2022云計(jì)算11種頂級(jí)威脅

安全問(wèn)題：數(shù)據(jù)泄 安全問(wèn)題：配置錯(cuò)誤和變更控制不 安全問(wèn)題：缺乏云安全架構(gòu)和策 安全問(wèn)題：身份，憑據(jù)，訪問(wèn)和密鑰管理的不 安全問(wèn)題：賬戶(hù)劫 安全問(wèn)題：內(nèi)部威 安全問(wèn)題：不安全接口和 安全問(wèn)題：控制面薄 安全問(wèn)題：元結(jié)構(gòu)和應(yīng)用結(jié)構(gòu)失 安全問(wèn)題：有限的云使用可見(jiàn) 安全問(wèn)題：濫用及違法使用云服 結(jié) ?2020?2020云安全聯(lián)盟-241112019（“本報(bào)告”）11個(gè)威脅（括號(hào)中是以往的排名數(shù)據(jù)泄露帳戶(hù)劫持內(nèi)部威脅和系統(tǒng)漏洞之類(lèi)的擔(dān)憂（在以前的潛在風(fēng)險(xiǎn)TOP12中都具有）現(xiàn)在的評(píng)分非常低，已頂級(jí)威脅 頂級(jí)威脅頂級(jí)威脅 頂級(jí)威脅?????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)2019年，提供互聯(lián)網(wǎng)語(yǔ)音協(xié)議（VoIP）Voipo公布了數(shù)以百萬(wàn)計(jì)的客戶(hù)通話日志、短消息服務(wù)（SMS）20186月公通話記錄（即誰(shuí)給誰(shuí)打電話、通話時(shí)間等）。Voipo總共暴露了“700萬(wàn)個(gè)通話CSA2:3:4:5:6:9:11:12:14:CCMAIS應(yīng)用程序和接口安全AIS-01:應(yīng)用程序安全AIS-02:客戶(hù)訪問(wèn)要求AIS-03:數(shù)據(jù)完整性AIS-04:數(shù)據(jù)安全/CCCCCC-05:DSIDSI-02:數(shù)據(jù)目錄/DSI-03:DSI-04:處理/標(biāo)示/DSI-05:DSI-07:

EKMEKM-01:EKM-02:密鑰生成EKM-03:敏感數(shù)據(jù)保護(hù)GRM GRM-06:GRM-10:IAM身份與訪問(wèn)控制IAM-01:審計(jì)工具訪問(wèn)IAM-04:策略和規(guī)程1.TimehopSecurityIncident,July4,2.UberDisclosesYear-OldAWSDataBreach,ExposingMillions3.AmazonhitwithmajordatabreachdaysbeforeBlack4.VOIPOdatabaseexposedmillionsofcallandSMSlogs,??????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)不安全的數(shù)據(jù)存儲(chǔ)要素（元素）(IT)最近的配置錯(cuò)誤和變更控制不足問(wèn)題的例子包括構(gòu)益博睿(Experian)Alteryx的在線營(yíng)銷(xiāo)和數(shù)據(jù)分Alteryx泄露了文件。3218eelneboi（elne，泄露了大眾、克萊斯勒、福特、豐田、通用汽車(chē)、特斯拉和蒂森克虜伯等10n備份c客戶(hù)端。CSA4:5:6:7:8:10:11:12:CCMAIS應(yīng)用程序和接口安全AIS-01:應(yīng)用程序安全AIS-04:數(shù)據(jù)安全/完整性

EKM加密與密鑰管理EKM-03:敏感數(shù)據(jù)保護(hù)EKM-04:存儲(chǔ)與訪問(wèn)CCCCCC-02:外包開(kāi)發(fā)CCC-03:質(zhì)量測(cè)試CCC-05:

GRM DSI-01:DSI-04:處理/標(biāo)示/

HRSHRS-09:培訓(xùn)/IVSIVS-02:IVS-06:IVS-07:IVS-06:IVS-07:

