云安全风险概览 企业上云后的安全风险概览

数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险?

对乙方来说，本文是一个可作参考的 checklist——我采购的云安全工具与服务是否能够保护我所有的敏感数据?是否能够抵御以下每一项细分的云安全威胁?是否能够防御云环境中的六大攻击模式?

对于安全厂商来说，也可以反思自己的云安全产品与服务现状：我现有的云安全能力能够保护哪些敏感数据?能够抵御哪些细分的云安全威胁?针对多样的云攻击模式，我已经具备哪些对应的解决方案?

一、云上有哪些敏感数据?

1. 迈克菲《Cloud Adoption and Risk Report 2018》

2018 年 10 月，迈克菲发布了一个名为《Cloud Adoption and Risk Report 2018》的报告。该研究表明，2018 年通过云共享敏感数据的数量比上一年增加 53%——这是一个巨大的涨幅。

迈克菲的报告指出，云上的所有文件中，有 21% 是敏感数据，并且其中有 48% 的敏感文件最终会被共享。仅去年一年就有超过 28% 的机密数据存储在云端。

敏感数据包括企业机密数据 (27%)、电子邮件数据 (20%)、密码保护数据 (17%)、个人身份信息 (PII) (16%)、付款信息 (12%) 以及个人病历 (9%)。随着人们对云计算的信任度和依赖度不断提高，云上的机密数据也面临了越来越高的安全风险。

而被黑客窃取不是这些数据所面临的唯一风险。迈克菲发现，每个企业平均有 14 个配置错误的 IaaS(基础架构即服务)在运行，每月平均有 2200 个错误配置引起的安全事件发生。

2. SANS Institute《 2019 年云安全报告》

而 SANS 今年 5 月发布了《 2019 年云安全报告》，调查样本达数百个，涵盖金融、IT、政府等多个行业，所在企业规模跨度大、地域分布广，从事职业包括安全分析师、IT部门管理人员、CSO、CISO、合规分析师等等。

该调查显示，云上存储量最大的是与商业智能相关的数据 (48.2%)，知识产权类数据几乎持平 (47.7%)，其次是客户个人数据 (47.7%) 和财务数据 (41.7%)，另外存储量较大的还包括企业员工信息 (37.7%)。详见下图：

云上敏感数据(数据来源：SANS Institute)

二、云安全威胁类型有哪些?

1. Alert Logic 研究报告

云安全厂商 Alert Logic 曾统计过一组关于与本地数据中心相比，每种形式的云环境所面临的风险性质和数量的数据。该调查总共历时 18 个月，分析了 3800 多家客户 147 PB 的数据，对安全事件进行量化和分类。主要发现如下：

在混合云环境下，每个用户平均遭遇的安全事件数最高，达977件，其次是托管私有云 (684)、本地数据中心 (612) 和公共云 (405)。

到目前为止，最常见的事件类型是 Web 应用程序攻击 (75%)，其次是暴力攻击 (16%)、侦察 (5%) 与服务器端勒索软件 (2%)。

Web 应用程序攻击最常见的方法是 SQL (47.74%)，其次是 Joomla (26.11%)、Apache Struts (10.11%) 和 Magento (6.98%)。

Wordpress 是最常见的暴力攻击目标，占 41%;其次是 MS SQL，占 19%。

2. SANS Institute《 2019 年云安全报告》

第二组云环境所面临威胁的数据仍来自于 SANS Institute 的《 2019 年云安全报告》。该调查发现，最严重的云威胁是身份劫持 (Account or credential hijacking0，达到 48.9%，其次是云服务的错误配置 (42.2%)，该数据也与前文迈克菲研究报告中发现的现象相吻合——“黑客攻击不是云上敏感数据所面临的唯一风险，错误配置问题也是导致大量安全事件的主要原因”。

排名第三的威胁是内部用户的权限滥用 (Privileged user abuse)。其它威胁还包括未授权的应用程序组件、不安全的 API 接口、“影子IT”、拒绝服务攻击、敏感数据直接从云应用上外泄、利用云厂商本身存在的漏洞或开放的 API、虚拟化攻击、与其它托管云应用交叉使用过程中产生的安全风险等等。

云环境中的细分威胁类型(数据来源：SANS Institute)

如何减少安全威胁对云的影响，这里有 3 个基本但极其重要的建议：

对未知程序进行白名单访问拦截，包括对组织中使用的每个应用程序进行风险评估。

掌握整个修复过程并提高修复工作的优先级。

根据当前用户职责限制访问权限——对应用程序与操作系统的权限进行实时更新。

三、云环境的六大攻击模式