdown和Spectre的信息。

相关阅读：

如何守护传媒行业的信息安全？  

如何实时有效地发现证券行业云系统的脆弱性？  

（编辑：东莞站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!