IAMIAM-02憑證生命周期/IAM-05:1.120MillionAmericanHouseholdsExposedinConsumerViewDatabaseLeak2.MarketingFirmExactisLeakedaPersonalInfoDatabasewith3403.ShortCircuit:HowaRoboticsVendorExposedConfidentialDataforManufacturing????平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)2017年，云計(jì)算技術(shù)巨頭埃森哲(Accenture)最近證實(shí)，該公司無(wú)意中在四個(gè)不安AmazonS3100強(qiáng)公司提供產(chǎn)品支持。這些安全中心的研究員表示發(fā)現(xiàn)了本田ConnectApp上的大量數(shù)據(jù)在網(wǎng)上曝光。這些AmazonAWSS3存儲(chǔ)桶CSA1:6:7:CCMAISAIS-04:數(shù)據(jù)安全/GRMGRM-01:GRM-02:GRM-05:管理層支持/GRM-08:IAMIAM-02:憑證生命周期/

IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VS-06:網(wǎng)絡(luò)安全I(xiàn)VS-08:生產(chǎn)/IVS-09:IVS-13:STASTA-03:網(wǎng)絡(luò)/STA-05:?1.IntroductiontoCloudSecurityArchitecturefromaCloud???2.TheNewSharedResponsibilityModelForCloud??3.TheImportanceofaDefinedCloud4.Accentureleftahugetroveofhighlysensitivedataonexposed5.TheConsequencesofaCyberSecurity6.WhyEnterpriseArchitectureDeservesaSeatattheSecurity7.Personaldataofover50,000HondaConnectApppp-????平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)云計(jì)算對(duì)傳統(tǒng)內(nèi)部系統(tǒng)的身份和訪問(wèn)管理和云服務(wù)使用者在不損害安全性的情況下管理憑證及加密密鑰不能嵌入到源代碼或發(fā)布到公共代碼庫(kù)中（如GitHub），因?yàn)榇?201811月，一名德國(guó)學(xué)生入侵了受弱密碼保護(hù)的數(shù)據(jù)，并使用云平臺(tái)共20歲的年輕人利用“Iloveyou”和“1234”之類(lèi)的密碼入1,000名國(guó)會(huì)議員，記者和其他公眾人物相關(guān)的電話號(hào)碼，短信，照Delie207925日由于身份，憑據(jù)和訪問(wèn)管理薄弱而遭受重大數(shù)據(jù)泄露，當(dāng)時(shí)該公司宣布由于管理員電子郵件帳戶(hù)安全性差而檢測(cè)到其20173“到所有區(qū)域”的特權(quán)，不受限制的訪問(wèn)權(quán)限。管理員帳戶(hù)僅需要一個(gè)密碼，20610月/11月以來(lái)一直控制Delie24,000MiotAue云服務(wù)存儲(chǔ)傳入和傳出的電子郵件。除電子郵件外，黑客可能還可以訪問(wèn)用戶(hù)名，密碼，rnt（P密碼和個(gè)人數(shù)據(jù)。一家較小的服務(wù)提供商通過(guò)應(yīng)用程序編程接口（API）AWS平臺(tái)的OneLogin檢測(cè)到入侵并關(guān)閉受影響的系統(tǒng)（AWS密鑰）GitHubGitHub36小時(shí)內(nèi)被發(fā)現(xiàn)并被濫Praetorian推出了一個(gè)AmazonAWS的計(jì)算能力來(lái)破解密碼哈希。CSA11:12:CCMEKM EKM-04:存儲(chǔ)與訪問(wèn)HRS人力資源安全HRS-01:資產(chǎn)歸還 任用終 HRS-10:

IAMIAM-01:IAM-02:憑證生命周期/提供管理IAM-03:診斷/配置端口訪問(wèn)IAM-04:策略和規(guī)程IAM-05:IAM-06:源代碼訪問(wèn)限制IAM-07:第三方訪問(wèn)IAM-08:可信源IAM-09:用戶(hù)訪問(wèn)授權(quán)IAM-10:用戶(hù)訪問(wèn)評(píng)審IAM-11:用戶(hù)訪問(wèn)撤銷(xiāo)IAM-12:ID身份憑證?1.GermanManConfessestoHackingPoliticians’Data,OfficialsSay:??2.Germandatahackersayshewas‘a(chǎn)nnoyed’bypoliticians:???3.Deloittehitbycyber-attackrevealingclients’secretemails:4.Deloittebreachedbyhackersformonths:5.Majoridentitymanagerbreachexposessensitiveuserinfo:6.OneLogin,May31,2017SecurityIncident:7.SystemShock:HowACloudLeakExposedAccenture’sBusiness:8.Quorabreachleaksdataonover100millionusers:9.AttackersScrapeGitHubforCloudServiceCredentials,HijackAccountMineVirtual10.DellReleasesFixforRootCertificateFail:頂級(jí)威脅 頂級(jí)威脅頂級(jí)威脅 頂級(jí)威脅??????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)IAM20146CodeSpacesAWS賬戶(hù)因未能通過(guò)多因素身2017MicrosoftOffice36520104月，亞馬遜跨站點(diǎn)腳本（XSS）漏洞導(dǎo)致憑證被盜，2009年，眾多亞馬CSA2:6:9:12:CCMBCRBCR-01:IAMIAM-02:憑證生命周期/IAM-05:IAM-08:IAM-10:IAM-11:

IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VS-01:審計(jì)日志/入侵檢測(cè)IVS-08:生產(chǎn)/非生產(chǎn)環(huán)境SEFSEF-01:聯(lián)絡(luò)人/?1.MurderintheAmazon???2.Allegedhackertriedtoselldetailsof319millioniCloudusers??3.PoCExploitCompromisesMicrosoftLiveAccountsvia4.HowcanOffice365phishingthreatsbe-頂級(jí)威脅 頂級(jí)威脅?頂級(jí)威脅 頂級(jí)威脅???軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)Netwrix2018據(jù)波尼蒙研究所（PonemonInstitute）2018年“內(nèi)部人員威脅成本研究”（CostofinsiderThreatsstudy）64%報(bào)告的內(nèi)部人員安全事件的根（PonemonInstitute）報(bào)告稱(chēng)，在接受采訪的公司中，2017年（每家公司）870萬(wàn)2650萬(wàn)美元。特斯拉在惡意內(nèi)部人員威脅問(wèn)題上的慘痛教訓(xùn)（2018年）——“對(duì)特斯拉首席執(zhí)行官埃隆?馬斯克（ElonMusk）來(lái)說(shuō)，公司可能遭受惡意內(nèi)部人員威脅的潛在損害員工利用極其敏感的密碼未經(jīng)授權(quán)訪問(wèn)SWIFT2018IBMX-Force威脅情報(bào)指數(shù)–“配置錯(cuò)誤的云服務(wù)器、網(wǎng)絡(luò)備份事件和其70%?！盋SA2:5:11:12:DCSDCS-04:DCS-08:DCS-09:DSIDSI-04:處理/標(biāo)示/DSI-06:責(zé)任人/EKM加密與密鑰管理EKM-02:密鑰生成EKM-03:敏感數(shù)據(jù)保護(hù)GRM治理與風(fēng)險(xiǎn)管理GRM-03:管理者監(jiān)督GRM-04:管理程序GRM-06:策略GRM-07:GRM-10:

HRS人力資源安全HRS-02:背景調(diào)查HRS-03:任用協(xié)議HRS-07:角色/IAM身份與訪問(wèn)控制IAM-01:審計(jì)工具訪問(wèn)IAM-05:職責(zé)分離IAM-08:可信源IAM-09:用戶(hù)訪問(wèn)授權(quán)IAM-10:用戶(hù)訪問(wèn)評(píng)審IAM-11:IVSIVS-09:SIASTA-09:1.CERTDefinitionofan‘InsiderThreat’-2.CloudSecurityRisksandConcernsin2018:?3.IBMX-ForceThreatIntelligenceIndex4.InsiderThreat–20185.Examiningthe2018CostofaData6.Tesla’sToughLessononMaliciousInsiderThreats:7.The6WorstInsiderAttacksof2018–So3?????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)API的Internet上所必須的安全要求。APIUI通常是系統(tǒng)中最開(kāi)放的部分，可能IP地址的資產(chǎn)。作為“前門(mén)”關(guān)重要的。使用一系列安全性薄弱的接口和API，會(huì)使組織面對(duì)各種安全問(wèn)題，如機(jī)密 API安全性。良好做法包括對(duì)目錄，測(cè)試，審計(jì)和異常活動(dòng)保護(hù)API API框架(如：開(kāi)放式云計(jì)算界面(OCCI)和云基礎(chǔ)架構(gòu)APIFacebook20189285000代碼中。該公司承認(rèn)，它不知道有什么信息被盜，也不知道有多少其他用戶(hù)帳CSA5:6:9:10:11:12:身份、授權(quán)和訪問(wèn)管理CCMAISAIS-01:AIS-03:AIS-04:數(shù)據(jù)安全/IAMIAM-01:審計(jì)工具訪問(wèn)IAM-07:第三方訪問(wèn)IAM-08:可信源IAM-09:用戶(hù)訪問(wèn)授權(quán)IAM-10:用戶(hù)訪問(wèn)評(píng)審IAM-11:用戶(hù)訪問(wèn)撤銷(xiāo)IAM-12:ID身份憑證IAM-13:實(shí)用程序訪問(wèn)1.MurderintheAmazon2.Allegedhackertriedtoselldetailsof319millioniCloudusers?3.PoCExploitCompromisesMicrosoftLiveAccountsvia4.HowcanOffice365phishingthreatsbeaddressed?:???軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)根據(jù)歐盟通用數(shù)據(jù)保護(hù)條例DP)的規(guī)定，產(chǎn)生的罰款可能高達(dá)2000萬(wàn)歐元-或全球收入的4。 CSA領(lǐng)域1:云計(jì)算概念和體系架構(gòu)。領(lǐng)域8:領(lǐng)域12:CCMAISAIS-03:AIS-04:數(shù)據(jù)安全/AACAAC-03:BCRBCR-04:

