云计算的顶级威胁:深度分析
AI智能总结
1 云计算的顶级威 胁:深度分析 “危险的12大威胁:云计算的顶级威胁”案例研究分析以及相关的安全行业违规分析 ©2018云安全联盟-版权所有保留所有权利 您可以在电脑和手机等终端下载、存储、显示本报告,以及链接到云安全联盟官方网站上 (https://cloudsecurityalliance.org)查看并打印本报告,但必须遵从如下条款: (a)本报告可单独用于个人、获取信息为目的,非商业盈利使用; (b)本报告不能以任何方式被改变或修正后再转发; (c)本报告不允许在未被授权情况下大量分发或转发; (d)商标、著作权或者其他条款不得删除。根据《美国版权法》合理使用条款,您可引 用所允许的部分报告内容,但必须将引用部分注明来源于《国际标准化理事会政策与序》。 23 前言 案例研究创世纪项目 2012年,云安全联盟(CSA)进行了一项调查,帮助阐明了云计算最重要和最紧迫的问题。当时,云是一个相对较新的概念,通过提供有价值的行业洞察力,这一内容填补了一个巨大的空白。 CSA从第一次调查中衍生出最初的“顶级威胁”(TopThreats),并成为本案例研究的基础。然而,安全专家承认,“众所周知的9大威胁”和“十二大威胁”只提供了整体全景威胁的一小部分。其他需要考虑的因素包括参与者、风险、漏洞和影响等内容。 为了解决这些缺失的因素,云安全联盟顶级威胁工作组决定下一份发布的文档应该表述更多涉及架构、合规性、风险和缓解的技术细节。因此,创建了这个文档。 这个案例研究收集了在顶级威胁((TopThreats))文件中确定的经典案例和案例研究的局限性,增加了更多的细节和行动信息。理想情况下,这些数据顶级威胁((TopThreats))确定了在更高的安全分析层面,提供一个清晰的理解,即如何在应用真实的场景中应用经验教训和概念。 序言 云计算正在以前所未有的速度改变组织的业务模式,云服务模型的开发比以往任何时候都能更有效地支持业务,但同时也带来新的安全挑战。在CSA之前所发布的报告中指出,云服务与生俱来的特质决定了其能够使用户绕过整个组织的安全政策,并在影子IT项目中建立自己的账户。因此,组织必须采取新的管制措施。 2018年月,CSA正式发布《TopThreatstoCloudcomputing:Deepdive》最新版研究报告。该报告全面深度解析了云计算领域的顶级威胁,为了让企业更深刻理解云安全问题,以便他们能够采用策略做出明智的决策。报告试图通过使用顶级威胁中引用的九个案例作为其基础来连接安全性分析的所有点。九个例子中的每一个都以参考图表和详细叙述的形式呈现。参考图表的格式提供了威胁主题的攻击式概要,从威胁和漏洞到最终控制和缓解。我们鼓励工程师将这些信息作为他们自己分析和比较的起点。 云安全联盟大中华区非常感谢翻译和支持工作者们无私贡献。 顶级威胁工作组最近的贡献 “2017年顶级威胁”文档中引用了最近的“十二大威胁”调查结果中发现的多个问题的例子。而这些经典案例可以让网络安全经理更好地与高管和同行进行沟通(并提供与技术人员讨论的内容),从安全分析的角度来看,它们并没有提供关于所有东西如何组合在一起的详细信息。 您将发现的内容 本案例试图通过引用顶级威胁(TopThreats)中引用9个经典案例来连接安全分析的所有要求的基础,这九个案例的每一个都以参考图表(1)和详细叙述(2)的形式进行说明。参考图表的格式攻击者风险的概要信息,从威胁和漏洞到结束控制和缓解。我们鼓励架构师和工程师使用这些信息作为他们自己分析和比较的起点。 较长的叙述提供了额外的案例的上下文(例如,事件是如何发生的,或者应该如何处理)。对于那些没有公开讨论影响或缓解等细节的情况,我们推断了应该包括预期的结果和可能性。 我们希望您认为这项工作是有用的,欢迎您对即将出版的出版物提供任何反馈和/或参与。帮 助你在未来成功。