云工作負(fù)載、供應(yīng)鏈、邊緣計算、物聯(lián)網(wǎng)（IoT）以及區(qū)塊鏈等新技術(shù)的流行和應(yīng)用改變了云計算應(yīng)用的安全格局。為了提高對云中威脅、漏洞和風(fēng)險的認(rèn)知，國際云安全聯(lián)盟（CSA）不久前就當(dāng)前云計算領(lǐng)域的應(yīng)用安全問題展開研究，對700余名云計算技術(shù)行業(yè)專家進行了調(diào)研，并編寫發(fā)布《云計算頂級威脅報告》。報告認(rèn)為，以下11個方面的安全挑戰(zhàn)正在成為阻礙云計算應(yīng)用的關(guān)鍵性威脅。

　　威脅1

　　身份、憑據(jù)、訪問權(quán)限

　　和密鑰管理不善

　　身份、憑據(jù)、訪問管理系統(tǒng)中一般包含了允許組織管理、監(jiān)控和保護用戶對關(guān)鍵資源進行訪問的各類工具和策略，這些關(guān)鍵資源可能包括電子文件、計算機系統(tǒng)和物理資源，例如服務(wù)器機房或建筑物等。在此過程中，適當(dāng)?shù)鼐S護和持續(xù)監(jiān)控身份、憑據(jù)、訪問管理系統(tǒng)至關(guān)重要。在身份和訪問管理（IAM）中使用風(fēng)險評分可增強安全態(tài)勢。使用清晰的風(fēng)險分配模型、持續(xù)的監(jiān)控以及適當(dāng)?shù)男袨楦綦x和細(xì)分有助于交叉檢查（cross-check）IAM系統(tǒng)。

　　業(yè)務(wù)影響

　　如果身份、憑據(jù)、訪問權(quán)限和密鑰管理不善，可能會造成如下負(fù)面后果：

　　? 業(yè)務(wù)系統(tǒng)訪問缺乏合規(guī)性，員工對網(wǎng)絡(luò)安全性漠不關(guān)心；

　　? 關(guān)鍵業(yè)務(wù)數(shù)據(jù)被替換或損壞，未經(jīng)授權(quán)或惡意用戶的數(shù)據(jù)滲漏難以發(fā)現(xiàn)；

　　? 喪失用戶信任和業(yè)務(wù)營收；

　　? 因嚴(yán)重安全事件響應(yīng)和取證而產(chǎn)生額外的財務(wù)費用；

　　? 勒索軟件攻擊和供應(yīng)鏈中斷。

　　安全事件

　　2019年1月- 7月，Capital One銀行發(fā)生大規(guī)模數(shù)據(jù)泄露事件，該事件的誘因是Capital One在其AWS賬戶中的服務(wù)器執(zhí)行任意用戶發(fā)起請求。攻擊者可以借助放置在公網(wǎng)上的服務(wù)器非法訪問內(nèi)網(wǎng)中的服務(wù)器，進而造成命令執(zhí)行、數(shù)據(jù)泄露等危害。

　　防護要點

　　? 使用多因素身份驗證；

　　? 對云用戶和身份使用嚴(yán)格的訪問控制，特別是限制root賬戶的使用；

　　? 根據(jù)業(yè)務(wù)需求和最小特權(quán)原則隔離和細(xì)分賬戶；

　　? 采用程序化、集中式方法輪換密鑰；

　　? 及時刪除未使用的憑據(jù)和訪問特權(quán)。

　　威脅2

　　不安全的接口和API

　　組織為了給第三方開發(fā)人員和客戶提供更好的數(shù)字體驗，正在加速采用API。但隨著API日趨普及，保護這些接口的安全性也變得至關(guān)重要。必須檢查API和微服務(wù)是否存在由于錯誤配置、不良編碼實踐、缺乏身份驗證和不當(dāng)授權(quán)而導(dǎo)致的漏洞。這些漏洞可能會使接口易受攻擊。

　　API和其他接口的錯誤配置是安全事件和數(shù)據(jù)泄露的主要原因，常見的問題有：未經(jīng)身份驗證的端點；弱認(rèn)證；權(quán)限過大；禁用標(biāo)準(zhǔn)安全控制；系統(tǒng)未打補??；邏輯設(shè)計問題；禁用日志記錄或監(jiān)控等。這些問題可能會導(dǎo)致資源滲漏、刪除或修改，數(shù)據(jù)調(diào)整或服務(wù)中斷等。

