云计算内部威胁:研究风险及风险的缓解措施
发布日期:2016-2-14 11:2:46
安全性通常是计划投资基于云的技术时最优先考虑的问题。当然,在云(如阿里云)环境中,技术通常处于企业的网络边界外部,因此用户可利用资源,而不能使用服务器、物理机架、电力系统和其他相关设备。可肯定的一个重要问题是,关键数据(如客户数据、医疗记录)和知识产权不会受其他客户系统和数据文件的影响。 本文中,我们将研究企业云环境的另一个安全性问题:内部威胁。我们将探讨基于云的关键资源的蓄意(计划的)攻击和意外(偶然的)破坏。 探讨云计算的内部威胁 调查内部威胁主要的问题的时候,攻击者已存在于内部。从本文目的出发,我们假设“内部人士”为云服务厂商(如阿里云)工作,并且有一个或多个客户端环境。内部人士可协调客户信息的保密性、完整性和可用性。 蓄意攻击的类型包括信息窃取、数据破坏或数据毁灭、服务于特定客户的系统受到损害、用户使用的软件和服务遭到损害、破坏和欺诈。 尽管很难想象无意的云计算内部威胁,但是由于错误的指令,这种威胁时常发生,从而对客户系统、服务和数据产生负面影响。然而,也许是因为缺乏管理客户系统、服务和数据的培训。例如,一个操作员或技术人员可能会收到特殊服务的命令,或可能是更新特定服务的命令,并且,由于缺乏特殊活动的培训,就会输入错误的数据。一个数据库管理员可能意外地访问了错误的客户数据库,输入错误的命令,以至于损坏了整个数据库。 云计算内部威胁:研究风险及风险的缓解措施 事实上,看似恶意的内部活动也许是完全偶然的。然而这样的事件却引发了这样的问题:若有人知道怎样安全访问并使用复杂的基于云的系统和服务,“事故”还会发生吗? 因此,我们要关注蓄意攻击,关注蓄意攻击的潜在影响及怎样防止或者减轻其影响。假设犯罪者具有安全许可,对于一个企业来说,信息或知识产权窃取则是一场噩梦。商业秘密、工程文件、财务数据、客户数据和许多其他有价值的资产可被复制,并出售给出价最高的人或是任何地方的人。这些可能正在悄悄地发生。 一旦数据被破坏或者毁灭,内部人士就可以获取关键的客户档案和数据库并且删除数据,引入病毒或蠕虫,或者引入逻辑炸弹来破坏/擦除数据。若这些关键数据没有备份/或者没有复制到其他位置,那么其损失将会导致公司破产。 公司若使用被恶意操纵、更改的基于云的系统和服务,就会突然发现他们重要的面向客户型的应用程序出现故障或者不能运行。这意味着,他们的客户可能无法正常办理业务,从而导致诉讼,业务和声誉遭受损失。重新获得客户信任,可能会很困难,甚至不可能,尤其是如果面向客户型的系统已经严重损坏。 上述情况可能是一种蓄意行为,正如许多内部攻击。基于云的服务组织的人员可能对组织不满或者对特定的公司抱有个人恩怨,而这个人恰好是云服务组织的一个客户。这个人具有安全许可,只要他喜欢,他几乎可以做任何事情,来慢慢破坏目标组织和公司。使用各种技术来窃取信息,创建虚假财务数据或者破坏出现运行“中断”的组织,但总的来说,这可能是更大的、更险恶破坏计划的一部分。 最后,像许多其他恶意行为一样,在云环境中也经常发生欺诈行为。然而公司内部的犯罪者可能只能够获取该公司的资源,而在云环境,犯罪者可以访问许多组织。例如,我们听到的关于内部人士操纵金融系统的事件,比如臭名昭著的兴业银行欺诈事件,导致数百万损失,不然的话就会使组织受害,导致数十亿美元的损失。在云环境中,犯罪者可以安全访问多个客户系统和数据,并且只会受到他或她的计算机技能的限制。 防止内部威胁:需要询问的问题 一个恶意的内部人士可能是一个系统的管理员或者其他技术人才。这样的人进行的非法攻击可能被称为“流氓”管理员或技术人员。 计划使用基于云资源的组织,必须积极评估云服务厂商的安全态势。需要解决的问题包括以下几点: 云系统管理员和技术人员的访问权限,多长时间被审核并重新确认一次?保证与厂商坐下来不只是听其解释的过程,也要把它写下来。理想情况下,组织每年进行几次内部访问的重新认证过程。 若仔细审查未来的可访问客户系统和数据的系统管理员和技术人员?要保证新雇佣的员工不能立即访问敏感的客户系统和数据。在委托新员工管理你的账户之前,厂商应该要求新员工证明他们自己能够胜任并且是值得信赖的。 管理背景的调查吗?