在上周召开的RSA会议上，CSA(云安全联盟)列出的“Treacherous 12”，即企业组织在2016年将面临的12大顶级云计算安全威胁。CSA发布了相关的报告，来帮助云客户和供应商加强他们的防御力度。

　　云计算的共享、按需的性质，自然带来了新的安全漏洞，从而可能抵消了企业用户迁移到使用云技术所带来的任何收益，CSA警告说。在CSA之前所发布的报告中指出，云服务天生的性质决定了其能够使得用户绕过整个企业组织的安全政策，并在服务的影子IT项目中建立自己的账户。因此，必须采取新的管制措施，并将其落实到位了。

　　“这项2016年顶级云安全威胁名单的发布，反映了企业管理队伍所作出的糟糕的云计算决策将产生可怕的后果。”CSA的研究执行副总裁J.R. Santos表示说。

　　安全威胁1：数据泄露

　　在云环境中其实面临着许多与传统企业网络相同的安全威胁，但由于大量的数据存储在云服务器，使得云服务供应商成为了一个更具吸引力的攻击目标。潜在损害的严重程度往往取决于数据的敏感性。暴露了个人财务信息往往会成为头条新闻，但其实涉及到涉及健康信息、商业秘密和知识产权的数据泄漏往往是更具破坏性的。

　　当发生数据泄露事故时，企业组织可能会被罚款，他们甚至可能会面临诉讼或刑事指控。而相应的违规调查活动和客户通知会耗费大量的成本。而间接的恶性影响，还包括诸如企业品牌损失和业务损失，甚至可能会影响企业组织多年的时间而无法翻身。

　　云服务供应商通常都会部署安全控制来保护他们的环境。但最终，企业组织都需要负责保护他们存储在云中的数据。CSA建议企业组织使用多因素身份验证和加密的方式，来尽量防止数据泄露事故的发生。

　　安全威胁2：凭据或身份验证遭到攻击或破坏

　　数据泄露和其他攻击经常是由于企业组织内部松散的身份验证、弱密码、和糟糕的密钥或证书管理所造成的。由于企业组织试图将权限分配给相应的工作职位上的员工用户，故而经常需要处理身份管理的问题。更重要的是，当某个工作职能发生改变或某位用户离开该企业组织时，他们有时会忘记删除该用户的访问权限

　　诸如一次性密码、手机认证和智能卡认证这样的多因素认证系统能够保护云服务，因为这些手段可以让攻击者很难利用其盗取的密码来登录企业系统。例如，在美国第二大医疗保险服务商Anthem公司数据泄露事件中，导致有超过8000万客户的个人信息被暴露，就是因为用户凭据被盗所导致的结果。Anthem公司没有部署多因素认证，所以一旦攻击者获得凭证，就会导致大麻烦。

　　许多开发人员误将凭证和密钥嵌入到了源代码中，并将其发布到了诸如GitHub等面向公众的存储库。密钥需要进行适当的保护，而安全的公共密钥基础设施是必要的，CSA表示说。他们还需要定期修改密钥，从而使得攻击者在没有获得授权的情况下更难利用他们所盗取的密钥了。

　　那些计划与云服务提供商联合采取身份验证措施的企业组织需要了解他们的云服务提供商所采用的安全措施，以便保护身份验证平台。将身份验证集中到一个单一的存储库中有其风险。企业组织需要在集中方便的身份验证与面临成为攻击者最高价值攻击目标存储库的风险之间进行权衡取舍。

　　安全威胁3：接口和API被黑客攻击

　　现如今，几乎每一款云服务和应用程序均提供API。IT团队使用接口和API来管理，并实现与云服务的交互，包括提供云服务的配置、管理、业务流程协调和监控的服务。

　　云服务的安全性和可用性——从身份认证和访问控制再到加密和活动监测——均需要依赖于API的安全性。随着依赖于这些API和建立在这些接口上的第三方服务的增加，相应的安全风险也在增加，企业组织可能需要提供更多的服务和凭据，CSA警告称。糟糕的接口和API或将暴露出企业组织在保密性、完整性、可用性和问责制方面的安全问题。