　　業(yè)務(wù)影響

　　API和不安全接口對業(yè)務(wù)的影響主要是敏感或私有數(shù)據(jù)意外暴露，此類風(fēng)險的嚴(yán)重程度取決于API使用方式以及檢測和緩解漏洞的速度。

　　安全事件

　　2021年5月5日，居家健身品牌Peloton曝出API漏洞，不健全的用戶身份驗證和對象級授權(quán)會通過API暴露Peloton客戶個人身份信息（PII）。這些數(shù)據(jù)包括詳細(xì)的用戶年齡、性別、城市、體重、鍛煉統(tǒng)計數(shù)據(jù)，甚至可揭示用戶在個人資料設(shè)置頁面中設(shè)為私密的生日等信息。

　　防護要點

　　? 跟蹤、配置和保護與API相關(guān)的攻擊面；

　　? 更新傳統(tǒng)的控制和變更管理策略及方法，以跟上基于云的API增長和變化趨勢；

　　? 企業(yè)應(yīng)采用自動化技術(shù)，持續(xù)監(jiān)控異常API流量并近乎實時地修復(fù)漏洞；

　　? 考慮采用開放的API框架，例如開放云計算接口（OCCI）或云基礎(chǔ)架構(gòu)管理接口（CIMI）。

　　威脅3

　　錯誤配置和變更控制不足

　　錯誤配置是指計算資產(chǎn)的不正確或不合理設(shè)置，使它們易受意外損壞或惡意活動的影響。常見的錯誤配置包括：不安全的數(shù)據(jù)存儲元素或容器；過多的權(quán)限；保持默認(rèn)憑據(jù)和配置設(shè)置不變；禁用標(biāo)準(zhǔn)安全控制；系統(tǒng)未打補丁；禁用日志記錄或監(jiān)控；不受限制地訪問端口和服務(wù)；不安全地管理秘密；配置不當(dāng)或缺乏配置驗證。云資源配置錯誤是數(shù)據(jù)泄露的主要原因，可能導(dǎo)致資源刪除或修改以及服務(wù)中斷。

　　云環(huán)境中的不當(dāng)變更控制可能會導(dǎo)致錯誤配置，并阻礙錯誤配置的修復(fù)。云環(huán)境和云計算方法與傳統(tǒng)信息技術(shù)（IT）的不同之處在于它使更改更難以控制。傳統(tǒng)的變更流程涉及多個角色和許可，因此需要數(shù)天或數(shù)周才能投入使用。云計算依靠自動化、角色擴展和訪問來支持快速變更，這使得其很難控制變更。此外，使用多個云提供商會增加復(fù)雜性，每個提供商的獨特功能幾乎每天都在增強和擴展。這種動態(tài)環(huán)境需要一種敏捷和主動的變更控制和修復(fù)方法。

　　業(yè)務(wù)影響

　　錯誤配置和變更控制不足造成的影響主要包括：

　　? 數(shù)據(jù)披露影響保密性；

　　? 數(shù)據(jù)丟失影響可用性；

　　? 數(shù)據(jù)破壞影響完整性；

　　? 系統(tǒng)性能影響運營效率；

　　? 系統(tǒng)中斷影響運營可持續(xù)性；

　　? 勒索贖金會造成財務(wù)影響；

　　? 違規(guī)和罰款造成合規(guī)和財務(wù)影響；

　　? 收入損失；

　　? 股價下跌；

　　? 公司聲譽影響。

　　安全事件

　　2021年1月7日，微軟公司錯誤配置了Microsoft Azure Blob（云）存儲桶，該存儲桶存放了大量第三方數(shù)據(jù)，希望與微軟合作的100多個企業(yè)“宣傳片”和源代碼被公開披露。

　　防護要點

　　? 企業(yè)需要采用持續(xù)掃描配置錯誤資源的可用技術(shù)，以便實時修復(fù)漏洞；

　　? 變更管理方法必須能夠反映業(yè)務(wù)轉(zhuǎn)型和安全挑戰(zhàn)的動態(tài)性質(zhì)，以確保使用實時自動驗證正確批準(zhǔn)變更。

