云計(jì)算內(nèi)部威脅風(fēng)險(xiǎn)及緩解措施

責(zé)任編輯:zsheng

2018-09-10 16:27:09

摘自:西部數(shù)碼

安全性通常是計(jì)劃投資基于云的技術(shù)時(shí)最優(yōu)先考慮的問(wèn)題。當(dāng)然,在云環(huán)境中,技術(shù)通常處于企業(yè)的網(wǎng)絡(luò)邊界外部,因此用戶可以利用資源,而不能使用物理機(jī)架、服務(wù)器、電力系統(tǒng)和其他相關(guān)設(shè)備??梢钥隙ǖ囊粋€(gè)重要問(wèn)題是,關(guān)鍵數(shù)據(jù)(如客戶數(shù)據(jù)、醫(yī)療記錄)和知識(shí)產(chǎn)權(quán)不會(huì)受其他客戶系統(tǒng)和數(shù)據(jù)文件的影響。

安全性通常是計(jì)劃投資基于云的技術(shù)時(shí)最優(yōu)先考慮的問(wèn)題。當(dāng)然,在云環(huán)境中,技術(shù)通常處于企業(yè)的網(wǎng)絡(luò)邊界外部,因此用戶可以利用資源,而不能使用物理機(jī)架、服務(wù)器、電力系統(tǒng)和其他相關(guān)設(shè)備??梢钥隙ǖ囊粋€(gè)重要問(wèn)題是,關(guān)鍵數(shù)據(jù)(如客戶數(shù)據(jù)、醫(yī)療記錄)和知識(shí)產(chǎn)權(quán)不會(huì)受其他客戶系統(tǒng)和數(shù)據(jù)文件的影響。本文中,我們將研究企業(yè)云環(huán)境的另一個(gè)安全性問(wèn)題:內(nèi)部威脅。我們將探討基于云的關(guān)鍵資源的蓄意攻擊和意外破壞。

探討云計(jì)算的內(nèi)部威脅

調(diào)查內(nèi)部威脅主要的問(wèn)題時(shí),攻擊者已經(jīng)存在于內(nèi)部。從本文目的出發(fā),我們假設(shè)“內(nèi)部人士”為云服務(wù)廠商工作,并且有一個(gè)或多個(gè)客戶端環(huán)境。內(nèi)部人士可以協(xié)調(diào)客戶信息的保密性、完整性和可用性。

蓄意攻擊的類型包括信息竊取、數(shù)據(jù)破壞或者數(shù)據(jù)毀滅、服務(wù)于特定客戶的系統(tǒng)受到損害、用戶使用的軟件和服務(wù)遭到損害、破壞和欺詐。盡管很難想象無(wú)意的云計(jì)算內(nèi)部威脅,但是由于錯(cuò)誤的指令,這種威脅經(jīng)常發(fā)生,從而對(duì)客戶系統(tǒng)、服務(wù)和數(shù)據(jù)產(chǎn)生負(fù)面影響。然而,也可能是由于缺乏管理客戶系統(tǒng)、服務(wù)和數(shù)據(jù)的培訓(xùn)。例如,一個(gè)操作員或者技術(shù)人員可能會(huì)收到特殊服務(wù)的命令,或者可能是更新特定服務(wù)的命令,并且,由于缺乏特殊活動(dòng)的培訓(xùn),就會(huì)輸入錯(cuò)誤的數(shù)據(jù)。一個(gè)數(shù)據(jù)庫(kù)管理員可能意外地訪問(wèn)了錯(cuò)誤的客戶數(shù)據(jù)庫(kù),輸入錯(cuò)誤的命令,以至于損壞了整個(gè)數(shù)據(jù)庫(kù)。

云計(jì)算內(nèi)部威脅:研究風(fēng)險(xiǎn)及風(fēng)險(xiǎn)的緩解措施

事實(shí)上,看似惡意的內(nèi)部活動(dòng)可能是完全偶然的。然而這樣的事件卻引發(fā)了這樣的問(wèn)題:如果有人知道如何安全訪問(wèn)并使用復(fù)雜的基于云的系統(tǒng)和服務(wù),“事故”還會(huì)發(fā)生嗎?

