CSA 云计算的顶级威胁：深度分析在线下载,免费下载

云计算的顶级威胁：深度分析 “危险的12大威胁：云计算的顶级威胁”案例研究分析以及相关的安全行业违规分析 m o c . 5 h t i g b u 1 m o c . 5 b u h t i g ©2018云安全联盟-版权所有保留所有权利您可以在电脑和手机等终端下载、存储、显示本报告，以及链接到云安全联盟官方网站上（https://cloudsecurityalliance.org）查看并打印本报告，但必须遵从如下条款：（a）本报告可单独用于个人、获取信息为目的，非商业盈利使用；（b）本报告不能以任何方式被改变或修正后再转发；（c）本报告不允许在未被授权情况下大量分发或转发；（d）商标、著作权或者其他条款不得删除。根据《美国版权法》合理使用条款，您可引用所允许的部分报告内容，但必须将引用部分注明来源于《国际标准化理事会政策与序》。 2 3 前言序言云计算正在以前所未有的速度改变组织的业务模式，云服务模型的开发比以往任何时候都能案例研究创世纪项目更有效地支持业务，但同时也带来新的安全挑战。在 CS A 之前所发布的报告中指出，云服务与生俱来的特质决定了其能够使用户绕过整个组织的安全政策，并在影子 IT 项目中建立自己的账户。因 2012 年，云安全联盟 (CSA) 进行了一项调查，帮助阐明了云计算最重要和最紧迫的问题。当时，云此，组织必须采取新的管制措施。是一个相对较新的概念，通过提供有价值的行业洞察力，这一内容填补了一个巨大的空白。 2018 年月， CSA 正式发布《 Top Threats to Cloud computing: Deep dive 》最新版研究 CSA 从第一次调查中衍生出最初的 “ 顶级威胁 ” (Top Threa ts) ，并成为本案例研究的基础。然而 , 报告。该报告全面深度解析了云计算领域的顶级威胁，为了让企业更深刻理解云安全问题，以便他安全专家承认， “ 众所周知的 9大威胁 ” 和 “ 十二大威胁 ” 只提供了整体全景威胁的一小部分。其他需要们能够采用策略做出明智的决策。报告试图通过使用顶级威胁中引用的九个案例作为其基础来连接考虑的因素包括参与者、风险、漏洞和影响等内容。安全性分析的所有点。九个例子中的每一个都以参考图表和详细叙述的形式呈现。参考图表的格式 m o 提供了威胁主题的攻击式概要，从威胁和漏洞到最终控制和缓解。我们鼓励工程师将这些信息作为为了解决这些缺失的因素，云安全联盟顶级威胁工作组决定下一份发布的文档应该表述更多涉及架他们自己分析和比较的起点。 c . 5 构、合规性、风险和缓解的技术细节。因此，创建了这个文档。这个案例研究收集了在顶级威胁（ (Top Threats) ）文件中确定的经典案例和案例研究的局限性， b u 增加了更多的细节和行动信息。理想情况下，这些数据顶级威胁（ (Top Threats) ）确定了在更高的安全分析层面，提供一个清晰的理解，即如何在应用真实的场景中应用经验教训和概念。顶级威胁工作组最近的贡献 h t i g 云安全联盟大中华区非常感谢翻译和支持工作者们无私贡献。 “ 2017 年顶级威胁 ”文档中引用了最近的 “ 十二大威胁” 调查结果中发现的多个问题的例子。而这些经典案例可以让网络安全经理更好地与高管和同行进行沟通（并提供与技术人员讨论的内容），从安全分析的角度来看，它们并没有提供关于所有东西如何组合在一起的详细信息。李雨航 Yale Li CSA 云安全联盟大中华区主席您将发现的内容本案例试图通过引用顶级威胁（ Top Threats ）中引用 9 个经典案例来连接安全分析的所有要求的基础，这九个案例的每一个都以参考图表（ 1）和详细叙述（2）的形式进行说明。参考图表的格式攻击者风险的概要信息，从威胁和漏洞到结束控制和缓解。我们鼓励架构师和工程师使用这些信息作为他们自己分析和比较的起点。较长的叙述提供了额外的案例的上下文（例如，事件是如何发生的，或者应该如何处理）。对于那些没有公开讨论影响或缓解等细节的情况，我们推断了应该包括预期的结果和可能性。我们希望您认为这项工作是有用的，欢迎您对即将出版的出版物提供任何反馈和/或参与。