　　威脅4

　　缺乏云安全架構(gòu)和策略

　　云安全策略和架構(gòu)包括對云部署模型、云服務(wù)模型、云服務(wù)提供商（CSP）、服務(wù)區(qū)域可用區(qū)、特定云服務(wù)和一般原則的考慮和選擇。此外，IAM的前瞻性設(shè)計、跨不同云帳戶、供應(yīng)商、服務(wù)和環(huán)境的網(wǎng)絡(luò)和安全控制也在范圍內(nèi)。對戰(zhàn)略的考慮應(yīng)先于架構(gòu)規(guī)劃并指導(dǎo)架構(gòu)設(shè)計，但云挑戰(zhàn)通常需要增量和敏捷的規(guī)劃方法。如果云計算要成功且安全，則不能忽視安全考慮和風(fēng)險。行業(yè)違規(guī)事件表明，缺乏這樣的規(guī)劃可能會導(dǎo)致云環(huán)境和應(yīng)用程序無法（或無法有效地）抵御網(wǎng)絡(luò)攻擊。

　　業(yè)務(wù)影響

　　缺乏云安全策略和架構(gòu)會限制高效的企業(yè)和基礎(chǔ)設(shè)施安全架構(gòu)實施的可行性。如果沒有這些安全/合規(guī)目標(biāo)，云計算將無法取得成功，甚至還會導(dǎo)致因違規(guī)而被罰款和其他處罰，或者由于實施不當(dāng)?shù)闹貥?gòu)和遷移而產(chǎn)生巨額成本。

　　安全事件

　　2021年1月，沃爾瑪旗下的美國服裝店Bonobos遭遇大規(guī)模數(shù)據(jù)泄露，暴露了數(shù)百萬客戶的個人信息，其中包括客戶地址、電話號碼、部分信用卡號碼和網(wǎng)站上的訂單。發(fā)生這種情況的原因是托管備份文件的外部云備份服務(wù)遭到破壞。

　　防護要點

　　? 企業(yè)應(yīng)在云服務(wù)和基礎(chǔ)架構(gòu)設(shè)計和決策中考慮業(yè)務(wù)目標(biāo)、風(fēng)險、安全威脅和法律合規(guī)性；

　　? 鑒于云環(huán)境快速變化的步伐和有限的集中控制，遵循云服務(wù)和基礎(chǔ)架構(gòu)安全設(shè)計原則對于開發(fā)更為重要；

　　? 將盡職調(diào)查和第三方供應(yīng)商安全評估視為基本實踐，并與威脅建模、安全設(shè)計和集成相輔相成。

　　威脅5

　　不安全的軟件開發(fā)

　　軟件系統(tǒng)很復(fù)雜，而云技術(shù)往往又會增加這種復(fù)雜性，這會增加漏洞利用和錯誤配置的可能性。雖然開發(fā)人員本意并不是為了開發(fā)不安全的軟件，但主要軟件供應(yīng)商每月都會發(fā)布補丁，以修復(fù)影響系統(tǒng)機密性、完整性和/或可用性的代碼錯誤。雖然并非所有軟件錯誤都具有安全隱患，但正如歷史所證明的那樣，即使是不起眼的失誤也可能成為重大威脅。

　　業(yè)務(wù)影響

　　不安全的軟件開發(fā)可能造成的影響包括：

　　? 客戶對產(chǎn)品或解決方案失去信心；

　　? 數(shù)據(jù)泄露導(dǎo)致品牌聲譽受損；

　　? 訴訟造成的法律和財務(wù)影響。

　　安全事件

　　2021年9月13日，研究人員發(fā)現(xiàn)AppleiOS被NSO的Pegasus軟件利用，涉及允許遠(yuǎn)程執(zhí)行代碼的零點擊漏洞。

　　防護要點

　　? 使用云技術(shù)讓開發(fā)人員能夠?qū)Ｗ⒂跇I(yè)務(wù)特有的問題；

　　? 通過利用共享責(zé)任模型，可以將修復(fù)等項目歸云服務(wù)提供商（CSP）而非企業(yè)所有；

　　? CSP重視安全性，并將就如何以安全方式實施服務(wù)提供指導(dǎo)，例如AWS Well-Architected Framework或安全設(shè)計模式。

　　威脅6

　　不安全的供應(yīng)鏈系統(tǒng)