因此,我們要關(guān)注蓄意攻擊,關(guān)注蓄意攻擊的潛在影響以及如何防止或者減輕其影響。假設(shè)犯罪者具有安全許可,對(duì)于一個(gè)企業(yè)來(lái)說(shuō),信息或知識(shí)產(chǎn)權(quán)竊取則是一場(chǎng)噩夢(mèng)。商業(yè)秘密、工程文件、財(cái)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)和許多其他有價(jià)值的資產(chǎn)可以被復(fù)制,并出售給出價(jià)最高的人或者是任何地方的人。這些可能正在悄悄地發(fā)生。

一旦數(shù)據(jù)被破壞或者毀滅,內(nèi)部人士就可以獲取關(guān)鍵的客戶檔案和數(shù)據(jù)庫(kù)并且刪除數(shù)據(jù),引入病毒或蠕蟲(chóng),或者引入邏輯炸彈來(lái)破壞/擦除數(shù)據(jù)。如果這些關(guān)鍵數(shù)據(jù)沒(méi)有備份/或者沒(méi)有復(fù)制到其他位置,那么其損失將會(huì)導(dǎo)致公司破產(chǎn)。

公司如果使用被惡意操縱、更改的基于云的系統(tǒng)和服務(wù),就會(huì)突然發(fā)現(xiàn)他們重要的面向客戶型的應(yīng)用程序出現(xiàn)故障或者不能運(yùn)行。這意味著,他們的客戶可能無(wú)法正常辦理業(yè)務(wù),從而導(dǎo)致訴訟,業(yè)務(wù)和聲譽(yù)遭受損失。重新獲得客戶信任,可能會(huì)很困難,甚至不可能,尤其是如果面向客戶型的系統(tǒng)已經(jīng)嚴(yán)重?fù)p壞。

上述情況可能是一種蓄意行為,正如許多內(nèi)部攻擊?;谠频姆?wù)組織的人員可能對(duì)組織不滿或者對(duì)特定的公司抱有個(gè)人恩怨,而這個(gè)人恰好是云服務(wù)組織的一個(gè)客戶。這個(gè)人具有安全許可,只要他喜歡,他幾乎可以做任何事情,來(lái)慢慢破壞目標(biāo)組織和公司。使用各種技術(shù)來(lái)竊取信息,創(chuàng)建虛假財(cái)務(wù)數(shù)據(jù)或者破壞出現(xiàn)運(yùn)行“中斷”的組織,但總的來(lái)說(shuō),這可能是更大的、更險(xiǎn)惡破壞計(jì)劃的一部分。

最后,像許多其他惡意行為一樣,在云環(huán)境中也經(jīng)常發(fā)生欺詐行為。然而公司內(nèi)部的犯罪者可能只能夠獲取該公司的資源,而在云環(huán)境,犯罪者可以訪問(wèn)許多組織。例如,我們聽(tīng)到的關(guān)于內(nèi)部人士操縱金融系統(tǒng)的事件,比如臭名昭著的興業(yè)銀行欺詐事件,導(dǎo)致數(shù)百萬(wàn)損失,不然的話就會(huì)使組織受害,導(dǎo)致數(shù)十億美元的損失。在云環(huán)境中,犯罪者可以安全訪問(wèn)多個(gè)客戶系統(tǒng)和數(shù)據(jù),并且只會(huì)受到他或她的計(jì)算機(jī)技能的限制。

防止內(nèi)部威脅:需要詢問(wèn)的問(wèn)題

一個(gè)惡意的內(nèi)部人士可能是一個(gè)系統(tǒng)的管理員或者其他技術(shù)人才。這樣的人進(jìn)行的非法攻擊可能被稱為“流氓”管理員或技術(shù)人員。計(jì)劃使用基于云資源的組織,必須積極評(píng)估云服務(wù)廠商的安全態(tài)勢(shì)。需要解決的問(wèn)題包括以下幾點(diǎn):

云系統(tǒng)管理員和技術(shù)人員的訪問(wèn)權(quán)限,多長(zhǎng)時(shí)間被審核并重新確認(rèn)一次?保證與廠商坐下來(lái)不只是聽(tīng)其解釋的過(guò)程,也要把它寫(xiě)下來(lái)。理想情況下,組織每年進(jìn)行幾次內(nèi)部訪問(wèn)的重新認(rèn)證過(guò)程。

