2016年云计算的12大威胁

jack

云安全联盟(Cloud Security Alliance)的最高威胁工作组(TopThreats Working Group)在近日举行的RSA大会上发表了一项关于云计算威胁的研究，该研究可以作为一项最新的指南来指导云用户和云提供商们做出正确决定以便减少云技术所带来的风险。

现今的云服务模式对企业能够提供很好的支持，但是云在带来简单和便利的同时也带来了诸多风险。绕过公司的IT部门或信息官是与云计算有关的主要安全风险之一，并且还有着愈演愈烈的趋势。尽管使用云技术完全可以提高利润和效率，但是使用云技术的前提是企业需要有经营层面(business-level)上的安全政策、处理流程和最佳实践(bestpractices)。如果企业缺乏这些标准，那么企业会很容易受到安全漏洞的攻击，这些攻击将很轻易的将云技术所带来的益处抹消掉。

这次的报告列出了12项企业首席信息官(CIOs)在部署云技术时需要重点关注的问题。此次调查大约有270名IT安全专家参与并确定了以下12个安全问题：

1. 数据外泄(Data breaches)
2. 脆弱的身份、凭证、访问管理(Weak identity, credential and accessmanagement)
3. 不安全的APIs(Insecure APIs)
4. 系统和应用持续漏洞(System and applicationvulnerabilities)
5. 账户劫持(Account hijacking)
6. 恶意内部员工(Malicious insiders)
7. APTs攻击(Advanced Persistent Threats)
8. 数据遗失(Data loss)
9. 审查缺失(Insufficient due diligence)
10. 非法或滥用云服务(Abuse and nefarious use of cloud services)
11. 拒绝服务DoS(Denial of Service)
12. 共享技术中的漏洞(Shared technology issues)

Jon-MichaelBrook(CSA威胁工作组的联合主席)表示：“在我们之前发布的一份威胁报告中，我们重点强调了影子IT(Shadow IT)的问题。但在2016年我们也许将会看到云技术与企业的执行战略有效结合起来从而将股东的利益最大化。”

CSA的研究执行副总裁J.R. Santos认为：“云安全现在已经不仅仅是一个IT问题了，而是一个董事会需要考虑的问题。其原因主要在于云技术越来越成熟，更重要的是，云技术相关的高级战略决策都是由公司高管们来决定的。“