4 李雨航YaleLiCSA云安全联盟大中华区主席 目录 致谢 顶级威胁列表分析案例研究 LinkedIn(顶级威胁1,2,5,11和12) MongoDB(顶级威胁1,2,3,6,和8)DirtyCow(顶级威胁2和4)Zynga(顶级威胁1,2和6) NetTraveler(顶级威胁1,7和8)Yahoo!(顶级威胁1,8和9) Zepto(顶级威胁1,8和10)DynDNS(顶级威胁11和2) Cloudbleed(顶级威胁1和12) 参考文献 鸣谢 RandallBrooksAlexGetzinAiyanMaMichaelRozaShiraShambanVelan ThangaveluMarkYanalitis CSA调研员 VictorChin ShamunMahmud 中文翻译版说明 感谢让这一切发生的团队;没有他们的参与,这么多工作是不会成功的。 由云安全联盟大中华区秘书处组织翻译《云计算的顶级威胁:深度分析》(top Threatsto CloudComputing:DeepDive),云安全联盟大中华区专家翻译并审校。 联合主席 Jon-MichaelC.Brook,CISSP,CCSKScottFieldDaveShackleford 翻译审校工作专家:(按字母顺序排列)组长:顾伟 组员:陈皓、郭鹏程、刘广坤、李岩、马韶华、欧建军、姚凯、周钰 CSAGCR工作人员:史晓婧、胡锦涵 贡献者 5 案例研究的顶级威胁报道 TT1 TT2 TT3 TT4 TT5 TT6 TT7 TT8 TT9 TT10 TT11 TT12 TOPTHREATSITEM# LINKEDIN MONGOD DIRTYCOW ZYNG NETTRAVELER YAHOO! ZEPTO DYNDNS CLOUDBLEED 分析 缓解和控制适用于9个案例研究覆盖13个16云控制矩阵(CCM)域。数据中心服务(DCS)和互操作性和可移植性(IPY)控制主要涉及云上的数据中心操作。服务提供商的设施,不符合用于云计算的案例研究或“顶部威胁”,移动安全(MOS)控制是用于移动端点保护的,也包括企业中常用的安全措施环境。供应链管理、透明度和问责制(STA)控制也未被提及。 CCMCONTROLDOMAIN LINKEDIN MONGODB DIRTYCOW ZYNGA NET YAHOO! ZEPTO DYNDNS CLOUDBLEED 案例研究CCM控制覆盖 案例研究与每一个顶级威胁的对应表 TVMHRSSEFIAMGRMBCRAACIVSAISCCCEKMDSIIPYMOSDCS STA X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X 上表中的行是根据CSACCM管理域进行各案例研究中的缓解行为相关。 威胁和漏洞管理(TVM),特别是漏洞/补丁管理(TVM-02),将有助于发现这些事件中所利用的许多漏洞。 人力资源安全(HRS)——特别是安全培训——在9个案例研究中有6个被确定为可能的缓解措施,安全事件管理、电子发现和云取证(SEF)也是如此。基于这些结果,我们可以得出这样的结论:对攻 击后果的规划和执行对于成功处理三分之二的事件就至关重要的。此外,身份和访问管理(IAM)控制被认为是对半数以上事件的相关缓解措施。 AISAACBCRCCCDSIDCSEKMGRMHRSIAMIVSIPYMOSSEFSTA TVM X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X LINKEDIN MONGODB DIRTYCOW ZYNGA NET YAHOO! ZEPTO DYNDNS CLOUDBLEED 推荐云控制矩阵案例研究的领域 67 LinkedIn(密码破解2012) 预防控制 EKM-02:密钥生成—员工必须妥善保管所有访问管理工具、密钥、密码和密码系统。 