如何仔細(xì)審查未來(lái)的可以訪問(wèn)客戶系統(tǒng)和數(shù)據(jù)的系統(tǒng)管理員和技術(shù)人員?要保證新雇傭的員工不能立即訪問(wèn)敏感的客戶系統(tǒng)和數(shù)據(jù)。在委托新員工管理你的賬戶之前,廠商應(yīng)該要求新員工證明他們自己能夠勝任并且是值得信賴的。

管理背景的調(diào)查嗎?他們會(huì)定期更新并且/或者重做背景調(diào)查嗎?那些有犯罪記錄的人員應(yīng)該進(jìn)行進(jìn)一步審查,或者從考慮的人選中完全排除掉。同樣,員工在過(guò)去為競(jìng)爭(zhēng)對(duì)手工作過(guò)嗎?如果你是百事可樂(lè)的工作人員,你可能不希望以前可口可樂(lè)的工作人員來(lái)管理云計(jì)算的實(shí)現(xiàn)。

對(duì)于系統(tǒng)管理員和其他技術(shù)人員來(lái)說(shuō),什么樣的初期培訓(xùn)和在職安全培訓(xùn)是有用的?假設(shè)安全管理員和其他技術(shù)人員了解信息安全,并且通過(guò)仔細(xì)詢問(wèn)和特殊技能的認(rèn)證(如專業(yè)認(rèn)證評(píng)估)證明了其具備能力,下一步就是確保他們?nèi)媪私饬耸褂弥械陌踩到y(tǒng);你可以通過(guò)讓他們閱讀系統(tǒng)所使用的技術(shù)手冊(cè)、安全配置數(shù)據(jù)、與系統(tǒng)的制造商和/或分銷商討論安全系統(tǒng),來(lái)增強(qiáng)他們的體驗(yàn)。隨著安全系統(tǒng)新版本的實(shí)現(xiàn)以及軟件補(bǔ)丁的安裝,應(yīng)該向管理人員和技術(shù)人員介紹這些變化。

為非技術(shù)云服務(wù)公司的員工提供什么樣的安全培訓(xùn)呢?假設(shè)云組織具有信息安全政策,首先,要將政策散布到所有員工,甚至可以讓已經(jīng)閱讀過(guò)政策的員工簽字確認(rèn);接下來(lái),安排定期的半小時(shí)關(guān)于安全活動(dòng)的簡(jiǎn)單會(huì)議,所有員工參加(或者至少包括那些能訪問(wèn)客戶信息和系統(tǒng)的員工);最后,準(zhǔn)備一頁(yè)紙來(lái)總結(jié)關(guān)鍵信息安全政策和公司所定義的良好的實(shí)踐。

從政策和程序的角度談到安全問(wèn)題,尤其是關(guān)于信息盜取,破壞、欺詐等問(wèn)題,基于云的服務(wù)廠商的態(tài)度積極主動(dòng)嗎?作為供應(yīng)商評(píng)估過(guò)程的一部分,要查看云服務(wù)廠商政策、指導(dǎo)方針和針對(duì)客戶端系統(tǒng)和數(shù)據(jù)保護(hù)活動(dòng)實(shí)踐的證明;如果你準(zhǔn)備一份提案請(qǐng)求作為云服務(wù)廠商評(píng)價(jià)過(guò)程的一部分,請(qǐng)務(wù)必索要服務(wù)廠商如何保證在其環(huán)境下保護(hù)客戶數(shù)據(jù)的證明。

需要什么樣的安全監(jiān)測(cè)系統(tǒng)和程序?大多數(shù)云服務(wù)廠商都具有安全監(jiān)測(cè)系統(tǒng)和程序,具備一組正在使用中的系統(tǒng),例如入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、防火墻;要查看他們安全監(jiān)測(cè)的政策和程序,找出他們是如何檢測(cè)和糾正拒絕服務(wù)攻擊、惡意軟件和其他試圖破壞系統(tǒng)和數(shù)據(jù)/數(shù)據(jù)庫(kù)安全的軟件;最后要查看之前所有安全漏洞以及如何發(fā)現(xiàn)和糾正這些漏洞的詳細(xì)記錄證明。