　　API和接口往往是企业系统中最容易被暴露的部分，因为它们通常是通过开放的互联网访问的。CSA建议，企业组织应当将适当控制作为“防御和检测的第一线”，而安全威胁模型应用程序和系统建模，包括数据流和系统架构设计，便成为了开发生命周期的重要组成部分。CSA还建议，安全工作应当重点关注在代码审查和严格的渗透测试方面。

　　安全威胁4：利用系统漏洞

　　系统漏洞，或利用程序中的bug，并不是什么新闻了，但他们的确已经成为多租户云计算中所出现的大问题了。企业组织以一种接近彼此的方式共享内存、数据库和其他资源，创建了新的攻击面。

　　庆幸的是，针对系统漏洞的攻击可以通过“基本的IT流程”来减轻，CSA表示说。最佳实践方案包括定期的漏洞扫描，及时的补丁管理，并迅速跟踪报告系统的安全威胁。

　　根据CSA介绍，相对于其他IT支出，减轻系统漏洞的成本较小。通过IT流程来发现和修补漏洞的费用相对于潜在的损失要小很多。受到相应规范严格监管的行业需要尽快打补丁，最好是将这一过程自动化，并经常化，CSA建议。变更控制流程能够解决紧急修补问题，从而确保企业的技术团队能够正确记录整治活动的和审查过程。

　　安全威胁5：账户被劫持

　　网络钓鱼、欺诈和软件漏洞仍然能够成功攻击企业，而云服务则增加了一个新的层面的威胁，因为攻击者可以窃听活动，操纵交易，并修改数据。攻击者也可以使用云应用程序发动其他攻击。

　　常见的深度防护保护策略可以包含安全违规所造成的损害。企业组织应该禁止用户和服务之间共享帐户凭证，并实现多因素身份验证方案。账户，甚至包括服务帐户都应该被监控，以便每笔交易可以追溯到相关的所有者。而关键是要保护帐户凭据不被盗取，CSA表示说。

　　安全威胁6：来自企业内部的恶意人员

　　来自企业内部的安全威胁包括了许多方面：现任或前任员工、系统管理员、承包商或商业伙伴。恶意破坏的范围从窃取企业机密数据信息到报复行为。而在迁移采用了云服务的情况下，一个来自企业内部的恶意人员可能会摧毁企业组织的整个基础设施或操作数据。而如果仅仅是纯粹依赖于云服务提供商的安全性，如加密，则风险是最大的。

　　CSA建议企业组织需要控制加密过程和密钥，实行职责分离，最大限度的减少用户的访问。实施有效的记录、监控和审核管理员的活动也是至关重要的。

　　正如CSA所指出的那样，很容易将一个拙劣的尝试对日常工作的执行误解为“恶意”的内部攻击活动。这方面的一个例子便是：一名管理员不小心将一个敏感的客户数据库复制到了一个公开访问的服务器上。企业组织通过在云中实施适当的培训和管理，来防止这些错误正变得越来越重要了，从而得以避免更大的潜在风险。安全威胁7：APT寄生虫

　　CSA将“寄生”形式的攻击恰当地称之为高级的持续性威胁(APT)。APT渗透到企业组织的系统，建立一个立足点，然后悄悄地在较长的一段时间内将数据和知识产权漏出。

　　APT通过网络进行典型的横向移动，以融入正常的数据传输流量，所以他们很难被检测到。主要的云服务提供商利用先进的技术来防止APT渗入他们的基础设施，但企业客户需要积极的检测APT对于其云帐户的攻击，因为其可能会在他们内部部署的系统中。

　　进入的共同点包括鱼叉式网络钓鱼、直接攻击、预装恶意软件的USB驱动器、以及对第三方网络的攻击。特别是，CSA建议企业组织需要培训用户识别网络钓鱼技术。

　　定期加强企业员工用户的安全意识，保持员工用户保持警觉，就不太可能被欺骗，让一个APT易于进入企业网络。而企业用户的IT 部门需要了解最新的先进性攻击。而采取先进的安全控制、流程管理、事件响应计划、员工培训等措施固然会增加企业组织的安全预算。单企业组织应该权衡这些成本与成功的攻击对于企业所造成的潜在的经济损失。