IVS基礎(chǔ)設(shè)施與虛擬化安全I(xiàn)VS-01:審計(jì)日志/入侵檢測(cè)IVS-04:信息系統(tǒng)記錄 IVS-09:IVS-13:DSIDSI-04:處理/標(biāo)示/?2020?2020云安全聯(lián)盟-GRMGRM-01:GRM-02:GRM-06:GRM-07:GRM-08:GRM-09:策略評(píng)審GRM-10:風(fēng)險(xiǎn)評(píng)估GRM-11:風(fēng)險(xiǎn)管理框架1.Uberfined$148mforfailingtonotifydriverstheyhadbeen2.ExposedS3bucketcompromises120millionBrazilian????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)Ntli是AWS最重的用戶(hù)之一，了解元結(jié)構(gòu)訪問(wèn)的重要性，并提供了在安全操作流程中對(duì)使用憑據(jù)泄露檢測(cè)的步驟。攻擊者看到了元結(jié)構(gòu)憑據(jù)的價(jià)值；微軟警告說(shuō)，以云憑據(jù)為目標(biāo)每年的攻擊持續(xù)增長(zhǎng)。根據(jù)207年Mirof2018年Mirof7％的SaaS存儲(chǔ)應(yīng)用程序和86％的SaaS協(xié)作應(yīng)用程序在靜態(tài)存儲(chǔ)和傳輸過(guò)程中都未對(duì)數(shù)據(jù)進(jìn)行加密?！?SeurWorsAWSAWS（AM遺留在系統(tǒng)上的嵌入式密鑰和遺留在快照上的其他運(yùn)行級(jí)控制r)腳本。在不清楚鏡像來(lái)源的情況下，鏡像可能做出超出預(yù)期的行為。在這之后，2019年要求應(yīng)用開(kāi)發(fā)者刪除錄制CSA領(lǐng)域1:云計(jì)算概念和體系架構(gòu)領(lǐng)域2:治理與企業(yè)風(fēng)險(xiǎn)管理領(lǐng)域4:合規(guī)和審計(jì)管理領(lǐng)域5:領(lǐng)域6:管理平面和業(yè)務(wù)連續(xù)性領(lǐng)域7:基礎(chǔ)設(shè)施安全領(lǐng)域8:虛擬化和容器領(lǐng)域9:事件響應(yīng)領(lǐng)域10:領(lǐng)域11:領(lǐng)域12:身份、授權(quán)和訪問(wèn)管理CCMAIS-01:AIS-03:AIS-04:數(shù)據(jù)安全/AAC-01:審計(jì)策劃BCR-02:業(yè)務(wù)連續(xù)性的測(cè)試BCR-04:文檔化CCC-01:新開(kāi)發(fā)/獲取CCC-05:生產(chǎn)變更

