安全研究

News information

六方云: CSA-云计算的顶级威胁深度解读报告

<<返回

2018年08月21日 20:30

                                    


一、背景概述

  近日,在美国拉斯维加斯举办的2018黑帽大会的第三天会议上,云安全联盟CSA发布了《云计算的顶级威胁:深度解析》报告,该报告是针对CSA于2016年发布的《十二个顶级威胁:云计算的顶级威胁》 报告的补充(案例分析),其从安全分析和风险管理的角度,针对每一个云计算威胁和漏洞分别从架构、合规性、风险和缓解措施等方面提供了更全面的技术细节,帮助企业更好地理解安全分析中的顶级威胁来自哪里、如何被应用以及如何在实际场景中缓解与防御此类威胁,六方云作为国内早批云计算安全厂商之一,攻防实验室随即对该报告进行了深度解读与学习。

二、报告解读

  报告共选取了9个典型高级威胁案例来针对12个顶级威胁进行分析,进而将企业风险管理的所有安全点衔接起来,如下图:

图片.png

 

图片.png

 

  从上图中我们可以看出,12个顶级威胁中,数据泄露(1)、身份凭证和访问管理不足(2)、数据丢失(8)三者对应的案例数量较多,分别为7/9,4/9,4/9,且威胁种类2和8均与威胁种类1几乎完全重叠,另外,其中案例1 LinkedIn领英用户数据泄露与 案例2 MongoDB数据库数据泄露 占用威胁数量较多,均为5/12,且共同占用威胁种类1和2,为了更直观表示这种关系,我们做了如下饼型交叉图来直观展示:

图片.png

 

 

  基于以上图表分析,我们可以得知,数据泄露与数据丢失等企业威胁在所列举的案例中占比较大,这其实是当下网络安全现状的一个体现,现如今云计算与大数据高速发展的时代,数据对于企业是至关重要的,没有数据,就没有业务,就没有公司长期稳定的发展,数据成了企业与黑客争夺的至关重要的武器,数据安全既是”因”,又同时是”果”,对于企业来说,因为数据不安全,被黑客盗取才导致后续更为严重的攻击(如账户劫持、APT攻击等),这表现为”因”(被入侵了);同时,对于攻击者来说,通过系统漏洞、或弱口令攻击各种方式进入企业内部系统拿到数据,这表现为”果”(入侵成功),如下简图所示:

图片.png

 

  正如上图红色虚线所示,我们认为作为企业安全人员更值得思考的是数据为何不安全了?攻击者从哪里来?攻击者怎么进来的?等问题,这些对于企业来说是一种先知防护,安全界常说”未知攻,焉知防”,只有变被动防护为主动,摸清楚整个攻击详情(攻击向量、攻击路径、攻击目的或目标、攻击方式或手法等)才能更好地进行防护,自古以来攻防不对称,攻击者只要找到系统的一个弱”点”便能够攻破,而防护者需要保障系统”面”没有弱点才有可能不被攻破,这便是传统的”以面防点”,这便对企业安全防护系统提出了更高的要求,六方云一直认为企业至少应该具备如下防护-检测-响应等全方位立体防护体系:

图片.png

 

  在CSA的深度解析报告里,CSA针对每一个顶级威胁,从威胁向量(攻击向量/感染与传播源)、威胁类别、威胁利用的漏洞、威胁带来的技术影响和商业影响以及应对威胁的安全措施(防护-检测-响应)等方面全面直观的展示了企业应对当下云安全威胁所应具备的立体安全体系,其中的应对威胁的安全措施,也是从防护、检测、响应等三个方面来呈现,这与六方云的安全防护理念是相吻合的,接下来我们将以Zynga数据泄露这一具体威胁案例来解读CSA呈现的安全防护体系(注:这里不一一解读所有案例,感兴趣的读者可以联系六方云):

 

图片.png

 

  如上图所示,CSA在应对威胁的缓解中采用了云安全矩阵CCM(云计算安全的行业黄金标准, 对云计算服务进行全方位的安全评价)中相应的域内安全控制来作为安全措施,基于此六方云对此案例分析图进行了简单阐述,供国内厂商参考,如下图(参考CSA_CCM_v.3.0.1-09-01-2017_FINAL):

图片.png

 

  在此次CSA的报告里,针对选取的9个典型威胁案例,CSA给出了如下所示的云控制矩阵域内控制分布图:

 

图片.png

 

  可以看到9个案例的安全防御措施涵盖了16个域中的12个,其中TVM(威胁和漏洞管理)覆盖9个案例中的7个,能够有效的检测这些案例中所利用的漏洞,HRS(人力资源安全)和SEF(安全事件管理、电子发现和云取证)、IAM(身份和访问管理)均覆盖6个案例,由此我们可以得知,预估攻击后果并按计划执行对处理大多数的应急突发事件是非常重要的!

 

  针对CSA发布的12种顶级威胁,六方云也针对性推出全方位立体解决方案来为企业的云安全保驾护航,如下图:

图片.png

 

三、总结

  随着云计算技术的发展,云安全日益成为人们关注的焦点,近几年不断发生的云安全事件也表明黑客正密切关注云安全这一块肥沃的土地,目前,很多企业已经意识到了云安全的重要性,对云安全产品的需求逐渐增加。云安全未来具有广泛的市场空间,但要实现快速发展,还需要解决国内外云安全标准统一的问题,规范市场秩序。六方云作为国内早批云安全服务提供商之一,积累了多年的经验,能够提供业界独创领先的云计算安全解决方案,帮助企业与用户实现安全上云。

四、参考

  1.CSA Top Threats to Cloud Computing: Deep Dive

  2.CSA Treacherous 12: Top Threats to Cloud Computing

  3.CSA_CCM_v.3.0.1-09-01-2017_FINAL.xlsx


安全研究报告下载:

六方云 CSA-云计算的顶级威胁深度解读报告.pdf