　　在云計算采用率迅速增長的現(xiàn)實中，第三方資源可能意味著不同的事物：從開源代碼到SaaS產(chǎn)品和API風(fēng)險，一直到云供應(yīng)商提供的托管服務(wù)。來自第三方資源的風(fēng)險也被視為“供應(yīng)鏈漏洞”，因為它們是企業(yè)交付產(chǎn)品或服務(wù)過程的一部分。近年來，隨著對第三方供應(yīng)鏈服務(wù)的依賴日益增加，網(wǎng)絡(luò)犯罪分子利用這些漏洞的情況越來越多。研究顯示，2/3的違規(guī)行為由供應(yīng)商或第三方漏洞造成。

　　業(yè)務(wù)影響

　　不安全的供應(yīng)鏈系統(tǒng)可能其造成的影響主要有：

　　? 云上關(guān)鍵業(yè)務(wù)流程的丟失或中斷；

　　? 云業(yè)務(wù)數(shù)據(jù)遭到外部用戶訪問；

　　? 修補或修復(fù)安全問題取決于提供商及其響應(yīng)速度，同時需要不斷更新內(nèi)部應(yīng)用程序和產(chǎn)品。這對業(yè)務(wù)的影響可能至關(guān)重要，具體取決于易受攻擊的組件對應(yīng)用程序的重要性。

　　安全事件

　　2019年5月至2021年8月，大眾汽車集團的北美子公司遭遇由供應(yīng)商造成的數(shù)據(jù)泄露事件，該供應(yīng)商在2019年5月至2021年8月期間將存儲服務(wù)置于未受保護的狀態(tài)。此事件涉及330萬客戶，泄露數(shù)據(jù)包括個人身份信息（PII）以及對某些客戶而言更為敏感的財務(wù)數(shù)據(jù)。

　　防護要點

　　? 雖然企業(yè)無法防止并非由自己創(chuàng)建的代碼或產(chǎn)品中的漏洞，但可以嘗試就使用哪種產(chǎn)品做出正確的決策，例如：尋找官方支持的產(chǎn)品，以及那些擁有合規(guī)認(rèn)證、漏洞賞金計劃并提供安全公告和快速修復(fù)程序的企業(yè)；

　　? 識別并跟蹤企業(yè)正在使用的第三方，這包括開源、SaaS產(chǎn)品、云提供商和托管服務(wù)，以及可能已添加到應(yīng)用程序中的其他集成；

　　? 定期審查第三方資源。如果發(fā)現(xiàn)不需要的產(chǎn)品，請將其刪除并撤銷可能已授予它們的權(quán)限（如進入代碼存儲庫、基礎(chǔ)架構(gòu)或應(yīng)用程序的任何訪問權(quán)限）；

　　? 不要成為薄弱環(huán)節(jié)。在適用范圍內(nèi)對企業(yè)應(yīng)用程序進行滲透測試、向開發(fā)人員介紹安全編碼實踐，并使用靜態(tài)應(yīng)用程序安全測試（SAST）和動態(tài)應(yīng)用程序安全測試（DAST）解決方案。

　　威脅7

　　系統(tǒng)漏洞

　　系統(tǒng)漏洞也是目前云服務(wù)平臺中普遍存在的缺陷。攻擊者可能會利用它們來破壞數(shù)據(jù)的機密性、完整性和可用性，從而破壞服務(wù)運營。值得注意的是，所有組件都可能包含使云服務(wù)易受攻擊的漏洞。這些系統(tǒng)漏洞主要有四類：

　　? 零日漏洞——新發(fā)現(xiàn)的還未開發(fā)出補丁的漏洞。黑客會迅速利用這些漏洞，因為在部署補丁之前沒有任何東西可以阻止它們。之前發(fā)現(xiàn)的Log4Shell就是一個典型的零日漏洞示例。

　　? 缺少安全補丁——隨著未修補漏洞數(shù)量的增加，整體系統(tǒng)安全風(fēng)險也在增加，因此，一旦發(fā)現(xiàn)有已知關(guān)鍵漏洞的補丁可用，盡快部署它們可以減少系統(tǒng)的攻擊面。