IAM-01:IAM-02:憑證生命周期/IAM-04:策略和規(guī)程IAM-05:職責(zé)分離IAM-07:第三方訪問(wèn)IAM-08:可信源IAM-09:用戶(hù)訪問(wèn)授權(quán)IAM-10:用戶(hù)訪問(wèn)評(píng)審IAM-11:用戶(hù)訪問(wèn)撤銷(xiāo)IAM-12:用戶(hù)ID身份憑證IAM-13:實(shí)用程序訪問(wèn)IVS-09:隔離DSI-02:數(shù)據(jù)目錄/數(shù)據(jù)流DSI-03:DSI-04:處理/標(biāo)示/DSI-07:

EKM-02:密鑰生成EKM-03:敏感數(shù)據(jù)保護(hù)HRS-08:

SEF-03:事件報(bào)告IPY-01:

?1.WhyCloudSecurityIsEveryone’s???2.Source:DeloitteBreachAffectedAllCompanyEmail,Admin??3.DeloittehackhitservercontainingemailsfromacrossUS4.DeloitteGetsHacked:WhatWeKnowSo5.“GetOffofMyCloud”:CloudCredentialCompromiseandExposure:6.NetflixCloudSecurity:DetectingCredentialCompromisein7.MicrosoftSecurityIntelligence8.Microsoftwarnsthathackersareincreasinglytargetingcloud9.MicrosoftSecurityIntelligenceReportvolume23isnowsecuredCloud10.Understandtoptrendsinthethreat11.WhatIsAmazon12.Virtualmachinertual-machine/cpp-isites聯(lián)盟-版權(quán)所 13.HowtoLogaSecurityEventSupport?2020?2020云安全聯(lián)盟-AppletellsappdeveloperstodiscloseorremovescreenrecordingAnnouncingAWS-AWSDiscussionForums-AWSCloudTrailFeatureAWSDiscussionForums-AWSCloudWatchFeatureAnnouncingthepublicpreviewofAzureMonitor:AzureADActivityLogsinAzureMonitorDiagnosticsnowinpublicpreview:??????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)這個(gè)場(chǎng)景產(chǎn)生了一個(gè)名為影子IT的自我支持Gartner2020年，三分之一成功的針I(yè)T系統(tǒng)和資源。用程序的內(nèi)部人員是如何使用其已獲批準(zhǔn)的應(yīng)用證盜竊、SQL注入、域名系統(tǒng)(DNS)攻擊等方法來(lái)攻擊服務(wù)。在大多數(shù)情況下，可以IP。員工擁有數(shù)據(jù)，而不是公司。還可以利用未來(lái)的數(shù)據(jù)。惡意軟件、僵尸網(wǎng)絡(luò)、加密貨幣挖掘惡意軟件等等都可以破壞云容器，從而使組織數(shù)據(jù)、服務(wù)和安全面臨風(fēng)險(xiǎn)。據(jù)”,48%提到了“惡意軟件的引入”。 web(WAF) frmLacework2018年的研究:22000APISkyhighNetworks2015年第二季度云采納與風(fēng)險(xiǎn)報(bào)告報(bào)告稱(chēng)，“目前企業(yè)平均100%?！?000多個(gè)云服務(wù)中，SkyhighNetworks2015年第二季度的云采CSA5:11:數(shù)據(jù)安全和加密CCMDSIDSI-02:數(shù)據(jù)目錄/數(shù)據(jù)流DSI-04:處理/標(biāo)示/安全策略DSI-06:責(zé)任人/管理者EKMEKM-03:

HRSHRS-03:HRS-07:角色/HRS-08:HRS-09:培訓(xùn)/HRS-10:GRM ?2020?2020云安全聯(lián)盟-?1.22KOpen,VulnerableContainersFoundExposedonthe???2.FiveWaysShadowITinthecloudhurtsyour??3.CloudAdoptionandRisk4.??????軟件即服務(wù)?平臺(tái)即服務(wù)?基礎(chǔ)設(shè)施即服務(wù)啟動(dòng)DDoS解決云服務(wù)濫用的辦法包含云服務(wù)提供商檢應(yīng)的管控措施允許客戶(hù)來(lái)監(jiān)控其云負(fù)載及文件共并且有辦法來(lái)處理這些新型攻擊方式。這可以包含對(duì)云上基礎(chǔ)架構(gòu)或云資源AP調(diào)用進(jìn)行安全監(jiān)控。勒索軟件Locky的變種Zepto病毒利用微軟OneDriveGoogleDrive以及