云计算的顶级威 胁:深度分析 “危险的12大威胁:云计算的顶级威胁”案例研究分析以及相关的安 全行业违规分析 m o c . 5 h t i g b u 1 m o c . 5 b u h t i g ©2018云安全联盟-版权所有保留所有权利 您可以在电脑和手机等终端下载、存储、显示本报告,以及链接到云安全联盟官方网站上 (https://cloudsecurityalliance.org)查看并打印本报告,但必须遵从如下条款: (a)本报告可单独用于个人、获取信息为目的,非商业盈利使用; (b)本报告不能以任何方式被改变或修正后再转发; (c)本报告不允许在未被授权情况下大量分发或转发; (d)商标、著作权或者其他条款不得删除。根据《美国版权法》合理使用条款,您可引 用所允许的部分报告内容,但必须将引用部分注明来源于《国际标准化理事会政策与序》。 2 3 前言 序言 云计算正在以前所未有的速度改变组织的业务模式,云服务模型的开发比以往任何时候都能 案例研究创世纪项目 更 有 效 地 支 持 业 务 , 但 同 时 也 带 来 新 的 安 全 挑 战 。 在 CS A 之 前 所 发 布 的 报 告 中 指 出 , 云 服 务 与 生 俱 来 的 特 质 决 定 了 其 能 够 使 用 户 绕 过 整 个 组 织 的 安 全 政 策 , 并 在 影 子 IT 项 目 中 建 立 自 己 的 账 户 。 因 2012 年 , 云 安 全 联 盟 (CSA) 进 行 了 一 项 调 查 , 帮 助 阐 明 了 云 计 算 最 重 要 和 最 紧 迫 的 问 题 。 当 时 , 云 此 , 组织 必 须 采 取 新的 管 制 措 施 。 是 一 个相 对 较 新 的 概念 , 通 过 提 供有 价 值 的 行 业洞 察 力 , 这 一内 容 填 补 了 一个 巨 大 的 空 白。 2018 年 月 , CSA 正 式 发 布 《 Top Threats to Cloud computing: Deep dive 》 最 新 版 研 究 CSA 从 第 一次 调 查 中 衍 生出 最 初 的 “ 顶 级 威胁 ” (Top Threa ts) , 并 成为 本 案 例 研 究的 基 础 。 然 而 , 报告。该报告全面深度解析了云计算领域的顶级威胁,为了让企业更深刻理解云安全问题,以便他 安 全 专 家 承 认 , “ 众 所 周 知 的 9大 威 胁 ” 和 “ 十 二 大 威 胁 ” 只 提 供 了 整 体 全 景 威 胁 的 一 小 部 分 。 其 他 需 要 们能够采用策略做出明智的决策。报告试图通过使用顶级威胁中引用的九个案例作为其基础来连接 考 虑 的因 素 包 括 参 与者 、 风 险 、 漏洞 和 影 响 等 内容 。 安全性分析的所有点。九个例子中的每一个都以参考图表和详细叙述的形式呈现。参考图表的格式 m o 提供了威胁主题的攻击式概要,从威胁和漏洞到最终控制和缓解。我们鼓励工程师将这些信息作为 为了解决这些缺失的因素,云安全联盟顶级威胁工作组决定下一份发布的文档应该表述更多涉及架 他们自己分析和比较的起点。 c . 5 构 、 合规 性 、 风 险 和缓 解 的 技 术 细节 。 因 此 , 创建 了 这 个 文 档。 这 个 案 例 研 究 收 集 了 在 顶 级 威 胁 ( (Top Threats) ) 文 件 中 确 定 的 经 典 案 例 和 案 例 研 究 的 局 限 性 , b u 增 加 了 更 多 的 细 节 和 行 动 信 息 。 理 想 情 况 下 , 这 些 数 据 顶 级 威 胁 ( (Top Threats) ) 确 定 了 在 更 高 的 安 全 分 析层 面 , 提 供 一个 清 晰 的 理 解, 即 如 何 在 应用 真 实 的 场 景中 应 用 经 验 教训 和 概 念 。 顶级威胁工作组最近的贡献 h t i g 云 安 全 联 盟 大 中 华 区 非 常 感 谢 翻 译 和 支 持 工 作 者 们 无 私贡 献 。 “ 2017 年 顶 级 威 胁 ”文 档 中 引 用了 最 近 的 “ 十 二 大 威 胁” 调 查 结 果 中发 现 的 多 个 问 题 的 例子 。 而 这 些经典案例可以让网络安全经理更好地与高管和同行进行沟通(并提供与技术人员讨论的内容),从安 全 分 析的 角 度 来 看 ,它 们 并 没 有 提供 关 于 所 有 东西 如 何 组 合 在一 起 的 详 细 信息 。 李 雨 航 Yale Li CSA 云 安 全联 盟 大 中 华 区主 席 您将发现的内容 本 案 例 试 图 通 过 引 用 顶 级 威 胁 ( Top Threats ) 中 引 用 9 个 经 典 案 例 来 连 接 安 全 分 析 的 所 有 要 求 的 基 础 , 这 九 个 案例 的 每 一 个 都 以 参 考 图 表 ( 1) 和 详 细 叙 述 (2) 的 形 式 进 行 说 明 。 参考 图 表 的格式攻击者风险的概要信息,从威胁和漏洞到结束控制和缓解。我们鼓励架构师和工程师使用这 些 信 息作 为 他 们 自 己分 析 和 比 较 的起 点 。 较长的叙述提供了额外的案例的上下文(例如,事件是如何发生的,或者应该如何处理)。 对 于 那些 没 有 公 开 讨论 影 响 或 缓 解等 细 节 的 情 况, 我 们 推 断 了应 该 包 括 预 期的 结 果 和 可 能性 。 我们希望您认为这项工作是有用的,欢迎您对即将出版的出版物提供任何反馈和/或参与。