　　? 基于配置的漏洞——當(dāng)系統(tǒng)使用默認(rèn)或錯誤配置的設(shè)置部署時，就會出現(xiàn)這種漏洞?；谂渲玫穆┒词纠ㄊ褂眠z留安全協(xié)議、弱加密密碼、弱權(quán)限和保護不善的系統(tǒng)管理界面。此外，在系統(tǒng)上運行不必要的服務(wù)是另一個與配置相關(guān)的問題。

　　? 弱驗證或默認(rèn)憑據(jù)——缺乏強身份驗證憑據(jù)使?jié)撛诘墓粽呖梢暂p松訪問系統(tǒng)資源和相關(guān)數(shù)據(jù)。同樣地，未安全存儲的密碼可能會被黑客竊取并用于侵入系統(tǒng)。

　　業(yè)務(wù)影響

　　云計算系統(tǒng)漏洞可能對業(yè)務(wù)造成的影響有：

　　? 許多數(shù)據(jù)泄露都是由系統(tǒng)漏洞造成的；

　　? 當(dāng)發(fā)生數(shù)據(jù)泄露時，企業(yè)業(yè)務(wù)可能會中斷，從而影響客戶使用企業(yè)服務(wù)；

　　? 處理數(shù)據(jù)泄露等問題而產(chǎn)生額外的技術(shù)性成本。

　　安全事件

　　2021年12月，Log4Shell（CVE-2021-45046）遠(yuǎn)程代碼漏洞爆發(fā)，影響了基于Java的Log4j日志記錄工具2.0beta9-2.14.1版本。鑒于Java在云系統(tǒng)中的廣泛使用，Log4Shell成為一個嚴(yán)重威脅。攻擊者可以通過向易受攻擊的系統(tǒng)提交惡意請求來利用Log4Shell，該請求會導(dǎo)致系統(tǒng)執(zhí)行任意代碼，從而使攻擊者能夠竊取信息、啟動勒索軟件或接管系統(tǒng)的控制權(quán)。

　　防護要點

　　? 系統(tǒng)漏洞是系統(tǒng)組件中的缺陷，通常由人為錯誤引入，使黑客更容易攻擊企業(yè)的云服務(wù)，因此強化“人”的因素至關(guān)重要，企業(yè)可以定期開展安全培訓(xùn)和教育；

　　? 通過常規(guī)漏洞檢測和補丁部署以及嚴(yán)格的IAM實踐，可以大大降低系統(tǒng)漏洞導(dǎo)致的安全風(fēng)險。

　　威脅8

　　云計算數(shù)據(jù)的意外泄露

　　云服務(wù)使企業(yè)能夠以前所未有的速度構(gòu)建、創(chuàng)新和擴展。然而，云的復(fù)雜性和向云服務(wù)所有權(quán)的轉(zhuǎn)變，通常會導(dǎo)致缺乏安全治理和控制。不同CSP中云資源配置數(shù)量的增加使錯誤配置更加普遍，云庫存缺乏透明度和網(wǎng)絡(luò)可視性可能會導(dǎo)致數(shù)據(jù)意外泄露。

　　業(yè)務(wù)影響

　　意外的數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有：

　　? 這些數(shù)據(jù)中可能包含敏感的客戶數(shù)據(jù)、員工信息、產(chǎn)品數(shù)據(jù)等。暴露此類數(shù)據(jù)會導(dǎo)致意外費用，如取證團隊、客戶支持流程產(chǎn)生的費用以及受影響客戶的賠償；

　　? 數(shù)據(jù)泄露還會產(chǎn)生很多額外的間接成本，例如內(nèi)部調(diào)查和溝通、當(dāng)前客戶流失以及由于信譽受損而導(dǎo)致的潛在客戶流失等。

　　安全事件

　　2021年1月，VIP游戲公司因云配置錯誤暴露了超過6萬用戶的2300萬條記錄，其中包含電子郵件、用戶名、社交問題、網(wǎng)絡(luò)ID和網(wǎng)絡(luò)上的玩家數(shù)據(jù)。

　　防護重點

　　? 基于配置的解決方案在提供必要的可見性方面有限，并且無法檢查或掃描工作負(fù)載，因此有必要查看托管服務(wù)的PaaS數(shù)據(jù)庫、存儲和計算工作負(fù)載，包括虛擬機、容器和安裝在其上的數(shù)據(jù)庫軟件；

