云计算的顶级威胁深度分析

发布于:2021-11-07 12:24:47

云计算的顶级威胁 深度分析 “危险的12大威胁:云计算的顶级威胁”案例研究分析以及相关的安 全行业违规分析 1 前言 案例研究创世纪项目 20 12 年, 云安全联盟(C S A ) 进行了一项调查, 帮助阐明了云计算最重要和最紧迫的问题。当时, 云是一 个相对较新的概念, 通过提供有价值的行业洞察力, 这一内容填补了一个巨大的空白。 CS A 从第一次调查中衍生出最初的“ 顶级威胁” (T op Th rea ts ) , 并成为本案例研究的基础。然而, 安 全专家承认, “ 众所周知的9 大威胁” 和“ 十二大威胁” 只提供了整体全景威胁的一小部分。其他需要考虑的 因素包括参与者、风险、漏洞和影响等内容。 为了解决这些缺失的因素, 云安全联盟顶级威胁工作组决定下一份发布的文档应该表述更多涉及架构、合规 性、风险和缓解的技术细节。因此, 创建了这个文档。 这个案例研究收集了在顶级威胁( (T o p Th r e a t s )) 文件中确定的经典案例和案例研究的局限性, 增加了更多的细节和行动信息。理想情况下, 这些数据顶级威胁( (T op Th reats )) 确定了在更高的安全 分析层面, 提供一个清晰的理解, 即如何在应用真实的场景中应用经验教训和概念。 顶级威胁工作组最*的贡献 “ 20 1 7 年顶级威胁” 文档中引用了最*的“ 十二大威胁” 调查结果中发现的多个问题的例子。而这些经 典案例可以让网络安全 经理更好地与高管和同 行进行沟通( 并提供与技术人员讨论的内容) , 从安全分 析的角度来看, 它们并没有提供关于所有东西如何组合在一起的详细信息。 您将发现的内容 本 案 例 试 图 通 过 引 用 顶 级 威 胁 ( To p Th r ea ts ) 中引用9 个经典案例来连接安全分析的所有要 求的基础, 这九个案例的每一个都以参考图表(1 ) 和详细叙述(2 ) 的形式进行说明。参考图表的格 式攻击者风险的概要信息, 从威胁和漏洞到结束控制和缓解。我们鼓励架构师和工程师使用这些信息 作为他们自己分析和比较的起点。 较 长 的 叙 述 提 供 了 额 外 的 案 例 的 上 下 文 ( 例如, 事件是如何发生的, 或者应该如何处理) 。对 于那些没有公开讨论影响或缓解等细节的情况, 我们推断了应该包括预期的结果和可能性。 我们希望您认为这项工作是有用的, 欢迎您对即将出版的出版物提供任何反馈和/ 或参与。帮 序言 云计算正在以前所未有的速度改变组织的业务模式, 云服务模型的开发比以往任何时候都能更 有效地支持业务, 但同时也带来新的安全挑战。在CS A 之前所发布的报告中指出, 云服务与生俱来的 特质决定了其能够使用户绕过整个组织的安全政策, 并在影子IT 项目中建立自己的账户。因此, 组织必须采取新的管制措施。 20 18 年月, CS A 正式发布《To p Th reats to Cl oud co mputing : De ep di ve 》最新版研究报 告。该报告全面深度解析了云计算领域的顶级威胁, 为了让企业更深刻理解云安全问题, 以便他们能 够采用策略做出明智的决策。报告试图通过使用顶级威胁中引用的九个案例作为其基础来连接安全 性分析 的所有点。九个例子中 的每一个都以参考图表 和详细叙述的形式呈现 。参考图表的格式 提供 了威胁主题的攻击式概要, 从威胁和漏洞到最终控制和缓解。我们鼓励工程师将这些信息作为他们自 己分析和比较的起点。中国云安全与新兴技术安全创新联盟( 简称: 中国云安全联盟) 特组织业界 专家将该报告翻译为中文版本, 相信一定会有助于更多的中国企业从中得到启发。 助你在未来成功。 LINKEDIN MONGODB DIRTY COW ZYNG A NE T YAHOO! ZEPTO DYNDNS CLOUDBLEED TOP THREATS ITEM # LINKEDIN MONGOD DIRTY COW ZYNG NET TRAVELER YAHOO! ZEPTO DYNDN S CLOUDBLEED 案例研究的顶级威胁报道 TT 1 TT 2 TT 3 TT 4 TT 5 TT 6 TT 7 TT 8 TT 9 TT 10 TT 11 TT 12 案例研究与每一个顶级威胁的对应表 推荐云控制矩阵案例研究的领域 CCM CONTROL DOMAIN LINKEDIN MONGODB DIRTY COW ZYNG A NE T YAHOO! ZEPTO DYNDNS CLOUDBLEED 分析 缓 解和控制 适用于 9 个案例研究覆盖13 个16 云控制矩阵(C C M ) 域。数据中心服务 (DCS ) 和互操作性和可移植性( IPY ) 控制主要涉及云上的数据中心操作。服务提供商的设施, 不符合用于云计算的案例研究或“ 顶部威胁” , 移动安全( M O S ) 控制是用于移动端点保护的, 也包括企业中常用的安全措施环境。供应链管理、透明度和问责制(S T A ) 控制也未被提及。 案例研究CCM控制覆盖 上表中的行是根据CS A CC M 管理域进行各案例研究中的缓解行为相关。 威胁和漏洞管理(TV M ) , 特别是漏洞/ 补丁管理(TV M -02 ) , 将有助于发现这些事件中所利用 的许多漏洞。 人力资源安全(H R S ) — — 特别是安全培训— — 在9 个案例研究中有6 个被确定为可能的缓解措施, 安全事件管理、电子发现和云取证(S EF ) 也是如此。基于这些结果, 我们可以得出这样的结论: 对攻 击后果的规划和执行对于成功处理三分之二的事件就至关重要的。此外, 身份和访问管理(I AM ) 控制被 认为是对半数以上事件的相关缓解措施。 LinkedIn (密码*2012) 威胁主体 跳过基本标准 威胁 拒绝服务 数据泄露用户凭证 数据用户泄露凭证 不充分的身份、凭据和 访问管理 控

相关推荐

最新更新

猜你喜欢