需要什么樣的網(wǎng)絡(luò)監(jiān)控系統(tǒng)和程序?這與上述列表類似,除了他們關(guān)注的網(wǎng)絡(luò)邊界、互聯(lián)網(wǎng)接入設(shè)備,內(nèi)部/外部的語(yǔ)音和數(shù)據(jù)網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)接入設(shè)備(如路由器、交換機(jī)、負(fù)載平衡器)之外;其次,要查看所有網(wǎng)絡(luò)安全漏洞的證明以及他們是如何發(fā)現(xiàn)和糾正這些漏洞的。

云服務(wù)廠商有過(guò)多少記錄的惡意內(nèi)部行為?這可能是在評(píng)估潛在的云服務(wù)廠商時(shí),其中一個(gè)需要解決的最重要的問(wèn)題,這應(yīng)該是所有RFP和供應(yīng)商準(zhǔn)備提交事故記錄證明時(shí)的一部分。做好準(zhǔn)備,你可能得不到答案,因?yàn)檫@可能會(huì)被認(rèn)為是“公司機(jī)密;”當(dāng)然,這個(gè)問(wèn)題沒(méi)有答案是一個(gè)警示信號(hào)。

如何解決攻擊的?任何云供應(yīng)商回答這類問(wèn)題時(shí),都應(yīng)該包括事故的記錄總結(jié)以及事故是如何解決的,更重要的是,要看云服務(wù)公司的安全政策和程序采取了什么改進(jìn)措施,來(lái)預(yù)防未來(lái)的事故并快速識(shí)別可疑行為。

云服務(wù)公司曾經(jīng)因?yàn)轭櫩驮獾絻?nèi)部攻擊,被定罪嗎?其次,要做好準(zhǔn)備,你可能需要去審查或者你根本得不到答案,因?yàn)閷?duì)于云服務(wù)廠商來(lái)說(shuō),這可能是一個(gè)敏感的問(wèn)題,并且其可能被放在機(jī)密的地方;一個(gè)真正有信譽(yù)的云服務(wù)公司應(yīng)該勇于承認(rèn)自己的錯(cuò)誤,并且認(rèn)為一個(gè)事故是如何幫助公司改善其客戶安全政策、實(shí)踐和能力的。

在與云服務(wù)廠商簽訂合同之前(詢問(wèn)他們關(guān)于你自己的內(nèi)部IT組織問(wèn)題和其他問(wèn)題并不影響)。即使是最成功的以及備受尊敬的云公司內(nèi)部可能也存在這樣的人,他們?cè)诘却线m的時(shí)機(jī),一旦時(shí)機(jī)到來(lái),他們就會(huì)采取惡意行為來(lái)中飽私囊或來(lái)達(dá)到他們自己的利益。雖然要找出一個(gè)犯罪者幾乎是不可能的,除非一切為時(shí)已晚,發(fā)出了警告信號(hào)。不滿、糟糕的績(jī)效考核、不加薪水、家庭問(wèn)題、忙于工作并且偶爾發(fā)脾氣,這些都是警告信號(hào)??雌饋?lái)可能毫不重要,但是要確保你的廠商的人力資源團(tuán)隊(duì)能夠協(xié)助員工篩選過(guò)程和員工績(jī)效的持續(xù)監(jiān)控。在評(píng)估你的組織的安全態(tài)勢(shì)時(shí),采取這些方法。就像你的供應(yīng)商一樣,你的組織可能會(huì)成為內(nèi)部威脅的目標(biāo)。

在出現(xiàn)完全可靠的員工篩選、系統(tǒng)/網(wǎng)絡(luò)監(jiān)控、檢測(cè)預(yù)示內(nèi)部攻擊的人類績(jī)效變化的方法之前,像許多其他的IT服務(wù)公司一樣,基于云的服務(wù)廠商,不得不保持高水平的盡職調(diào)查和積極主動(dòng)的工作監(jiān)督,以防止惡意的內(nèi)部攻擊。所以一定要考慮以上的建議。使廠商保持最高標(biāo)準(zhǔn)將有助于減少云計(jì)算內(nèi)部威脅。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)