　　? 選擇對企業(yè)云環(huán)境具有完全可見性的引擎，以識別允許將流量暴露在外部的任何路由或網(wǎng)絡(luò)服務(wù)，包括負(fù)載均衡器、應(yīng)用程序負(fù)載均衡器、內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）、網(wǎng)絡(luò)對等互連、云防火墻、Kubernetes網(wǎng)絡(luò)等；

　　? 確保數(shù)據(jù)庫實施最低權(quán)限的IAM策略，并通過控制和監(jiān)控該策略的分配來減少訪問風(fēng)險。

　　威脅9

　　云工作負(fù)載的錯誤配置和利用

　　管理和擴展云基礎(chǔ)架構(gòu)及安全控制以運行應(yīng)用程序仍然是云計算開發(fā)團隊的重大挑戰(zhàn)。無服務(wù)器和云原生容器化工作負(fù)載似乎是解決這個問題的靈丹妙藥——將責(zé)任轉(zhuǎn)移給云服務(wù)提供商。不過與將虛擬機遷移到云相比，它們需要更高級別的云和應(yīng)用程序安全成熟度。

　　在無服務(wù)器模型中，CSP負(fù)責(zé)底層基礎(chǔ)架構(gòu)的安全和管理。除了開發(fā)和運營方面的優(yōu)勢之外，這還減少了攻擊面，因為默認(rèn)情況下CSP在短期容器中運行功能代碼。不斷刷新的系統(tǒng)顯著限制了攻擊事件的持久性。但是，如果CSP允許客戶配置具有更長生命周期和“熱啟動”（warm start）配置的無服務(wù)器容器，則環(huán)境會變得不那么安全。其他風(fēng)險包括臨時文件系統(tǒng)和共享內(nèi)存，這也可能泄漏敏感信息。

　　缺乏對基礎(chǔ)設(shè)施的控制，也妨礙了應(yīng)用程序安全問題的緩解和傳統(tǒng)安全工具可見性的實現(xiàn)。企業(yè)需要圍繞云環(huán)境、應(yīng)用程序、可視化、訪問控制和機密管理建立強大的安全性，以減少攻擊半徑。

　　業(yè)務(wù)影響

　　無服務(wù)器和容器化工作負(fù)載可以顯著提高云計算應(yīng)用的敏捷性、降低成本、簡化操作，甚至提高安全性。但在缺乏必要專業(yè)知識和盡職調(diào)查的情況下，使用這些技術(shù)實施的應(yīng)用程序配置可能會導(dǎo)致重大違規(guī)、數(shù)據(jù)丟失甚至業(yè)務(wù)現(xiàn)金流枯竭。

　　安全事件

　　2021年以來，圍繞拒絕錢包（Denial of Wallet，DOW）攻擊的云安全事件越來越多。DoW攻擊與傳統(tǒng)的拒絕服務(wù)（DoS）攻擊類似，兩者都旨在引起破壞。但是，DoW攻擊專門針對無服務(wù)器用戶。這種攻擊利用了以下事實：無服務(wù)器供應(yīng)商根據(jù)應(yīng)用程序消耗的資源量向用戶收費，這意味著，如果攻擊者向網(wǎng)站充斥流量，則網(wǎng)站所有者可能會承擔(dān)巨額賬單。

　　防護要點

　　? 企業(yè)應(yīng)通過云安全態(tài)勢管理（CSPM）、云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）和云工作負(fù)載保護平臺（CWPP）實施自動檢查；

　　? 企業(yè)應(yīng)投資于云安全培訓(xùn)、治理流程和可重用的安全云架構(gòu)模式，以降低不安全的云配置風(fēng)險和頻率；

　　? 開發(fā)團隊在遷移至無服務(wù)器技術(shù)之前，應(yīng)更加嚴(yán)格地遵循安全相關(guān)的最佳實踐。

　　威脅10

　　有組織的犯罪團伙和APT攻擊

　　有組織的犯罪團伙旨在描述一個犯罪團伙的組織級別。高級持續(xù)性威脅（APT）是一個廣義術(shù)語，用于描述入侵者或入侵團隊在網(wǎng)絡(luò)上長期開展非法活動，以挖掘高度敏感的數(shù)據(jù)。APT已經(jīng)建立了復(fù)雜的戰(zhàn)術(shù)、技術(shù)和協(xié)議（TTP）來滲透其目標(biāo)。他們經(jīng)常在目標(biāo)網(wǎng)絡(luò)中潛伏數(shù)月不被發(fā)現(xiàn)，并能夠在網(wǎng)絡(luò)中橫向移動以訪問高度敏感的業(yè)務(wù)數(shù)據(jù)或資產(chǎn)。

