国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

企業組織面臨12大頂級云計算安全威脅

cppowboy / 2154人閱讀

摘要:在上周召開的會議上,云安全聯盟列出的,即企業組織在年將面臨的大頂級云計算安全威脅。當發生數據泄露事故時,企業組織可能會被罰款,他們甚至可能會面臨訴訟或刑事指控。糟糕的接口和或將暴露出企業組織在保密性完整性可用性和問責制方面的安全問題。

  企業組織在信息化辦公環境中,在網絡中進行辦公及數據傳輸的潛在危險正在加大,有必要對數據安全進行防范。在上周召開的RSA會議上,CSA(云安全聯盟)列出的“Treacherous12”,即企業組織在2016年將面臨的12大頂級云計算安全威脅。CSA發布了相關的報告,來幫助云客戶和供應商加強他們的防御力度。

  云計算

  云計算的共享、按需的性質,自然帶來了新的安全漏洞,從而可能抵消了企業用戶遷移到使用云技術所帶來的任何收益,CSA警告說。在CSA之前所發布的報告中指出,云服務天生的性質決定了其能夠使得用戶繞過整個企業組織的安全政策,并在服務的影子IT項目中建立自己的賬戶。因此,必須采取新的管制措施,并將其落實到位了。

  “這項2016年頂級云安全威脅名單的發布,反映了企業管理隊伍所做出的糟糕的云計算決策將產生可怕的后果。”CSA的研究執行副總裁J.R.Santos表示說。

  安全威脅1:數據泄露

  在云環境中其實面臨著許多與傳統企業網絡相同的安全威脅,但由于大量的數據存儲在云服務器,使得云服務供應商成為了一個更具吸引力的攻擊目標。潛在損害的嚴重程度往往取決于數據的敏感性。暴露了個人財務信息往往會成為頭條新聞,但其實涉及到涉及健康信息、商業秘密和知識產權的數據泄漏往往是更具破壞性的。

  當發生數據泄露事故時,企業組織可能會被罰款,他們甚至可能會面臨訴訟或刑事指控。而相應的違規調查活動和客戶通知會耗費大量的成本。而間接的惡性影響,還包括諸如企業品牌損失和業務損失,甚至可能會影響企業組織多年的時間而無法翻身。

  云服務供應商通常都會部署安全控制來保護他們的環境。但最終,企業組織都需要負責保護他們存儲在云中的數據。CSA建議企業組織使用多因素身份驗證和加密的方式,來盡量防止數據泄露事故的發生。

  安全威脅2:憑據或身份驗證遭到攻擊或破壞

  數據泄露和其他攻擊經常是由于企業組織內部松散的身份驗證、弱密碼、和糟糕的密鑰或證書管理所造成的。由于企業組織試圖將權限分配給相應的工作職位上的員工用戶,故而經常需要處理身份管理的問題。更重要的是,當某個工作職能發生改變或某位用戶離開該企業組織時,他們有時會忘記刪除該用戶的訪問權限

  諸如一次性密碼、手機認證和智能卡認證這樣的多因素認證系統能夠保護云服務,因為這些手段可以讓攻擊者很難利用其盜取的密碼來登錄企業系統。例如,在美國第二大醫療保險服務商Anthem公司數據泄露事件中,導致有超過8000萬客戶的個人信息被暴露,就是因為用戶憑據被盜所導致的結果。Anthem公司沒有部署多因素認證,所以一旦攻擊者獲得憑證,就會導致**煩。

  許多開發人員誤將憑證和密鑰嵌入到了源代碼中,并將其發布到了諸如GitHub等面向公眾的存儲庫。密鑰需要進行適當的保護,而安全的公共密鑰基礎設施是必要的,CSA表示說。他們還需要定期修改密鑰,從而使得攻擊者在沒有獲得授權的情況下更難利用他們所盜取的密鑰了。