帮 助 你 在未 来 成 功 。 4 目录 Ra ndall Br ooks Al ex Ge tzin Ai yan Ma 致谢 Mi chael 顶级威胁 列表 分析 Ro za 案例研究 Sh ira LinkedIn (顶级威胁 1,2,5,11和12) MongoDB (顶级威胁1,2,3,6, 和8) Dirty Cow (顶级威胁2和4) Zynga (顶级威胁1,2和6) Sh amban Ve lan Th angavelu Ya nalitis Net Traveler (顶级威胁1,7和8) Yahoo! (顶级威胁1,8和9) Zepto (顶级威胁1,8和10) DynDNS (顶级威胁11和2) Cloudbleed (顶级威胁1和12) 参考文献 鸣谢 m o Ma rk c . 5 CS A 调 研 员 b u Vi ctor Chin Sh amun h t i 中文翻译版说明 g Ma hmud 由云安全联盟大中华区秘书处组织翻译《云计算的顶级威胁:深度分析》(top 感谢让这一切发生的团队;没有他们的参与,这么多工作是不会成功的。 联合主席 Threats to Cloud Computing: Deep Dive),云安全联盟大中华区专家翻译并审校。 翻译审校工作专家:(按字母顺序排列) 组长:顾伟 Jon-Michael C. Brook, 组员:陈皓 、郭鹏程、刘广坤、李岩 、马韶华 、欧建军 、姚凯 、周钰 CISSP, CCSK Scott Field Dave Shackleford 贡献者 CSA GCR工 作 人 员 :史晓婧、胡锦涵 5 CLOUDBLEED DYNDNS ZEPTO YAHOO! NET TRAVELER ZYNG A DIRTY COW MONGOD B LINKEDIN TOP THREATS ITEM # 案例研究的顶级威胁报道 分析 缓 解 和 控 制 适 用 于 9 个 案 例 研 究 覆 盖 13 个 16 云 控 制 矩 阵 (C C M ) 域 。 数 据 中 心 服 务 (D C S ) 和 互 操 作 性 和 可 移 植 性 (I P Y ) 控 制 主 要 涉 及 云 上 的 数 据 中 心 操 作 。 服 务 提 供 商 的 设 施 , 不 符 合 用 于 云 计 算 的 案 例 研 究 或 “ 顶 部 威 胁 ” , 移 动 安 全 (M O S ) 控 制 是 用 于 移 动 端 点 保 护 的 , 也 包 括 企 业 中 常 用 的 安 全 措 施 环 境 。 供 应 链 管 理 、 透 明 度 和 问 责 制 (S T A ) 控 制 也 未被提及。 TT 1 TT 2 TT 3 TT 4 TT 5 TT 6 TT 7 TT 8 TT 9 TT 10 TT 11 TT 12 AIS AAC BCR CCC DSI DCS EKM GRM HRS IAM IVS IPY MOS SEF STA TVM 6 X X X X X X X X X X X X ZEPTO DYNDNS CLOUDBLEED X YAHOO! X X X X X X X X X X X TRAVELER X NET ZYNGA MONGODB X X X X X X X X X X X X X X X X X X X 威 胁 和漏 洞 管 理 (TVM ) , 特别 是 漏 洞 /补 丁 管理 ( TVM -02 ) , 将有 助 于 发 现 这些 事 件 中 所 利用 的 许 多漏 洞 。 X X X X X X X X X X X X X X X X X X 上 表 中的 行 是 根 据CSA CCM 管 理 域进 行 各 案 例 研究 中 的 缓 解 行为 相 关 。 X X X c . 5 X b u ti h g CLOUDBLEED DYNDNS ZEPTO YAHOO! TRAVELER NET ZYNGA DIRTY COW MONGODB LINKEDIN CCM CONTROL DOMAIN 推荐云控制矩阵案例研究的领域 TVM HRS SEF IAM GRM BCR AAC IVS AIS CCC EKM DSI IPY MOS DCS STA m o DIRTY COW 案 例 研究 与 每 一 个 顶级 威 胁 的 对 应表 LINKEDIN CCM CONTROL DOMAIN 案例研究CCM控制覆盖 X X X X X X X X X X X X 人 力 资源 安 全 (HR S) — — 特 别 是安 全 培 训 — —在 9个 案 例研 究 中 有 6个 被 确

pdf文档 CSA 云计算的顶级威胁:深度分析

文档预览
中文文档 16 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共16页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
CSA 云计算的顶级威胁:深度分析 第 1 页 CSA 云计算的顶级威胁:深度分析 第 2 页 CSA 云计算的顶级威胁:深度分析 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-06-17 04:38:30上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。