　　業(yè)務(wù)影響

　　? APT組織的動機各不相同。有些是出于政治動機（即黑客活動主義者），而另一些則是有組織的犯罪集團的一部分，甚至還有一些團體是國家行為體黑客組織；

　　? 要了解APT組織可能對企業(yè)產(chǎn)生的業(yè)務(wù)影響，企業(yè)必須對其信息資產(chǎn)進行業(yè)務(wù)影響分析。這使企業(yè)能夠了解APT組織如何以及為什么可能以其為目標(biāo)，以及潛在安全漏洞的潛在業(yè)務(wù)影響可能是什么。

　　安全事件

　　2016年2月，Lazarus group（APT38）幾乎徹底搶劫了孟加拉國的國家銀行；2022年1月，LAPSUS$入侵了Nvidia的內(nèi)部網(wǎng)絡(luò)并竊取了機密數(shù)據(jù)。該組織沒有向Nvidia勒索數(shù)據(jù)，而是要求釋放對用于加密挖掘的圖形處理單元的限制。

　　防護要點

　　? 對企業(yè)進行業(yè)務(wù)影響分析，以了解企業(yè)信息資產(chǎn)；

　　? 參加網(wǎng)絡(luò)安全信息共享小組，以了解任何相關(guān)的APT組織及其TTP（Tactics、Techniques和Procedures，即戰(zhàn)術(shù)、技術(shù)和過程）；

　　? 進行攻擊性安全演習(xí)以模擬這些APT組織的TTP，并調(diào)整安全監(jiān)控工具以進行檢測。

　　威脅11

　　不安全的云上數(shù)據(jù)存儲

　　云存儲數(shù)據(jù)發(fā)生泄露是涉及敏感、受保護或機密信息的嚴(yán)重安全事件。這些數(shù)據(jù)可能會被企業(yè)之外的個人發(fā)布、查看、竊取或使用。云存儲數(shù)據(jù)是有針對性攻擊的最主要目標(biāo)之一，并且可能是由漏洞利用、配置錯誤、應(yīng)用程序漏洞或糟糕的安全實踐造成的。這類數(shù)據(jù)泄露可能涉及不打算公開發(fā)布的任何信息類型，例如個人健康信息、財務(wù)信息、個人身份信息、商業(yè)機密和知識產(chǎn)權(quán)等。

　　業(yè)務(wù)影響

　　云存儲數(shù)據(jù)泄露可能造成的業(yè)務(wù)影響有：

　　? 知識產(chǎn)權(quán)丟失，被用于其它產(chǎn)品開發(fā)、戰(zhàn)略計劃，甚至發(fā)動未來攻擊；

　　? 失去客戶、利益相關(guān)者、合作伙伴和員工的信任，可能會抑制商業(yè)行為、投資和購買，并降低員工在企業(yè)工作的意愿；

　　? 監(jiān)管更嚴(yán)格，包括財務(wù)罰款或流程和業(yè)務(wù)變更等；

　　? 地緣政治因素會影響商業(yè)行為。

　　安全事件

　　2021年6月，因發(fā)生重大用戶數(shù)據(jù)泄露事件，F(xiàn)acebook在歐洲受到起訴，但該事件直到在暗網(wǎng)論壇上發(fā)現(xiàn)其有超過5.33億個賬戶信息可供免費下載后才被曝光。

　　防護要點

　　? 云存儲需要配置良好的環(huán)境（SSPM、CSPM）；

　　? 應(yīng)用CSP最佳實踐指南、監(jiān)控和檢測功能，以檢測和防止攻擊及數(shù)據(jù)泄露；

　　? 需要對員工進行云存儲使用安全意識培訓(xùn)，因為數(shù)據(jù)分散在不同的位置并由不同的角色控制；

　　? 在適當(dāng)?shù)那闆r下實施客戶端加密；

　　? 對數(shù)據(jù)進行分類并記錄事件響應(yīng)中所采取的措施。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<