IAM-12:用户ID凭证-组织需要采取适当的步骤来验证身份,限制访问和维护对于行业标准和合规的遵从。 GRM-03:管理监督-不同部门的领导(例如SOC,GRCCIRT)有明确的责任在检测后披露泄露情况。美国在某些行业法规(例如,《萨班斯-奥克斯利法案(SOX)),管理可能是负个人责任和接收罚款或失去以前授予奖金。 GRM-06:政策-目前尚不清楚LinkedIn的政策是不存在的、有缺陷的,还是简单的没有遵守。对于严重的泄漏,泄漏的信息披露通知不应该被推迟。 威胁主体 威胁 脆弱性 技术影响 业务影响 控制 内部I 跳过基本标准 TT11 拒绝服务 TT2 数据泄露用户凭证 TT1 数据用户泄露凭证 财务 预防 -取证和清理成本一百万美元–EKM-02 -用户诉讼1.25百万美元–IAM-12 不充分的身份、凭据和(不包括律师费用) 访问管理–GRM-03 –GRM-06 运营 —两个电话让用户重置密码 External 恶意的黑客-东欧 TT12 共享的技术漏洞 TT5 账户劫持,使用被盗密码(密码重用在其他服务) 合规 —未能保护PII 检测 –IVS-01 –IVS-06 –SEF-04 –GRM-05 –GRM-10 –TVM-02 声誉 —对长期的服务使用具有负面影响 纠正 GRM-07 –GRM-08 –GRM-09 –SEF-01 –SEF-05 检测控制 IVS-01:审计日志/入侵检测-适当的日志记录需要法律和合规的原因,以及事件相应和取证的需要。这确保了在事件或入侵的情况下具有一个用户行为的清晰文档。 IVS-06:网络安全—环境和基础设施应该设计成限制访问和监视流量。这个配置应该通过验证和并维护适当的文档 SEF-04:事件响应法律准备—必须遵循适当的司法调查程序,特别是未来刑事起诉。在事故响应中包括法律代表是很重要的 攻击细节 威胁主题:俄罗斯公民叶夫根尼·尼库林因涉嫌参与领英(LinkedIn)违规行为被捷克警方逮捕。 威胁:黑客窃取了领英员工的凭证。进入内网后,黑客得到了用户名和密码的数据库。 漏洞:漏洞分为两个主要问题:(1)黑客能够窃取凭证;(2)密码数据库没有“加密”处理 GRM-05:管理支持/参与-事实上一个密码变更只是“推荐”给一些用户,而没有强加给所有的用户,这表明管理层没有意识到问题的严重性或忽略了它 GRM-10:风险评估-任何独立的内部或外部审计师应该测试组织适当的事件响应政策,流程和程序。在某种程度上,必须清除和纠正政策、审查、支持、监督和/或事件清理之间的分离。 纠正控制 SEF-01:联系/权威机构的维护-初始事件响应小组中的包括适用的政府当局和执法机构将使披露不足不成为问题。 SEF-05:事件反应度量-度量对未来会计和预算影响,包括响应时间和资源消耗,将呈现出来给管理层和并为行政领导提供可见性。 GRM-08:风险评估的政策影响:使用风险评估反馈回路更好地把握初始违约的陷阱,有助于避免第二次违约。 GRM-09:政策reviews-Business领导应带头政策审议,并确保政策与组织活动和战略方向。首席财务官(CFO)或首席顾问(法律)将指定一个受让人签署底线”——特别是在上市公司,美国证券交易委员会(SEC)和SOX合规发挥作用。 GRM-07:应该创建和统一执行适当的策略。员工应该知道他们要为自己的行为负责。 TVM-02:脆弱性/补丁管理-在渗透测试,密码通常是通过使用各种技术(如彩虹表)测试他们的强壮性 技术影响 数据泄露:可能违反公司知识产权的保密规定;此外,在这次事件之后,还发现了一波暴力袭击。2012年,领英(LinkedIn)披露有600万个密码被盗,但在2016年将这个数字修改为1.67亿。 帐户劫持:由于密码的重用,这种泄漏导致其他服务中的帐户劫持事件