他们会定期更新并且/或者重做背景调查吗?那些有犯罪记录的人员应该进行进一步审查,或从考虑的人选中完全排除掉。同样,员工在过去为竞争对手工作过吗?若你是百事可乐的工作人员,你可能不希望以前可口可乐的工作人员来管理云计算的实现。 对于系统管理员和其他技术人员来说,什么样的初期培训和在职安全培训是有用的?假设安全管理员和其他技术人员了解信息安全,并且通过仔细询问和特殊技能的认证(如专业认证评估)证明了其具备能力,下一步就是确保他们全面了解了使用中的安全系统;你可以通过让他们阅读系统所使用的技术手册、安全配置数据、与系统的制造商和/或分销商讨论安全系统,来增强他们的体验。随着安全系统新版本的实现以及软件补丁的安装,应该向管理人员和技术人员介绍这些变化。 为非技术云服务公司的员工提供什么样的安全培训呢?假设云组织具有信息安全政策,首先,要将政策散布到所有员工,甚至可以让已经阅读过政策的员工签字确认;接下来,安排定期的半小时关于安全活动的简单会议,所有员工参加(或者至少包括那些能访问客户信息和系统的员工);最后,准备一页纸来总结关键信息安全政策和公司所定义的良好的实践。 从政策和程序的角度谈到安全问题,尤其是关于信息盗取,破坏、欺诈等问题,基于云的服务厂商的态度积极主动吗?作为供应商评估过程的一部分,要查看云服务厂商政策、指导方针和针对客户端系统和数据保护活动实践的证明;如果你准备一份提案请求作为云服务厂商评价过程的一部分,请务必索要服务厂商如何保证在其环境下保护客户数据的证明。 需要什么样的安全监测系统和程序?大多数云服务厂商都具有安全监测系统和程序,具备一组正在使用中的系统,例如入侵检测系统、入侵防御系统、防火墙;要查看他们安全监测的政策和程序,找出他们是如何检测和纠正拒绝服务攻击、恶意软件和其他试图破坏系统和数据/数据库安全的软件;最后要查看之前所有安全漏洞以及如何发现和纠正这些漏洞的详细记录证明。 需要什么样的网络监控系统和程序?这与上述列表类似,除了他们关注的网络边界、互联网接入设备,内部/外部的语音和数据网络服务和网络接入设备(如路由器、交换机、负载平衡器)之外;其次,要查看所有网络安全漏洞的证明以及他们是如何发现和纠正这些漏洞的。 云服务厂商(如阿里云)有过多少记录的恶意内部行为?这可能是在评估潜在的云服务厂商时,其中一个需要解决的最重要的问题,这应该是所有RFP和供应商准备提交事故记录证明时的一部分。做好准备,你可能得不到答案,因为这可能会被认为是“公司机密;”当然,这个问题没有答案是一个警示信号。 怎样解决攻击的?任何云供应商回答这类问题时,都应该包括事故的记录总结以及事故是如何解决的,更重要的是,要看云服务公司的安全政策和程序采取了什么改进措施,来预防未来的事故并快速识别可疑行为。 云服务公司曾经因为顾客遭到内部攻击,被定罪吗?其次,要做好准备,你可能需要去审查或者你根本得不到答案,因为对于云服务厂商来说,这可能是一个敏感的问题,并且其可能被放在机密的地方;一个真正有信誉的云服务公司应该勇于承认自己的错误,并且认为一个事故是如何帮助公司改善其客户安全政策、实践和能力的。 在与云服务厂商签订合同之前(询问他们关于你自己的内部IT组织问题和其他问题并不影响)。即使是最成功的以及备受尊敬的云公司内部可能也存在这样的人,他们在等待合适的时机,一旦时机到来,他们就会采取恶意行为来中饱私囊或来达到他们自己的利益。虽然要找出一个犯罪者几乎是不可能的,除非一切为时已晚,发出了警告信号。不满、糟糕的绩效考核、不加薪水、家庭问题、忙于工作并且偶尔发脾气,这些都是警告信号。看起来可能毫不重要,但是要确保你的厂商的人力资源团队能够协助员工筛选过程和员工绩效的持续监控。在评估你的组织的安全态势时,采取这些方法。就像你的供应商一样,你的组织可能会成为内部威胁的目标。 在出现完全可靠的员工筛选、系统/网络监控、检测预示内部攻击的人类绩效变化的方法之前,像许多其他的IT服务公司一样,基于云的服务厂商,不得不保持高水平的尽职调查和积极主动的工作监督,以防止恶意的内部攻击。所以一定要考虑以上的建议。使厂商保持最高标准将有助于减少云计算内部威胁。 上一条: 棱镜门反思:社交网络和大数据时代的隐私
|