帮助你在未来成功。 4 目录 Ra ndall Br ooks Al ex Ge tzin Ai yan Ma 致谢 Mi chael 顶级威胁列表分析 Ro za 案例研究 Sh ira LinkedIn (顶级威胁 1，2，5，11和12) MongoDB (顶级威胁1，2，3，6，和8) Dirty Cow (顶级威胁2和4) Zynga (顶级威胁1，2和6) Sh amban Ve lan Th angavelu Ya nalitis Net Traveler (顶级威胁1，7和8) Yahoo! (顶级威胁1，8和9) Zepto (顶级威胁1，8和10) DynDNS (顶级威胁11和2) Cloudbleed (顶级威胁1和12) 参考文献鸣谢 m o Ma rk c . 5 CS A 调研员 b u Vi ctor Chin Sh amun h t i 中文翻译版说明 g Ma hmud 由云安全联盟大中华区秘书处组织翻译《云计算的顶级威胁：深度分析》(top 感谢让这一切发生的团队;没有他们的参与，这么多工作是不会成功的。联合主席 Threats to Cloud Computing: Deep Dive),云安全联盟大中华区专家翻译并审校。翻译审校工作专家：（按字母顺序排列）组长：顾伟 Jon-Michael C. Brook, 组员：陈皓、郭鹏程、刘广坤、李岩、马韶华、欧建军、姚凯、周钰 CISSP, CCSK Scott Field Dave Shackleford 贡献者 CSA GCR工作人员：史晓婧、胡锦涵 5 CLOUDBLEED DYNDNS ZEPTO YAHOO! NET TRAVELER ZYNG A DIRTY COW MONGOD B LINKEDIN TOP THREATS ITEM # 案例研究的顶级威胁报道分析缓解和控制适用于 9 个案例研究覆盖 13 个 16 云控制矩阵 (C C M ) 域。数据中心服务 (D C S ) 和互操作性和可移植性 (I P Y ) 控制主要涉及云上的数据中心操作。服务提供商的设施，不符合用于云计算的案例研究或 “ 顶部威胁 ” ，移动安全 (M O S ) 控制是用于移动端点保护的，也包括企业中常用的安全措施环境。供应链管理、透明度和问责制 (S T A ) 控制也未被提及。 TT 1 TT 2 TT 3 TT 4 TT 5 TT 6 TT 7 TT 8 TT 9 TT 10 TT 11 TT 12 AIS AAC BCR CCC DSI DCS EKM GRM HRS IAM IVS IPY MOS SEF STA TVM 6 X X X X X X X X X X X X ZEPTO DYNDNS CLOUDBLEED X YAHOO! X X X X X X X X X X X TRAVELER X NET ZYNGA MONGODB X X X X X X X X X X X X X X X X X X X 威胁和漏洞管理（TVM ），特别是漏洞 /补丁管理（ TVM -02 ），将有助于发现这些事件中所利用的许多漏洞。 X X X X X X X X X X X X X X X X X X 上表中的行是根据CSA CCM 管理域进行各案例研究中的缓解行为相关。 X X X c . 5 X b u ti h g CLOUDBLEED DYNDNS ZEPTO YAHOO! TRAVELER NET ZYNGA DIRTY COW MONGODB LINKEDIN CCM CONTROL DOMAIN 推荐云控制矩阵案例研究的领域 TVM HRS SEF IAM GRM BCR AAC IVS AIS CCC EKM DSI IPY MOS DCS STA m o DIRTY COW 案例研究与每一个顶级威胁的对应表 LINKEDIN CCM CONTROL DOMAIN 案例研究CCM控制覆盖 X X X X X X X X X X X X 人力资源安全 (HR S) — — 特别是安全培训 — —在 9个案例研究中有 6个被确