  那些計劃與云服務提供商聯合采取身份驗證措施的企業組織需要了解他們的云服務提供商所采用的安全措施,以便保護身份驗證平臺。將身份驗證集中到一個單一的存儲庫中有其風險。企業組織需要在集中方便的身份驗證與面臨成為攻擊者最高價值攻擊目標存儲庫的風險之間進行權衡取舍。

  安全威脅3:接口和API被黑客攻擊

  現如今,幾乎每一款云服務和應用程序均提供API。IT團隊使用接口和API來管理,并實現與云服務的交互,包括提供云服務的配置、管理、業務流程協調和監控的服務。

  云服務的安全性和可用性——從身份認證和訪問控制再到加密和活動監測——均需要依賴于API的安全性。隨著依賴于這些API和建立在這些接口上的第三方服務的增加,相應的安全風險也在增加,企業組織可能需要提供更多的服務和憑據,CSA警告稱。糟糕的接口和API或將暴露出企業組織在保密性、完整性、可用性和問責制方面的安全問題。

  API和接口往往是企業系統中最容易被暴露的部分,因為它們通常是通過開放的互聯網訪問的。CSA建議,企業組織應當將適當控制作為“防御和檢測的第一線”,而安全威脅模型應用程序和系統建模,包括數據流和系統架構設計,便成為了開發生命周期的重要組成部分。CSA還建議,安全工作應當重點關注在代碼審查和嚴格的滲透測試方面。

文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。

轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/4896.html

相關文章

  • 2016年12頂級計算安全威脅

    摘要:在年信息安全大會上,云安全聯盟報告指出,企業組織在年將面臨大頂級云計算安全威脅,云計算共享按需的性質會帶來新的安全漏洞,保障行業云計算安全迫在眉睫。而在云計算加速步入落地階段的今天,云安全正變得更加刻不容緩。  近年來,云計算市場應用正快速增長,越來越多的企業進入到云領域,云計算產品及解決方案的日趨豐富也使云安全上升到重要地位。在2016年RSA信息安全大會上,云安全聯盟(CSA)報告指出,...

    txgcwm 評論0 收藏0
  • 2019年計算的行業觀點

    摘要:年已經來臨,是云計算將迎來更多變化的一年。無論是云計算行業的專業人士投資者還是技術專家,都可以通過行業廠商和的云計算專家的預測來為年做好準備。位列前茅的云計算供應商是公司和微軟公司。2019年已經來臨,是云計算將迎來更多變化的一年。Kubernetes已經風靡技術社區,但近日發現的一個重大安全漏洞讓人們清醒地意識到,需要一種強大的云安全方法。當然,對于谷歌公司來說,未來云計算的市場競爭將是非...

    馬龍駒 評論0 收藏0
  • 零日攻擊是混合面臨的主要問題

    摘要:結果表明,人們對零日攻擊和容器采用率的增加表示擔憂。的企業在過去一年中報告了其云環境受到攻擊,的企業表示零日攻擊是這些攻擊的起源。公司的聯合創始人兼首席執行官表示,零日攻擊將永遠是一個真實且不可預知的威脅。根據一項新的調查研究,混合云環境特別容易受到 零日漏洞(zero-day)的攻擊。 零日漏洞就是安全漏洞在當天或在24小時內被發現之后立即被惡意利用進行攻擊,這種攻擊是在廠商缺少防范意識或...

    plus2047 評論0 收藏0
  • 如何利用計算技術改進企業的技術培訓

    摘要:使用云計算來培訓安全團隊如今,云計算已經顛覆了企業存儲數據的方式,以及工作人員彼此協作和合作的方式。此外,使用云計算為企業提供完全獨立的,自包含的特定系統副本,員工可以進行學習。任何希望聘請IT專家的企業都了解正在面臨的人才短缺情況。而這不僅僅是在談論IT安全工作,幾乎每個技術領域都面臨技能短缺問題,這可能會削弱企業的生產力,并給各種規模企業的IT部門帶來挑戰。開展非正式的在職培訓已成為大多...

    tuniutech 評論0 收藏0

發表評論

0條評論

最新活動
閱讀需要支付1元查看
<